Accès local en 403: Forbiden

Entraide Home Assistant
1

Bonjour à tous

Et voilà encore un mystère que je ne serais expliquer sinon je ne serais pas là :wink:

Hier j’ai mis à jour mes différents éléments HACS, Addon, HA …
J’ai aussi fait du dashboard en testant bubble card par exemple.

et je ne sais pas pourquoi et suite à quelle manipulation je n’arrive plus à accéder à HA en local !
les deux adresses suivantes me retour 403: forbiden !

Par contre j’ai accès via mon NDD sans soucis, ce qui m’a permis d’aller voir dans le fichier ip.yaml et le fichier est vide aucune adresse indiquée !
Depuis un autre PC ou téléphone j’ai aussi le 403: Forbiden, ce qui me fait dire que c’est pas mon routeur qui me ban (d’ailleurs je ne vois rien dessus)

J’ai fait aussi le test avec un backup de mon HAOS d’hier et tout fonctionne donc c’est bien ciblé sur la journée d’hier.
J’ai fait les mises à jour citées plus haut et toujours accès donc cela ne semble pas la cause.

Mais j’aimerais bien trouver la cause quand même avant de repartir avec mon backup

Si vous avez eu déjà eu ce mystère je prends

System Information

version core-2024.9.2
installation_type Home Assistant OS
dev false
hassio true
docker true
user root
virtualenv false
python_version 3.12.4
os_name Linux
os_version 6.6.46-haos
arch x86_64
timezone Europe/Paris
config_dir /config
Home Assistant Community Store
GitHub API ok
GitHub Content ok
GitHub Web ok
HACS Data ok
GitHub API Calls Remaining 5000
Installed Version 2.0.1
Stage running
Available Repositories 1431
Downloaded Repositories 133
Home Assistant Cloud
logged_in true
subscription_expiration 13 décembre 2024 à 01:00
relayer_connected true
relayer_region eu-central-1
remote_enabled true
remote_connected true
alexa_enabled true
google_enabled false
remote_server eu-central-1-18.ui.nabu.casa
certificate_status ready
instance_id 53eec41b217f4a88b24f5c33091ea7fd
can_reach_cert_server ok
can_reach_cloud_auth ok
can_reach_cloud ok
Home Assistant Supervisor
host_os Home Assistant OS 13.1
update_channel stable
supervisor_version supervisor-2024.09.1
agent_version 1.6.0
docker_version 26.1.4
disk_total 62.3 GB
disk_used 44.6 GB
healthy true
supported true
host_connectivity true
supervisor_connectivity true
ntp_synchronized true
virtualization kvm
board ova
supervisor_api ok
version_api ok
installed_addons ESPHome (2024.8.3), Samba share (12.3.2), Dropbox Sync (1.3.0), Samba Backup (5.2.0), Home Assistant Google Drive Backup (0.112.1), Studio Code Server (5.15.0), MQTT Explorer (browser-1.0.1), MariaDB (2.7.1), phpMyAdmin (0.9.1), Terminal & SSH (9.14.0), Music Assistant Server (2.2.5), porcupine (1.1.0), Whisper (2.1.2), Piper (1.5.2), openWakeWord (1.10.0), vosk (1.6.1), Matter Server (6.5.1), OpenThread Border Router (2.10.0)
Dashboards
dashboards 5
resources 102
views 49
mode storage
Recorder
oldest_recorder_run 10 septembre 2024 à 04:41
current_recorder_run 17 septembre 2024 à 10:09
database_engine mysql
database_version 10.11.6
2

Salut,

domage de ne pas avoir indiqué les infos de ta config (quel archi réseau, quel addon etc) parce que ça aide pour te proposer une piste. Et les logs aussi :wink:

Du coup, au pif : trusted_proxies à jour ?

1 « J'aime »
3

Bonjour,
merci de mettre ta configuration :joy:

403: forbiden est un code d’état HTTP signifiant que l’accès à la ressource demandée est interdit. Le serveur a compris la demande, mais ne la satisfera pas.

1 « J'aime »
4

ce 403: forbiden je l’ai de temps en temps quand je m’auto ban mais j’ai l’inscription dans le fichier ip_bans.yaml des IP je supprime si je sais ce que c’est et ça repars.

Mais là rien du tout dans ce fichier de visible

par contre avec l’indication de @Pulpy-Luke sur trusted_proxies j’ai augmenté

login_attempts_threshold: 15

pour tester et voir si cela pouvait aider !
et oui en mettant un nombre élevé les accès sont de nouveau possible !

Etrange ce mystère :slight_smile:

5

Je comprends pas, tu a un NDD sans le HTTPS activer ?
sans let’s encrypt ?
Et un reverse proxy pour avoir accès en HTTP ?

6

Si si mon NDD en https fonctionne à merveille
c’est mon local IP.8123 en htpp qui ne marche pas

7

Pas si étrange, tu as eu 2 tentatives d’accès avec un mot de passe faux.
Ce qui est étonnant c’est que ton ip ne soit pas dans le fichier, mais par contre ça doit être visible dans les logs.

Solution plus jolie que de monter le nombre de tentatives à 15, c’est de désactiver le ban temporairement, vider le fichier, relancer HA, se connecter, remettre le ban et se re-reconnecter

8

Tu passes par un reverse proxy sur une autre machine ?

HTTPS activer = plus d’accès en HTTP.
Reverse proxy oblige pour un accès HTTP.

je rejoins @Pulpy-Luke , un souci d’ip du trusted_proxies

http:
  use_x_forwarded_for: true
  trusted_proxies:

edit:
Ah !! le sysadmin arrive :grin:

9

si il passe pas http://ip_locale:8123 y’a pas d’histoire de proxy

1 « J'aime »
10

J’ai cherché dans mes 4Mo de fichier txt de log :slight_smile: j’ai rien vu permettant de cibler ça justement :frowning:
Là j’ai remis 3 ça marche encore :thinking:
Je repasse à 2 (configuration faite depuis le 1er jour il y a quelques années) et ça fonctionne !!!

c’est fou ce truc, bon j’aurais appris à mettre ma config du coup :wink:

euh si https dans un navigateur sur mon PC et le http dans une autre fenêtre sur le même PC alors :boom: mais je le fais très souvent ça !
et en plus si je suis en local sur PC et que j’ai une personne sur un téléphone il va passer par le https donc ça devrait faire :bomb: aussi ? et ça marche

http:
  use_x_forwarded_for: true
  trusted_proxies:
    - !secret swagvm_ip # Adresse IP où est votre reverse proxy
    - 192.168.1.0/24
  ip_ban_enabled: true
  login_attempts_threshold: 2
11

il faut faire le distinguo entre

  • HTTPS avec le nom de domaine
  • HTTP avec l’ip + port

De ta config, le certificat n’est pas géré par HA, donc l’accès HTTP avec l’ip est correct. Typiquement avec Let’s encrypt, c’est pas jouable

1 « J'aime »