Accès à Home Assistant / HTTPS / NDD Freebox / Redirection ports / Let's encrypt / Certificats

Bonjour,

Je suis perdu dans l’installation du certificat et l’utilisation de l’add-on let’s encrypt.

Situation actuelle :

  • J’accède en http via un ndd.freeboxos.fr à home assistant. Connexion fonctionnelle. Mais non chiffrée.
  • J’accède en local à HA via l’ip locale de HA.
  • J’ai désactivé l’authentification par mot de passe via Freebox OS
  • J’ai désactivé la connexion entrante « Accès à distance Freebox OS » sécurisé et non sécurisé, car lorsque je me connectais à mon ndd.freeboxos.fr je tombais sur la console d’administration freebox OS qui occupait le port 80 et le port 443
  • Let’s encrypt me dit ça :

[18:11:32] INFO: Selected http verification
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for ndd.freeboxos.fr

Certbot failed to authenticate some domains (authenticator: standalone). The Certificate Authority reported these problems:
Domain: ndd.freeboxos.fr
Type: unauthorized
Detail: @ipfree: Invalid response from http://ndd.freeboxos.fr/.well-known/acme-challenge/mDZll5BuUwwgWVz7vM_ghOfT-Qaw0yhRIEwVSvhL3iA: 404

Hint: The Certificate Authority failed to download the challenge files from the temporary standalone webserver started by Certbot on port 80. Ensure that the listed domains point to this machine and that it can accept inbound connections from the internet.

Some challenges have failed.

- Les redirections actuellement actives :

  • WAN 80 → IPHA:8123
  • WAN 443 → IPHA:443

Ma configuration


version core-2023.11.3
installation_type Home Assistant OS
dev false
hassio true
docker true
user root
virtualenv false
python_version 3.11.6
os_name Linux
os_version 6.1.21-v8
arch aarch64
timezone Europe/Paris
config_dir /config
Home Assistant Cloud
logged_in false
can_reach_cert_server ok
can_reach_cloud_auth ok
can_reach_cloud ok
Home Assistant Supervisor
host_os Home Assistant OS 11.1
update_channel stable
supervisor_version supervisor-2023.11.6
agent_version 1.6.0
docker_version 24.0.6
disk_total 228.5 GB
disk_used 5.0 GB
healthy true
supported true
board rpi4-64
supervisor_api ok
version_api ok
installed_addons Duck DNS (1.15.0), File editor (5.7.0), MariaDB (2.6.1), NGINX Home Assistant SSL proxy (3.5.0), Let’s Encrypt (5.0.2)
Dashboards
dashboards 1
resources 0
mode auto-gen
Recorder
oldest_recorder_run 24 novembre 2023 à 22:51
current_recorder_run 29 novembre 2023 à 16:36
estimated_db_size 2.46 MiB
database_engine sqlite
database_version 3.41.2
___

Je vous saurai très reconnaissant de m’aider à identifier ce qui ne va pas :blush:

Salut

IPHA:443 n’existe pas seul le port 8123 est ouvert ans ton cas donc il faut

  • WAN 80 → IPHA:8123
  • WAN 443 → IPHA:8123
1 « J'aime »

Il y a une alternative pour ton information. A toi de voir ce qui te parait le mieux et plus simple :

Merci déjà à tout le monde pour vos réponses.

J’ai modifié comme suit :

  • WAN 80 → IPHA:8123
  • WAN 443 → IPHA:8123

J’ai relancé Let’s encrypt, j’ai toujours le même message d’erreur.

Si tu fais un essai juste en http, tu arrive bien sur ha ?

Il faut ouvrir le port 80 à tous le temps que lestencrypt récupère le certificat

Oui, j’y arrive normalement.

C’est à dire « à tous » ? Comment cela se traduit en terme de manipulation/ouverture de port ?

En passant bien par l’adresse duckdns ?

@Pulpy-Luke
Par ddns et par le ndd free les deux fonctionnent

image
Tu passes la règle en activé, tu lances letsecnrypt et une fois qu’il a fini, tu la désactives

1 « J'aime »

Lorsque je fais ça, je n’ai plus accès à HA.

Error

The requested URL could not be retrieved


The following error was encountered while trying to retrieve the URL: http://ndd.duckdns.org/

Connection to @IPFREE failed.

The system returned: (111) Connection refused

The remote host or network may be down. Please try the request again.

Tu n’as pas une autre règle sur le port WAN 80 ???

Voici mes ports :

Si j’essaye d’ajouter :
WAN 80 → LAN 80
Ca me dit que j’ai déjà un règle pour ce port en place.

J’avais donc désactivé la règle 80->8123 pour pouvoir insérer la règle 80->80

Bon, j’ai fait ça :

  1. J’ai désactivé la règle WAN80 → LAN 8123
  2. J’ai laissé la règle WAN 80 → LAN 80
  3. Je me suis connecté à HA en local vu que via mon NDD et DDNS ça ne marche plus (logique vu l’absence de redirection non?)
  4. J’ai lancé let’s encrypt
  5. Réultat :

C’est tout bon ? Je dois donc passer à la suite et intégrer les clés dans le configuration.YAML?

Est-ce que ma procédure est normale? Je n’ai lu ça nulle part encore de procéder ainsi

OK, comme tu le vois dans les logs, là tu génére un certificat sur freeboxos, pas sur duckdns.
Il y a sans doute une subtilité que je n’ai pas en tête (pas de freebox ici)

Oui pardon c’est tout à fait normal, dans la config de lets encrypt je n’y ai mis que le NDD de free :slight_smile:

Je me suis connecté en sécurisé à l’instant, parfait !

MERCI pour votre aide à tous les deux !

N’oublies pas de désactiver tes règles sur le port 80, ensuite !

1 « J'aime »

Bonsoir,
J’ai exactement la même config mais je ne récupère pas de certificat :

[19:06:29] INFO: Selected http verification
[19:06:29] INFO: Detecting existing certificate type for xxxxxx.freeboxos.fr
./run: line 340:   468 Killed                  certbot certonly --non-interactive --keep-until-expiring --expand --email "$EMAIL" --agree-tos "${KEY_ARGUMENTS[@]}" --cert-name "${DOMAIN_ARR[1]}" "${DOMAIN_ARR[@]}" --config-dir "$CERT_DIR" --work-dir "$WORK_DIR" --preferred-challenges "$CHALLENGE" "${ACME_CUSTOM_SERVER_ARGUMENTS[@]}" --standalone --preferred-chain "ISRG Root X1" "${EAB_ARGUMENTS[@]}"
s6-rc: info: service legacy-services: stopping
s6-rc: info: service legacy-services successfully stopped

Et du coup je bloque…
Si une âme charitable pouvait me venir en aide :pray:

Pour info, j’ai donc une Freebox avec un sous-domaine xxxxx.freeboxos.fr
J’ai bien paramétré une IP fixe V4 full-stack
Et j’ai bien redirégé les ports (et c’est bien actif) :
image

Merci infiniment