[00:06:03]
<Aleks (he/him/il/lui)> hmmmnope you can install the app on the domain ?
[00:19:46]
<pti-jean> rivileo, Reste plus qu'a prendre un VPN... Je suis chez Orange, et le VPN est LA solution!
En plus, si tu t'abonnes à un service VPN qui te fournit le fichier de configuration .cube, ben cela se configure tout seul!
[04:56:08]
<·☽•Nameless☆•777 · ±> rivileo Je viens de regarder à part pour les mails et IPv6, tu as bien ton yunohost accessible depuis internet,
les erreurs pour les mails vu que tu es chez un opérateur qui bloque le port 25 et chez lequel tu ne peux pas changer le reverse DNS, tu peux les ignorer.
[04:57:37]
<·☽•Nameless☆•777 · ±> Pour upnp, ça automatise l'ouverture des ports sur ta box, ça t'évite de devoir le faire manuellement, mais si tu as un équipement mal configuré en sortie d'usine, il peut de lui se rendre accessible depuis internet et ça peut causer des problèmes de sécurité.
la DMZ elle rend accessible ton yunohost depuis Internet sans aucune restriction au niveau des ports
[04:57:45]
<·☽•Nameless☆•777 · ±> Donc comme upnp, tu n'as pas à ouvrir certains ports depuis ta box car il n'y a plus de pare-feux entre ton yunohost et internet.
[05:00:25]
<·☽•Nameless☆•777 · ±> Du coup tu pourrais me rappeler quel est ton souci ?
[05:00:27]
<·☽•Nameless☆•777 · ±> Est-ce que tu parviens à accéder à la page admin de yunohost, par exemple ?
[08:22:00]
<lautre> Aleks told you not, but I did it!
[08:23:38]
<lautre> May be that explain why I have so many applications can't be installed <- With thinking, these application can't be installed on other Yunohost
[08:27:40]
<lautre> ·☽•Nameless☆•777 · ±: Est ce qu'il serait possible d'avoir quelque part (sur le forum par exemple), une page qui récapitule ce genre d'infos techniques par opérateurs?
Peut être sur un Wiki, et ce serait édité que par une poignée de personnes de confiance pour éviter les abus (et peut être un lien vers les discussions sur le forum)
[09:05:33]
<@err404:matrix.numericore.com> je pense que sur un site du genre lafibre.info(un truc dans ce genre) ça aurai sa place, c'est déjà un site qui (je crois) donne des indications quand on cherche à remplacer la box par un routeur perso.
[12:47:04]
<laguill13> Bonjour,
J'essaie de configurer headscale
Il faut renseigner quoi dans le champ MagicDNS ?
Créer un nouveau domain ?
[12:49:06]
<laguill13> https://aria.im/_bifrost/v1/media/download/ARMv65NenU_x-MZtcs59UF8TBdiInnajqoAv1_uH7ZMd1XDR92mG6a1A3Ypop-eQ6WcVGQ2REo_dW5hjmtrtNcxCeWLzJG-gAG1hdHJpeC5vcmcvRWl4TmN6b2JKR2lteXRWeHlicFdkVWdv
[13:13:02]
<lautre> Il y a quoi dans le (i) du champs, tout à droite?
[13:23:48]
<rivileo> pti-jean: Tu conseilles quoi comme vpn ? protonmail ?
[13:24:39]
<rivileo> ·☽•Nameless☆•777 · ±: La question est : est ce que je peux accéder à ma page admin depuis l'exterieur ? Je ne sais pas puisque j'ai qu'un seul réseau chez moi... Je vais tester avec le réseau 4g d'un copain qui passe et je vous dis. En tout cas, quand je vais depuis mon réseau local ssh identifiant@ip_public, ça marche
[13:33:07]
<@err404:matrix.numericore.com> rivileo: ssh identifiant@ip_public <-- du coup il est fort probable que ça fonctionne depuis l'extérieur, tester en 4g c'est un très bon moyen de vérifier que ça fonctionne bien de l'extérieur
[13:34:48]
<@err404:matrix.numericore.com> je ne comprends pas pourquoi tu prendrais un autre abonnement pour te connecter à ton yunohost, ni même prendre un vpn
[13:54:01]
<lautre> Si tu veux tester en vitesse, tu peux utiliser le VPN de FDN. Il y a une version "payé par autrui"
https://vpn-public.fdn.fr/index.html
[13:54:36]
<lautre> Il faut juste que tu vérifie que ton smartphone fait bien passer les paquets à destination du réseau local à travers le VPN
[13:57:04]
<lautre> Sinon, ton logiciel Headscale (je n'ai pas regardé ce que c'est", tu peux limiter son accès aux seuls admins, ou aux membres de ton Yunohost etc.
[14:16:41]
<·☽•Nameless☆•777 · ±> > <@lautre:matrix.org> ·☽•Nameless☆•777 · ±: Est ce qu'il serait possible d'avoir quelque part (sur le forum par exemple), une page qui récapitule ce genre d'infos techniques par opérateurs?
> Peut être sur un Wiki, et ce serait édité que par une poignée de personnes de confiance pour éviter les abus (et peut être un lien vers les discussions sur le forum)
tu as ces pages sur le wiki de yunohost, par exemple pour la France
>https://doc.yunohost.org/fr/isp/country:fra
Ou ici si ton fai bloque le port 25
> https://doc.yunohost.org/fr/email_configure_relay
Ou ici pour accéder à ton yunohost malgré le Hairpinning de la box
> https://doc.yunohost.org/fr/dns_local_network
ps : les liens vers les 2 captures d'écran sont manquants ( erreur 404 )
[14:19:54]
<pti-jean> rivileo, Attention, il te faut pas un VPN anonymisant (je j'appelle VPN NAT) , comme protonmail ou FDN Public... Il te faut un VPN avec ton adresse IP publique a toi, sur la quelle tu peux configurer ton DNS reverse... Moi, j'utilise le VPN FDN payant... et cela fonctionne !
[14:20:36]
<·☽•Nameless☆•777 · ±> Oui c'est ça, du coup si je suis bien tu ne peux pas accéder à yunohost depuis ton réseau local, suis la dernière partie de ce tuto ça devrait t'aider
> Configurer le fichier hosts de l’ordinateur client
[14:20:48]
<·☽•Nameless☆•777 · ±> Oui c'est ça, du coup si je suis bien tu ne peux pas accéder à yunohost depuis ton réseau local, suis la dernière partie de ce tuto ça devrait t'aider
> https://doc.yunohost.org/fr/dns_local_network#configurer-le-fichier-hos
[14:54:59]
<laguill13> > <@lautre:matrix.org> Il y a quoi dans le (i) du champs, tout à droite?
C'est un champ obligatoire
`MagicDNS vous permettra d'accéder à vos hôtes avec un domaine tel que 'monhote.nom utilisateur.domainedebase.tld'`
Je ne comprends pas ce que c'est ?
[15:40:54]
<darl200> hello auto-hébergés : certificat de mon ynh a expiré. Je n'ai plus accès à l'interface web mais encore en ssh local. Des idées ?
[15:43:53]
<Salamandar> `yunohost domain cert renew`
[15:44:06]
<Salamandar> mais sinon dans ton navigateur tu rajoutes une exception de sécurité que tu retires juste après
[15:52:12]
<darl200> En cli, j'ai du forcer --no-checks. En web pas possible car hsts requis. Pb résolu. Merci.
[16:46:10]
<tituspijean> > <@laguill13:matrix.org> C'est un champ obligatoire
> `MagicDNS vous permettra d'accéder à vos hôtes avec un domaine tel que 'monhote.nom utilisateur.domainedebase.tld'`
> Je ne comprends pas ce que c'est ?
C'est un serveur DNS qui tourne sue chacun des clients Tailscale (adresse 100.100.100.100) qui te permet d'accéder aux machines du VPN à partir de leur nom d'hôte (ou du nom défini lorsque tu lances le client en CLI).
Par exemple chez moi j'ai choisi "vpn.internal" comme domaine de base et j'accède à mes serveurs comme "nas.vpn.internal" et "dev.vpn.internal".
D'ailleurs c'est bizarre je pensais avoir enlevé la mention du ".utilisateur." dans les domaines magicdns. Ça a été retiré par Headscale il y a quelques versions
[16:47:25]
<tituspijean> Bon j'ai dû bidouiller un peu plus car j'utilise AdGuard, et j'ai dû ajouter une règle supplémentaire pour dire à adguard "pour tous les domaines finissant par vpn.internal, demande à 100.100.100.100"
[16:55:47]
<tituspijean> Désavantage de magicdns, ça ne supporte pas les sous-domaines. Donc app.dev.nas.internal n'est pas résolu. Peut-être qu'avec un peu de magie avec adguard ça marcherait mais bon...
[16:59:10]
<tituspijean> ---
D'ailleurs j'ai un peu bidouillé là dedans ce matin pour lister toutes les étapes pour avoir un VPS public servant de relais pour un serveur local. Je suis resté bloqué sur la configuration du SNI passthrough, ça casse tout. C'est quoi les étapes pour le mettre en place ?
Ce que j'ai cru comprendre et tenté:
- Le serveur local a un domaine.tld et une app installée de dessus
- l'enregistrement DNS de domaine.tld pointe vers le serveur proxy
- ...et là je suis perdu. C'est le serveur local qui doit avoir le certificat letsencrypt ?
[17:27:27]
<laguill13> > <@titus:pijean.ovh> C'est un serveur DNS qui tourne sue chacun des clients Tailscale (adresse 100.100.100.100) qui te permet d'accéder aux machines du VPN à partir de leur nom d'hôte (ou du nom défini lorsque tu lances le client en CLI).
>
> Par exemple chez moi j'ai choisi "vpn.internal" comme domaine de base et j'accède à mes serveurs comme "nas.vpn.internal" et "dev.vpn.internal".
> D'ailleurs c'est bizarre je pensais avoir enlevé la mention du ".utilisateur." dans les domaines magicdns. Ça a été retiré par Headscale il y a quelques versions
A Ok donc c'est pas possible d'accéder à hass ou jellyfin qui sont configurés en sous domaine ?
[17:28:08]
<laguill13> Dans ces cas d'usage il vaut mieux utiliser zerotier mais qui a pour inconvénient d'être utiliser avec adresse IP ?
[18:23:12]
<lautre> Ton proxy-SNI va faire passe-plats, donc il ne touchera pas aux certificats.
Il regarde juste l'enveloppe, sans la décacheter, lis l'adresse, et transmets au destinataire (un autre serveur, derrière ce proxy-SNI, qui lui va s'occuper du chiffrement/déchiffrement avec les clefs Let's Encrypt, et la communication avec le navigateur).
En gros, le proxy-SNI est presque transparent.
Mais, depuis les serveurs derrière ce proxy, ils voient les requêtes arriver par ce proxy.
Comme c'est un proxy, sur Nginx il faut ajouter dans les lignes avec listen : proxy_protocol
D'autre part, il y a des manipulations à faire pour que ce soit les IP externes qui soient transmises, et, dire aux serveurs qui sont derrière qu'ils peuvent faire confiance dans les infos des IP externes transmises par ce ou ces proxy.
Bien entendu, il faut avoir le contrôle de ces proxy
[18:23:42]
<lautre> Documenter ce truc pour Yunohost est dans ma todoliste
[18:24:02]
<lautre> Je l'avais fait, et j'ai perdu la config pendant les mises à jours vers Yunohost 12, et, j'ai égaré mes notes sur ce sujet
[18:25:40]
<lautre> Le truc pour les IP externes, c'est seulement du confort, ça n'empêche pas le fonctionnement (mais il faut désactiver fail2ban puisque tout arrive via la même IP, celle du Proxy-SNI)
[19:35:14]
<tituspijean> > <@laguill13:matrix.org> A Ok donc c'est pas possible d'accéder à hass ou jellyfin qui sont configurés en sous domaine ?
Non, sauf si tu configures un adguard ou autre serveur DNS à la main pour servir ces sous-domaines. Mais il y a un ticket ouvert chez Tailscale/Headscale pour supporter les sous-domaines
[19:35:50]
<tituspijean> > <@laguill13:matrix.org> Dans ces cas d'usage il vaut mieux utiliser zerotier mais qui a pour inconvénient d'être utiliser avec adresse IP ?
Là je ne suis pas sûr, ça peut aussi fonctionner avec ZeroTier, mais il faut aussi un serveur DNS configuré pour le VPN
[19:37:15]
<tituspijean> lautre: pour proxy_protocol je vois bien l'instruction sur le panneau de config de YunoHost mais je ne vois pas dans quel bloc de la config NGINX du serveur local le mettre
[19:37:53]
<tituspijean> > <@lautre:matrix.org> Documenter ce truc pour Yunohost est dans ma todoliste
On peut se faire un pad et combiner nos notes
[19:40:09]
<tituspijean> > <@lautre:matrix.org> Le truc pour les IP externes, c'est seulement du confort, ça n'empêche pas le fonctionnement (mais il faut désactiver fail2ban puisque tout arrive via la même IP, celle du Proxy-SNI)
Ce n'est que le protocole HTTPS qui passe par le proxy SNI, correct ? Il n'y a pas moyen d'utiliser le header X-Real-IP et dire à Fail2ban de le lire au lieu de l'IP du proxy ?
[20:16:45]
<lautre> Je veux bien un accès à un pad, pour mettre au point la doc.
D'autant plus, que ce serait bien que ce cas de figure soit pris en compte dans Yunohost
[20:17:16]
<lautre> Oui, il y a moyen d'utiliser X-real-IP, je l'ai sur un serveur, mais j'ai perdu la conf sur le yunohost
[20:21:12]
<lautre> J'ai mes certificats gérés par Yunohost. L'IPv6 tape directement sur la bonne VM, donc pas de Proxy-SNI
[20:21:57]
<lautre> Pour l'IPv4, ça passe par du Proxy-SNI, donc je dois corriger dans Yunohost ce cas de figure ainsi: (je me connecte ...)
[20:29:53]
<lautre> Par exemple, pour chacun des nom de domaine, j'ai la ligne `listen 443 ssl http2 proxy_protocol;`
Dans chaque fichier de `/etc/nginx/conf.d/exemple.com.conf`
[20:30:35]
<lautre> Donc, ça ne concerne que SSL, et IPv4 dans mon cas
[20:30:59]
<lautre> Puisque pour let's encrypt dans Yunohost c'est via les DNS
[20:36:12]
<lautre> Par contre, je n'ai plus les modifications pour les IP externes
[22:19:48]
<stereo> just tried to upgrade glitchsoc and failed. is that a known issue? https://paste.yunohost.org/raw/kiqucuguqu
[22:49:06]
<miro5001> > <@stereo:gnubox.club> just tried to upgrade glitchsoc and failed. is that a known issue? https://paste.yunohost.org/raw/kiqucuguqu
What version is your YunoHost?
[22:54:22]
<stereo> 12.1.3 (testing)
[22:55:18]
<stereo> and glitchsoc from 2024.12.29~ynh1 to 2025.03.30~ynh1
[23:21:32]
<tituspijean> (it's written at the bottom of the log's header 😶🌫️ )
[23:22:14]
<tituspijean> dang it's the bug with some of the helpers in v12.1, still unresolved it seems