Accès à Home Assistant / HTTPS / NDD Freebox / Redirection ports / Let's encrypt / Certificats

ParmParm · Novembre 29, 2023, 6:46

Bonjour,

Je suis perdu dans l’installation du certificat et l’utilisation de l’add-on let’s encrypt.

Situation actuelle :

J’accède en http via un ndd.freeboxos.fr à home assistant. Connexion fonctionnelle. Mais non chiffrée.
J’accède en local à HA via l’ip locale de HA.
J’ai désactivé l’authentification par mot de passe via Freebox OS
J’ai désactivé la connexion entrante « Accès à distance Freebox OS » sécurisé et non sécurisé, car lorsque je me connectais à mon ndd.freeboxos.fr je tombais sur la console d’administration freebox OS qui occupait le port 80 et le port 443
Let’s encrypt me dit ça :

[18:11:32] INFO: Selected http verification
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Requesting a certificate for ndd.freeboxos.fr

Certbot failed to authenticate some domains (authenticator: standalone). The Certificate Authority reported these problems:
Domain: ndd.freeboxos.fr
Type: unauthorized
Detail: @ipfree: Invalid response from http://ndd.freeboxos.fr/.well-known/acme-challenge/mDZll5BuUwwgWVz7vM_ghOfT-Qaw0yhRIEwVSvhL3iA: 404

Hint: The Certificate Authority failed to download the challenge files from the temporary standalone webserver started by Certbot on port 80. Ensure that the listed domains point to this machine and that it can accept inbound connections from the internet.

Some challenges have failed.

- Les redirections actuellement actives :

WAN 80 → IPHA:8123
WAN 443 → IPHA:443

Ma configuration

version	core-2023.11.3
installation_type	Home Assistant OS
dev	false
hassio	true
docker	true
user	root
virtualenv	false
python_version	3.11.6
os_name	Linux
os_version	6.1.21-v8
arch	aarch64
timezone	Europe/Paris
config_dir	/config

Home Assistant Cloud

logged_in	false
can_reach_cert_server	ok
can_reach_cloud_auth	ok
can_reach_cloud	ok

Home Assistant Supervisor

host_os	Home Assistant OS 11.1
update_channel	stable
supervisor_version	supervisor-2023.11.6
agent_version	1.6.0
docker_version	24.0.6
disk_total	228.5 GB
disk_used	5.0 GB
healthy	true
supported	true
board	rpi4-64
supervisor_api	ok
version_api	ok
installed_addons	Duck DNS (1.15.0), File editor (5.7.0), MariaDB (2.6.1), NGINX Home Assistant SSL proxy (3.5.0), Let’s Encrypt (5.0.2)

Dashboards

dashboards	1
resources	0
mode	auto-gen

Recorder

oldest_recorder_run	24 novembre 2023 à 22:51
current_recorder_run	29 novembre 2023 à 16:36
estimated_db_size	2.46 MiB
database_engine	sqlite
database_version	3.41.2

___

Je vous saurai très reconnaissant de m’aider à identifier ce qui ne va pas

Pulpy-Luke · Novembre 29, 2023, 6:49

Salut

IPHA:443 n’existe pas seul le port 8123 est ouvert ans ton cas donc il faut

WAN 80 → IPHA:8123
WAN 443 → IPHA:8123

Oles67 · Novembre 29, 2023, 8:35

Il y a une alternative pour ton information. A toi de voir ce qui te parait le mieux et plus simple :

ParmParm · Novembre 29, 2023, 10:07

Merci déjà à tout le monde pour vos réponses.

J’ai modifié comme suit :

WAN 80 → IPHA:8123
WAN 443 → IPHA:8123

J’ai relancé Let’s encrypt, j’ai toujours le même message d’erreur.

Pulpy-Luke · Novembre 30, 2023, 2:43

Si tu fais un essai juste en http, tu arrive bien sur ha ?

Thierry.P · Novembre 30, 2023, 8:13

Il faut ouvrir le port 80 à tous le temps que lestencrypt récupère le certificat

ParmParm · Novembre 30, 2023, 3:55

Oui, j’y arrive normalement.

ParmParm · Novembre 30, 2023, 3:55

C’est à dire « à tous » ? Comment cela se traduit en terme de manipulation/ouverture de port ?

Pulpy-Luke · Novembre 30, 2023, 4:14

En passant bien par l’adresse duckdns ?

ParmParm · Novembre 30, 2023, 4:27

@Pulpy-Luke
Par ddns et par le ndd free les deux fonctionnent

Thierry.P · Novembre 30, 2023, 4:36

Tu passes la règle en activé, tu lances letsecnrypt et une fois qu’il a fini, tu la désactives

ParmParm · Novembre 30, 2023, 8:22

Lorsque je fais ça, je n’ai plus accès à HA.

Error

The requested URL could not be retrieved

The following error was encountered while trying to retrieve the URL: http://ndd.duckdns.org/

Connection to @IPFREE failed.

The system returned: (111) Connection refused

The remote host or network may be down. Please try the request again.

Pulpy-Luke · Novembre 30, 2023, 9:16

Tu n’as pas une autre règle sur le port WAN 80 ???

ParmParm · Novembre 30, 2023, 9:28

Voici mes ports :

Si j’essaye d’ajouter :
WAN 80 → LAN 80
Ca me dit que j’ai déjà un règle pour ce port en place.

J’avais donc désactivé la règle 80->8123 pour pouvoir insérer la règle 80->80

ParmParm · Novembre 30, 2023, 9:46

Bon, j’ai fait ça :

J’ai désactivé la règle WAN80 → LAN 8123
J’ai laissé la règle WAN 80 → LAN 80
Je me suis connecté à HA en local vu que via mon NDD et DDNS ça ne marche plus (logique vu l’absence de redirection non?)
J’ai lancé let’s encrypt
Réultat :

C’est tout bon ? Je dois donc passer à la suite et intégrer les clés dans le configuration.YAML?

Est-ce que ma procédure est normale? Je n’ai lu ça nulle part encore de procéder ainsi

Pulpy-Luke · Novembre 30, 2023, 10:00

OK, comme tu le vois dans les logs, là tu génére un certificat sur freeboxos, pas sur duckdns.
Il y a sans doute une subtilité que je n’ai pas en tête (pas de freebox ici)

ParmParm · Novembre 30, 2023, 10:16

Oui pardon c’est tout à fait normal, dans la config de lets encrypt je n’y ai mis que le NDD de free

Je me suis connecté en sécurisé à l’instant, parfait !

MERCI pour votre aide à tous les deux !

Thierry.P · Novembre 30, 2023, 10:41

N’oublies pas de désactiver tes règles sur le port 80, ensuite !