[04:55:41]
<Solrac> Hello tis I once again. I have read some of the docs from Synapse. I am still lost as to why, in my Tunnelled setup, my VPS can see the matrix server, my homeserver can see the matrix server (HOSTED no less!), the rest of the internet cannot.
[05:01:52]
<Solrac> For context, I am asking once again for help; I have my yh set up with a tunnel (ZeroTier) to aVPS that is then DNS'd to my domain. This is because I'm under a CGNAT. -- Ive hosted some applications, using nginx as a reverse proxy, and they all work, I just realized (Thanks to minecraft of all things) that Matrix requires a tad more of DNS Work, and I think I've done so. However, I cannot test if said DNS configs work, because I am unable to access (matrix.domain:8448), however (matrix.domain/_matrix/static) works just fine!
Me and someone else from the selfhosted discord boiled it down to nginx. We're following what a few guides have and it stil hasn't worked. Might there be any nginx wizzards around? @u@
[05:07:21]
<Solrac> The thing that is mind boggling to me, is that
VPS -> (HomeServerIP):8448 Works
PC -> (LocalHomeServerIP):8448 works (this is expected)
HomeServer -> https://matrix.domain:8448 Strangely works....
VPS -> https://matrix.domain:8448 No Route to Host
Anything Else -> https://matrix.domain:8448 No Route to Host
[05:08:03]
<Solrac> My apologies if this is not the correct place to ask, I'd kindly ask to be redirected to a place where this could be more on-topic
[08:52:44]
<Yolateng0> > <@lsolrac:matrix.org> The thing that is mind boggling to me, is that
> VPS -> (HomeServerIP):8448 Works
> PC -> (LocalHomeServerIP):8448 works (this is expected)
> HomeServer -> https://matrix.domain:8448 Strangely works....
> VPS -> https://matrix.domain:8448 No Route to Host
> Anything Else -> https://matrix.domain:8448 No Route to Host
on your Homeserver , try
[08:52:59]
<Yolateng0> lsmod | grep tun
[09:16:34]
<T> Hello! I'm in the process of redirecting to a new domain name. Apart from setting the new domain the default one, do I have to create a new user and administrator or just edit the current ones to the new domain from the edit account field in the web admin (field email xxx@newdomain.tld ) ?
[09:36:57]
<tituspijean> Solrac: I think you need to read about Flow Rules in Zerotier, basically you need to instruct your network to redirect port 8448 from your VPS towards your Homeserver
[15:52:29]
<nalla22> Bonjour, quand j'ouvre les ports de certaines applications yunohost pour pouvoir m'y connecté via l'adresse IP LAN 192.168.0.xxx:xxxx. Certaines applications comme Syncthing acceptent de fonctionner en HTTPS, mais d'autres applications comme Jellyfin fonctionne uniquement en HTTP !
[15:52:38]
<nalla22> Est-ce qu'il y a un moyen pour les forcer à fonctionner en HTTPS tout en s'y connectant dessus avec l'adresse IP LAN ?
[16:09:07]
<tituspijean> Non
[16:11:51]
<nalla22> D'accord. Je chercherais d'autres moyens de contournements pour forcer le HTTPS !
[16:15:09]
<tituspijean> Cela déjoue un peu le principe de YunoHost... qu'est-ce que tu essaies d'accomplir ?
[16:17:50]
<nalla22> Pour des raisons de sécurité, je ne compte pas pointer des DNS publics sur mes applications installés en local, donc si je veux y accéder à distance il faudra que je pointe le routeur sur les ports des applications pour que je puisse y accéder avec l'adresse IP public. Mais si certaines applications ne supportent pas le protocole HTTPS, ça risque de poser problème !
[16:17:56]
<nalla22> Pour des raisons de sécurité, je ne compte pas pointer des DNS publics sur mes applications installées en local, donc si je veux y accéder à distance il faudra que je pointe le routeur sur les ports des applications pour que je puisse y accéder avec l'adresse IP public. Mais si certaines applications ne supportent pas le protocole HTTPS, ça risque de poser problème !
[16:18:34]
<nalla22> Pour des raisons de sécurité, je ne compte pas pointer des DNS publics sur mes applications installées en local, donc si je veux y accéder à distance il faudra que je pointe le routeur sur les ports des applications pour que je puisse y accéder avec l'adresse IP public. Mais si certaines applications ne supportent pas le protocole HTTPS, ça risque de poser problème (au niveau de la sécurité) !
[16:22:09]
<tituspijean> En quoi le système de permissions de YunoHost n'est pas sûr ? Quel est ton modèle de menace ?
[16:22:10]
<@err404:matrix.org> dans ce cas tu voudra peut être utiliser un vpn, qui te permetra d'acceder directement à tes applications via leur ip locale plutôt que via leur ip publique
[16:23:41]
<Aleks (he/him/il/lui)> > <@nalla22:matrix.org> Pour des raisons de sécurité, je ne compte pas pointer des DNS publics sur mes applications installées en local, donc si je veux y accéder à distance il faudra que je pointe le routeur sur les ports des applications pour que je puisse y accéder avec l'adresse IP public. Mais si certaines applications ne supportent pas le protocole HTTPS, ça risque de poser problème (au niveau de la sécurité) !
les applications n'ont pas à gérer HTTPS, c'est le serveur web qui gère la couche TLS, les applications parlent HTTP, c'est comme si tu disais "les entreprises qui ne supportent pas les lettres en recommandée", c'est pas les entreprises qui gèrent le recommandé, c'est la poste
[16:38:22]
<nalla22> > <@titus:pijean.ovh> En quoi le système de permissions de YunoHost n'est pas sûr ? Quel est ton modèle de menace ?
Voici un exemple simple : j'ai plusieurs profils de navigateurs, un seul profil utilise mon adresse IP publique réelle, c'est celui qui gère les domain.local et toutes les connexions LAN. Les autres profils sont tous sous Proxy installés sur VPS `proxychains4 librewolf -no-remote -p profil2`
Sur ce profil je ne peux pas accéder aux applications sur domain.local ce qui est tout à fait compréhensible, donc si je veux utiliser l'extension "DelugeAddTorrent" pour me connecter sur mon serveur Deluge et y transférer automatiquement les fichiers Torrents, je serais obligée d'exposer le serveur Deluge publiquement pour que je puisse m'y connecter via l’extension, car les Torrents je les utilise que sur les profils secures sous proxychains. Ceci est valable pour plusieurs applications
Le fait de ne pas utiliser de nom de domaines public me permet de conserver le trafic réseau des applications uniquement en LAN, ce qui est plus sécuritaire. Ensuite même dans le cas où je n'aurais plus accès à internet mes applications seront toujours aussi fonctionnelles, car elles seront toute déjà configurées pour du LAN.
Mais je n'ai pas envie de me priver aussi d'un accès à distance, donc si je dois pointer un DNS public sur mes applications, je le pointerai plutôt sur les adresses IP LAN des applications rootées sans utiliser le gestionnaire DNS de YunoHost, ou alors utiliser seulement l'adresse IP publique
[16:44:22]
<nalla22> > <@Alekswag:matrix.org> les applications n'ont pas à gérer HTTPS, c'est le serveur web qui gère la couche TLS, les applications parlent HTTP, c'est comme si tu disais "les entreprises qui ne supportent pas les lettres en recommandée", c'est pas les entreprises qui gèrent le recommandé, c'est la poste
Comment expliquer dans ce cas que Syncthing et Synapse gère le HTTPS sans yunohost ?
Car j'ai ouvert leurs ports et elles fonctionnent parfaitement avec le protocole HTTPS !
[17:33:12]
<Aleks (he/him/il/lui)> Aucune idée, ca ne fait aucun sens, difficile d'en savoir plus sans les details techniques
[17:44:17]
<selfhoster1312> nalla22, ça dépend de comment l'application construit ses URL.. souvent t'as une baseURL configurée pour l'application et c'est pas possible de l'utiliser avec une autre adresse (grosso merdo)
[17:51:30]
<Solrac> > <@titus:pijean.ovh> Solrac: I think you need to read about Flow Rules in Zerotier, basically you need to instruct your network to redirect port 8448 from your VPS towards your Homeserver
my apologies for my late reply. I thought I had replied. I went ahead and added a rule, following another guide from an official zerotier account on reddit. Sadly it didn't do much, I assume I just have it incomplete. The Rule was;
```
accept ipprotocol tcp and dport 25565; # allow Minecraft server port
accept ipprotocol tcp and dport 8448; # allow Matrix server port
```
[17:57:57]
<nalla22> > <selfhoster1312> nalla22, ça dépend de comment l'application construit ses URL.. souvent t'as une baseURL configurée pour l'application et c'est pas possible de l'utiliser avec une autre adresse (grosso merdo)
Effectivement, c'est surtout valable pour les CMS
[17:58:44]
<nalla22> Par exemple là avec le cloisonnement de l'application Deluge dans yunohost, j'e n'arrive pas à me connecter au serveur Deluge depuis mon client Desktop avec le ThinClient https://dev.deluge-torrent.org/wiki/UserGuide/ThinClient
[17:58:54]
<nalla22> https://aria.im/_matrix/media/v1/download/matrix.org/zIQBAAMgAmEJMjjBLXbbnMbC
[17:59:00]
<nalla22> Même si j'ai ouvert les ports 58846 et 8112 dans le parefeu yunohost. J'ignore ce qui bloque !
[17:59:42]
<selfhoster1312> bah si tu expliques plus en détail le setup y'a peut-être moyen de t'aider mais là dur de tout comprendre
[17:59:54]
<selfhoster1312> genre pourquoi t'as 127.0.0.1 quelque part ?
[18:00:24]
<selfhoster1312> ton thin client il devrait pas se connecter à l'adresse du serveur ? ou t'as fait un tunnel SSH ?
[18:03:38]
<nalla22> Le think client ne peut pas se connecter sur un domain.local. Il lui faut une adresse IP et un port. C'est pour ça que j'ai ouvert le port 8112 de Deluge, pour pouvoir m'y connecter avec 192.168.0.110:8112 sur le Webui, mais le serveur Deluge est sur le port 58846, je l'ai également ouvert et j'ai essayé de m'y connecter via le thinkClient Deluge Desktop mais ça ne fonctionne pas !
[18:04:07]
<selfhoster1312> là dans ta config dans le screenshot y'a marqué 127.0.0.1 c'est à dire ta propre machine
[18:05:56]
<nalla22> La fenêtre du haut du screenshot est celle du navigateur avec le serveur Deluge, donc c'est normal que le serveur soit sur 127.0.0.1, la fenêtre du bas est celle du client Deluge qui essaye de se connecter au serveur !
[18:11:29]
<nalla22> Voici un screenshot plus explicite :
[18:11:42]
<nalla22> https://aria.im/_matrix/media/v1/download/matrix.org/emEXRANDZuQZsrFVZaSGhDaa
[18:26:36]
<T> > <@tsh:envs.net> Hello! I'm in the process of redirecting to a new domain name. Apart from setting the new domain the default one, do I have to create a new user and administrator or just edit the current ones to the new domain from the edit account field in the web admin (field email xxx@newdomain.tld ) ?
Any feedback please ? 😬
[18:32:46]
<nalla22> Le port GUI "8384" et le port serveur "22000" de syncthing sont présents dans le fichier settings.yml de yunohost, mais pour Deluge seul le port GUI est présent, le problème vient sans doute de là !
[18:33:04]
<nalla22> https://aria.im/_matrix/media/v1/download/matrix.org/tOTyZYhXgXEydFzUVWECsYvm
[18:37:58]
<Tag> https://dev.deluge-torrent.org/wiki/UserGuide/ThinClient#EnableRemoteConnection
[18:39:28]
<Tag> By default, Deluge doesn't allow remote (as in not from the same machine) connections. You might need to enable this in Deluge config file
[18:40:53]
<Tag> You can also use a SSH Tunnel instead
[20:12:58]
<nalla22> J'ai enfin pu me connecter sur le serveur Deluge via le think client, il faut ouvrir le port 58846 en tcp IPV4 et utiliser la clé d'accès de l'utilisateur localclient qui se trouve dans /var/www/deluge/.config/deluge/auth
[20:13:14]
<nalla22> > <@tag:lostpod.me> By default, Deluge doesn't allow remote (as in not from the same machine) connections. You might need to enable this in Deluge config file
Merci de ton aide :)