avec juste let’s encrypt le SSL est sur l’interne ET l’externe
ce qui peux poser problème avec laccès via son IP interne et l’application mobile
C’est le cas. Que fait-on ? je l’accede en interne avec https?
1 « J'aime »
Bonjour,
Cherche sur le forum les sujets sur NGINX Home Assistant SSL proxy
1 « J'aime »
ta box doit supporter un mécanisme qui s’appel le NAT loopback donc meme en interne tu peux utiliser ton nom de domaine
attention, si tu passe par NGINX tu repart de zéro ta config pour l’acces externe…
Là ça (re)marche donc ce n’est peut être pas le moment de tout changer…
Perso ça marche très bien en faisant ça.
- acces via l’url freebox os sur l’appli mobile (même en interne)
- acces via l’ip locale depuis le PC en interne (suivant les navigateurs tu as parfois un warning que tu peux ignorer)
- acces via l’url freeboxos depuis le pc en externe
OK je laisse comme ça, je laisse le sujet ouvert pour l’instant au cas ou vous auriez qq chose à préciser.
Merci encore à vous tous pour l’aide
Le problème précédent refait surface.
Je résume :
Matériel : raspberry 4, SSD, freebox et domaine free,
Logiciel : Pi imager + HAOS téléchargé hier.
Config de l’accès local et extérieur grâce à votre aide, File editor, Let’s Encrypt
Problème : La configuration de l’accès local fonctionnant correctement (port 80),
Je lance l’installation/config de l’addon Let’s Encrtpt, config port 443 et config.yaml. Redémarrage du Raspi : l’accès extérieur fonctionne mais plus celui local.
On en était là hier soir. J’ai recommencé la procédure complète d’installation (comme Edith Piaf, je suis reparti à zéro !).
On en arrive au même résultat : l’accès extérieur seul fonctionne
Conséquences : la mise à jour du certificat LE ne pourra se faire,
L’installation de MQTT et sans doute d’autres modules n’est plus possible.
Probablement que le module LE version 5.4.0 peut être en cause. Je ne sais pas s’il est possible de tester une version plus ancienne.
Donnez votre avis svp pour faire remonter ce dysfonctionnement.
.
Log de MQTT :
time=« 2025-02-26T19:22:21+01:00 » level=error msg=« http request error: Post "http://127.0.0.1:80/superuser\ »: dial tcp 127.0.0.1:80: connect: connection refused"
2025-02-26 19:22:21: Saving in-memory database to /data//mosquitto.db.
time=« 2025-02-26T19:22:21+01:00 » level=error msg=« http request error: Post "http://127.0.0.1:80/acl\ »: dial tcp 127.0.0.1:80: connect: connection refused"
time=« 2025-02-26T19:22:21+01:00 » level=error msg=« Post "http://127.0.0.1:80/superuser\ »: dial tcp 127.0.0.1:80: connect: connection refused"
[18:22:21] INFO: Service restart after closing
s6-rc: info: service legacy-services successfully stopped
s6-rc: info: service legacy-cont-init: stopping
s6-rc: info: service legacy-cont-init successfully stopped
s6-rc: info: service fix-attrs: stopping
s6-rc: info: service fix-attrs successfully stopped
s6-rc: info: service s6rc-oneshot-runner: stopping
s6-rc: info: service s6rc-oneshot-runner successfully stopped
Si ton accès local fonctionne
Grâce au nat loopback de la plupart des box opérateur tu utilises ton nom de domaine même en interne
Tu peux aussi utiliser ton ip en interne mais sans oublier bien sûr d’utiliser le https tu aura une erreur de certificat qu’il faudra simplement bypasser, par contre impossible a bypasser avec l’application mobile dolx il faut utiliser le nom de domaine
Hélas non, c’est décrit dans ‹ Problème ›
Les addons utilisent l’ip 127.0.0.1, il n’y a pas de bidouille possible.
Entre temps j’ai désinstallé LE et les deux déclarations dans config.yaml. L’accès local n’est plus accessible.
Demain je vais rechercher sur github une version plus ancienne pour voir (j’utilisais une version du mois d’avril 2024 qui n’avait pas ce problème)
J’arrête pour ce soir. Bonne soirée
Tu n’as pas rentré ton adresse avec https:
Tout simplement tu n’es pas le premier à qui ce arrive en pensant que ça 'e fonctionne pas
C’est aussi pour cette raison que je préfère utiliser un reverse proxy pour ne pas faire porter le ssl par HA mais par le reverse proxy
Les addon sont des conteneurs docker et n’utilisent pas le 127.0.0.1 mais passent par le bridge docker et surtout le ssl n’est configuré que sur le http
Il va être difficile de t’aider si tu ne donnes pas plus d’information, que ce soit pour cette fois ou pour tes problèmes à venir.
L’accès local et le port 80 n’ont aucun lien.
- le port 80 est utilisé par LE seulement lors du renouvellement du certificat (donc seulement dans 3 mois pour toi) pour regénérer un certificat. Il va vouloir vérifier qu’il peut toujours accéder à ta machine depuis xxx47.freeboxos.fr plus de détails là: Challenge Types - Let's Encrypt)
- HA est accessible uniquement sur le port 8123 de la machine qui héberge HA (ton Rpi avec l’IP 192.168.1.38 ) pas sur le port 80…
Si l’accès extérieur fonctionne, c’est que
- HA fonctionne
- LE a généré un certificat HTTPS valide que HA utilise
- le port 443 (accès extérieur) est bien redirigé sur le port 8123 (accès local) de la bonne machine.
LE ne sert à rien sur l’accès intérieur voire vient parasiter les chose car HA attend désormais du trafic httpS comme on te l’a dit
LE ne se met en route qu’une fois tous les 3 mois pour générer un certificat valide les 3 prochains mois
Ton problème initial n’étais pas avec LE (il ne l’a même jamais été), c’était un problème de redirection de port (soit le 80 soit le 443) vers la bonne IP…
Ton « nouveau » soucis d’accès interne est peut être engendré par la mise en route de LE, mais sans doute pas par la version de LE il ne sert à rien de changer de version ce sera pareil…
Alors quelques questions pour que tout le monde puisse comprendre ton « vrai » problème et pouvoir t’aider:
- quand tu dis l’accès local c’est quoi?
-
l’accès via l’appli companion?
- depuis ton wifi ?
- depuis la 5G mais dans ton domicile?
- quelle est la config de ton appli companion (capture d’écran?)
-
l’accès depuis ton PC / tablette / telephone depuis un navigateur
- en tapant quelle adresse ?
- capture d’écran?
-
Quelle ip utilises tu ?
-
On te l’a dit mais tu es peut être passé à coté de l’info, a partir du moment où tu installes LE et le code dans config.yaml, il te faut te connecter en httpS même en local
Donc ton accès local n’est plus http://iplocaledehomeassistant:8123
mais https://iplocaledehomeassistant:8123
donc a priori https://192.168.1.38:8123
Tu devrais avoir un avertissement comme quoi le certificat n’est pas valide (car le certificat est généré pour xxxx47.freeboxos.fr pas pour 192.168.1.38) mais tu cliques sur ignorer et normalement ça marche (ça dépend des navigateurs).
Sinon rien n’empêche d’accéder via https://xxx47.freeboxos.fr:443 si le loopback est bien fait en local ça devrait rester en trafic local, sinon ça sort via l’exterieur, mais en https…
C’est ce qu’on a essayé de te dire là:
1 « J'aime »
la config de mon appli companion (pas d’ip locale définie… depuis le smartphone tout passe via l’exterieur):
accès via navigateur depuis n’importe où en tapant: https://maisonxxxx.freeboxos.fr:433
accès uniquement depuis le réseau local en tapant https://192.168.1.9:8123 mais avec un warning comme dit plus haut
Note: mon accès est sur le port 433 au lieu du 443 car je suis dyslexique… ça ne change rien, sauf que le 443 étant un port par défaut on peut taper indifféremment https://maisonxxxx.freeboxos.fr:443 ou https://maisonxxxx.freeboxos.fr perso je suis obligé de spécifier systématiquement le port https://maisonxxxx.freeboxos.fr:433 mais une fois fini j’ai eu la flemme de tout refaire…
Ca c’est pas très clair 
1 « J'aime »
Bonjour à tous,
Je me suis absenté et n’ai pu suivre la discussion. Je reprends aujourd’hui le fil.
Vos précisions apportent beaucoup de clarté sur le fonctionnement de ces configurations.
Je vais reprendre le déploiement de HA dans les prochaines semaines parce que j’ai plusieurs autres occupations en cours et pas assez dispo actuellement.
Je vous remercie tous pour votre patience et vos conseils. A plus tard pour reprendre mes manips.
Bonjour à tous
J’ai repris nos échanges et j’ai refait une installation « dans les règles » et ça fonctionne.
J’ai épuré les conversations, les conseils pour en faire un condensé de bons tuyaux parce que d’une part si je dois reprendre mon installation, je ne veux pas avoir à solliciter une fois encore votre patience, et aussi ça peut être utile à des experts « en devenir » d’aller droit au but et se réserver pour plus tard.
Ce n’est pas un tuto mais une aide au démarrage. Je vous demande aux ténors de HA de jeter un coup d’œil à ce document et de le modifier si besoin est. Vous pourrez en faire ce que vous voulez, le recommander, le joindre à vos tutos si vous le pensez utile. J’ai seulement besoin de savoir comment vous le faire parvenir ?
Encore merci pour votre aide, votre patience.
1 « J'aime »