Gestion des ports, j'en perds mon latin

Christianb233 · Mai 28, 2023, 10:00

Bonjour,
Je m’excuse d’avance pour cette demande, car j’ai eu beau parcourir le forum sur la gestion de ports, je ne m’en sors pas, et je veux bien à nouveau de votre aide

Voilà :

mon Home Assistant supervised installé sur 192.168.1.40 est accessible en extérieur par xxx.duckdns.org
pour cela, sur mon routeur Freebox, j’ai fait une redirection de port :
IP destination 192.168.1.40
IP source Toutes
Port départ 443
Port fin 443
Port destination 8123
je souhaite installé un Reverse Proxi SWAG sur 192.168.1.27 via docker-compose, je l’ai donc configuré de la manière suivante :

---
version: "2.1"
services:
  swag:
    image: lscr.io/linuxserver/swag
    container_name: swag
    cap_add:
      - NET_ADMIN
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Europe/Paris
      - URL=yyyyy.duckdns.org
      - SUBDOMAINS=wildcard
      - VALIDATION=duckdns
      - DUCKDNSTOKEN=<mon-token>
      - EMAIL=<mon-adresse-email>
    volumes:
      - /home/pi/.docker/appdata/swag/config>:/config
    ports:
      - 4414:443
      - 81:80
    restart: unless-stopped

Je m’attendais donc à devoir faire une redirection 443 > 4414 pour mon 192.168.1.27, et voilà que mon routeur me refuse cette opération

Je loupe quelque chose dans le raisonnement que je ne maitrise pas = pouvez-vous m’aider à comprendre ce que je dois faire ?
Merci d’avance pour votre aide

Krull56 · Mai 28, 2023, 10:12

Hello

Tu ne peux rediriger un port que vers un seul hote.
Vu que ton port 443 est déjà utilisé pour ta redirection vers l"hote HA il faut rediriger un autre port de ta box vers ton proxy.

Vu que tu n’as qu’une seule adresse ip public, le routage vers les bons hotes se fait via les numéros de port

Christianb233 · Mai 28, 2023, 10:21

Merci @Krull56 pour ton retour mais…
Donc je m’attendais qu’en configurant un port de la sorte sur mon routeur tout aille mieux :
, j’ai fait une redirection de port :
IP destination 192.168.1.27
IP source Toutes
Port départ 4414
Port fin 4414
Port destination 4414
mais voilà qu’en tapant https://yyyy.duckdns.org il m’oriente vers la page de mon Home Assistant !

Krull56 · Mai 28, 2023, 10:22

Https://xxx.duckdns.org:4414

Le https c’est le port 443 par défaut mais tu peux préciser un autre port à la fin de ton url

Christianb233 · Mai 28, 2023, 10:35

D’accord je pense avoir compris :

https://xxxx.duckdns.org pointe par défaut vers le 443 redirigé vers le 8123 de mon home assistant
https://yyyy.duckdns.org:4414 pointe du coup vers le 4414 qui est lu par le 4414 défini dans le docker-compose de swag

Ultime question; est-il normal d’avoir du coup non sécurisé et https barré en rouge ?

Krull56 · Mai 28, 2023, 11:28

C’est normal, mes explications ne concernaient que la mécanique des redirections de ports.

Dans ton cas actuel, ton certificat letsencrypt n’est valable que pour ton hote HA.

L’objectif du reverse proxy est que seul celui-lci soit exposé sur internet ( port 443 c’est plus simple) et il fera les redirections vers tes hotes internes ( qui ne nécessiteront donc plus de redirections sur ta box)
Duckdns et certificat seront donc à configurer sur ton proxy inverse

Christianb233 · Mai 28, 2023, 11:37

Donc si je veux faire les choses proprement, je dois commencer par cela :
IP destination 192.168.1.27 (là où il y a le Reverse Proxy)
IP source Toutes
Port départ 443 puis le 80
Port fin 443 puis le 80
Port destination 443 puis le 80
puis redéployer ce stack

---
version: "2.1"
services:
  swag:
    image: lscr.io/linuxserver/swag
    container_name: swag
    cap_add:
      - NET_ADMIN
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Europe/Paris
      - URL=yyyyy.duckdns.org
      - SUBDOMAINS=wildcard
      - VALIDATION=duckdns
      - DUCKDNSTOKEN=<mon-token>
      - EMAIL=<mon-adresse-email>
    volumes:
      - /home/pi/.docker/appdata/swag/config>:/config
    ports:
      - 443:443
      - 80:80
    restart: unless-stopped

mais 1) comment le faire évoluer pour qu’il redirige convenablement home assistant 2) quelles redirections faire sur la box ?

Krull56 · Mai 28, 2023, 12:00

Au niveau de ta box les seules redirections sont les ports 443 et 80 vers ton hote swag.

tu configure ton reverse proxy pour que les sous domaines de ton url duckdns pointent vers les hotes auxquels tu veux acceder.

Tu trouveras toutes les infos dans la doc du reverse proxy

@+

Edit , tu peux te passer du port 80, et pourquoi ne pas utiliser nginx plutôt que swag ? Son interface graphique est plus simple pour débuter

Christianb233 · Mai 28, 2023, 5:29

oui c’est sûr @Krull56 c’est pas le plus aisé : à force de repull/deploy du stack, là j’ai droit dans les log swag à un :

An unexpected error occurred:
Error creating new order :: too many certificates (5) already issued for this exact set of domains in the last 168 hours: *.bernar243.duckdns.org, retry after 2023-05-29T20:39:44Z: see https://letsencrypt.org/docs/duplicate-certificate-limit/
Ask for help or search for solutions at https://community.letsencrypt.org. See the logfile /var/log/letsencrypt/letsencrypt.log or re-run Certbot with -v for more details.
ERROR: Cert does not exist! Please see the validation error above. Make sure you entered correct credentials into the /config/dns-conf/duckdns.ini file.

pff attendre demain soir avec de risque d’avoir encore des tentatives infructueuses de pull/deploy swag…
et je m’étonne aussi de ne toujours rien voir dans mon /home/pi/.docker/appdata/swag/config

En même temps, j’ai l’impression (peut-être à tort) de ne pas être bien loin de bien configurer; j’ai ce tuto en ligne de mire pour définir un nextcloud derrière le reverse proxy (mais home assistant je ne sais pas encore) : Installer Nextcloud avec swag ! 😎 (Docker/DuckDNS/Certbot/Openmediavault/Nextcloud/swag/nginx ...) - YouTube