Warning avec Nginx Proxy Manager

Pulpy-Luke · Juillet 16, 2021, 6:31

C’est pas le bon addon, le souci est dans NGINX Home Assistant SSL proxy

A priori, utile pour générer les certificats SSL ce que semble faire également Nginx Proxy Manager
Et comme il n’est pas mentionné dans le tuto, je ne sais pas s’il est indispensable (@Sylvain_G une idée ?)?
Si oui :
La mise en forme est-elle correcte (incluant les espaces en début de ligne ) ?
Que donne les logs de cette partie ?

Clemalex · Juillet 16, 2021, 8:53

Non il n’est pas nécessaire , NPM gère très bien les certificats.

@Malvu, je ne vois pas l’add-on que cite @Pulpy-Luke et qui renvoie des warning :

L’as-tu ? Tu n’aurais pas mis la configuration d’un autre add-on ? Refais le tutoriel en entier calmement

Pulpy-Luke · Juillet 16, 2021, 9:00

Egon: J’ai oublié de vous faire une recommandation essentielle.

Peter: Quoi ?

Egon: Ne jamais croiser les effluves.

Peter: Pourquoi ?

Egon: Ce serait mal !

@ SOS fantômes

Clemalex · Juillet 16, 2021, 9:22

Pulpy-Luke · Juillet 16, 2021, 9:26

Parfait ce petit extrait !
Du coup j’ai hâte de savoir la suite… Et la coïncidence avec le pseudo de @Malvu serai tellement improbable !

Malvu · Juillet 17, 2021, 10:25

bon après de multiple essai, je me suis contrains a installer Nginx Proxy Manager ET Nginx Home Assistant SSL Proxy en parallèle.
cela a été la seule solution pour supprimer tout les message d’erreur et garder un accès externe.

Pulpy-Luke · Juillet 17, 2021, 10:28

Dans ce cas, il faut nous en dire plus sur LA/LES contrainte(S) qui t’amène à ce constat, parce que ça ne semble pas du tout indispensable d’avoir les 2. Et dans tous les cas, avec des fonctionnalités redondantes, c’est beaucoup plus lourd à maintenir. Que ça soit la solution ‹ facile ›, c’est fort possible, mais c’est aussi moins propre

Pozzi · Juillet 17, 2021, 10:37

Tout d’accord avec @Pulpy-Luke , c’est l’un ou l’autre.

Je reviens juste sur ton message d’origine qui indique qu’il ne trouve pas la configuration de ses options, donc refaire la configuration de NPM.
Et dernier point, tu vas avoir un conflit de gestion avec let’s encrypt avec ton addon Duck DNS et NPM. Il te faut désactiver la gestion Let’s Encrypt dans l’addon Duck DNS (si ce n’est pas déjà fait) et laisser NPM le gérer !

Clemalex · Juillet 17, 2021, 11:20

Tu devrais tout enlever et reprendre le tuto depuis zéro…

Malvu · Juillet 17, 2021, 11:23

Je vais essayer d’être clair,

En premier lieu j’installe Nginx Proxy manager de ce fait je perd la connexion depuis l’extérieur en passant par Duckdns.
en modifiant la configuration avec l’option « modifier en tant que YAML » et en ajoutant ceci :

domain: votre domaine

certfile: nginxproxymanager/live/npm-1/fullchain.pem

keyfile: nginxproxymanager/live/npm-1/privkey.pem

hsts: max-age=31536000; includeSubDomains

cloudflare: false

customize:

active: false

default: nginx_proxy_default*.conf

servers: nginx_proxy/*.conf

L’accès est a nouveau possible MAIS avec des erreurs dans le journal supervisor :

`21-07-16 16:43:18 WARNING (MainThread) [supervisor.addons.options] Option ‹ domain › does not exist in the schema for Nginx Proxy Manager (a0d7b954_nginxproxymanager)

21-07-16 16:43:18 WARNING (MainThread) [supervisor.addons.options] Option ‹ certfile › does not exist in the schema for Nginx Proxy Manager (a0d7b954_nginxproxymanager)

21-07-16 16:43:18 WARNING (MainThread) [supervisor.addons.options] Option ‹ keyfile › does not exist in the schema for Nginx Proxy Manager (a0d7b954_nginxproxymanager)

21-07-16 16:43:18 WARNING (MainThread) [supervisor.addons.options] Option ‹ hsts › does not exist in the schema for Nginx Proxy Manager (a0d7b954_nginxproxymanager)

21-07-16 16:43:18 WARNING (MainThread) [supervisor.addons.options] Option ‹ cloudflare › does not exist in the schema for Nginx Proxy Manager (a0d7b954_nginxproxymanager)

21-07-16 16:43:18 WARNING (MainThread) [supervisor.addons.options] Option ‹ customize › does not exist in the schema for Nginx Proxy Manager (a0d7b954_nginxproxymanager)
`

Donc retour a la configuration par defaut de NPM et installation de NGINX Home Assistant SSL Proxy, en prenant soin de désactiver le port 443 dans la configuration.

Et là, tout fonctionne parfaitement (en tout les cas pour le moment) les messages d’erreur disparaisse et l’accès distant en SSL est actif.

Clemalex · Juillet 17, 2021, 11:51

On reprends depuis le début ?

Comment accèdes tu à HA sans Nginx ?

Tu as quelles redirections au niveau de ta box ?

Cette configuration ne correspond pas à cet add-on

Voici la documentation de l’add-on, tu ne trouveras pas ces lignes… :

github.com

hassio-addons/addon-nginx-proxy-manager/blob/main/proxy-manager/DOCS.md

# Home Assistant Community Add-on: Nginx Proxy Manager

This add-on enables you to easily forward incoming connections to anywhere,
including free SSL, without having to know too much about Nginx
or Let’s Encrypt.

Forward your domain to your Home Assistant, add-ons, or websites running
at home or anywhere else, straight from a simple, powerful interface.

Want to protect the website with a username/password? Well, it can do that too!
Enable authentication and create a list of usernames/password that can access
that specific application.

For the power users, you can customize the behavior of each host in the
Nginx proxy manager by providing additional Nginx directives.

## Installation

The installation of this add-on is pretty straightforward and not different in
comparison to installing any other Home Assistant add-on.

This file has been truncated. show original

Pulpy-Luke · Juillet 17, 2021, 2:04

Pendant la phase de configuration, c’est pas totalement illogique que ça ne fonctionne pas tout de suite

Comme l’indique @Clemalex, ça n’existe pas dans le tuto…

Comme ça reviens à mettre des ronds dans des carrées durant l’étape précédente, c’est normal que ça râle un peu …

Suivre le tuto et rien que le tuto en oubliant ce qui est fait (bizarrement) avant devrait quand même simplifier grandement les choses

Malvu · Juillet 18, 2021, 6:39

En suivant le tuto et uniquement le tuto, l’accès en externe via duckdns la réponse est systématiquement « 400: Bad Request »

Pulpy-Luke · Juillet 18, 2021, 7:19

Salut.

Donc c’est bien cette partie qui est à corriger plutôt que de rajouter un élément (le tutoriel fonctionne ailleurs donc pas de raison que ça ne fasse pas pareil)
Donc il faut comme d’habitude repartager les logs et les configurations. Et répondre aux questions @Clemalex
Et il faut aussi regarder cette liste d’ip… Quelle est celle de ton reverse proxy et celle de ha

Malvu · Juillet 18, 2021, 7:49

en ip locale 192.168.1.5:8123

Activer	Service	Protocole	Hôte externe	Hôte Interne	Port Externe	Port Interne	Options
	Nginx Proxy Manager	TCP	*	192.168.1.5	80 - 81	80 - 81
	Nginx Proxy Manager	TCP	*	192.168.1.5	443	443

Pulpy-Luke · Juillet 18, 2021, 8:25

OK donc puisque tu es en docker et que le proxy est géré par HA, on doit pouvoir réduire à 3 maxi

http:
  ip_ban_enabled: false
  login_attempts_threshold: 3
  use_x_forwarded_for: true
  trusted_proxies:
    - 127.0.0.1
    - 192.168.1.5
    -  'ip en warning dans les log'

Les autres semblent en partie correspondent aux IP internes dockers…

Un fois pris en compte; quelle est l’erreur sur le navigateur ? Attention en fonction des navigateurs l’erreur est plus ou moins masquée : On devrait avoir une valeur genre 400/403/404/500/502/503
Qu’indique le journal de Nginx Proxy Manager ?

Malvu · Juillet 18, 2021, 9:34

je viens de repartir sur une installation complète de HA seul SSH, Samba, MariaDB et Ngnix proxy manager sont installer.

les lignes

ont été insérées.

voici ce que j’obtiens dans mon navigateur Brave et Edge

400 : Bad request

Pulpy-Luke · Juillet 18, 2021, 9:38

Donc l’erreur 400 c’est le blocage du reverse proxy…
Il doit y avoir dans les logs HA une info sur une ip qui est bloquée du genre :

"A request from a reverse proxy was received from 172.18.0.4, but your HTTP integration is not set-up for reverse proxies"

Il faut prendre l’ip (pas celle de mon exemple 172.18.0.4) est la mettre à la place de

-  'ip en warning dans les log'

Relancer et tester

Clemalex · Juillet 18, 2021, 10:06

@Malvu :

Je viens de reprendre un de tes messages précédent qui contenais l’information de ton nom de domaine.

Nous te conseillons d’éviter de dévoiler des informations à caractères personnelles dans vos messages.

Ces informations peuvent être

ton adresse ip publique
ton nom de domaine et/ou vos enregistrements DNS
ton adresse de messagerie électronique
tes identifiants et mots de passe
etc

L’équipe HACF.

Clemalex · Juillet 18, 2021, 10:41

Pulpy-Luke:

Il doit y avoir dans les logs HA une info sur une ip qui est bloquée du genre :
"A request from a reverse proxy was received from 172.18.0.4, but your HTTP integration is not set-up for reverse proxies"
Il faut prendre l’ip (pas celle de mon exemple 172.18.0.4) est la mettre à la place de
-  'ip en warning dans les log'
Relancer et tester

Cette partie est expliquer dans le tutoriel : Une seule @ip suffit.

@Malvu :

Je vais juste reprendre avec toi des explications non exhaustives sur le reverse proxy :

Toutes les connexions extérieures passent par ton Reverse Proxy (Nginx Proxy Manager = NPM dans ton cas)
Toutes les redirections sont configurées dans NPM
C’est NPM qui gèrent les certificats pour les connexions sécurisées

En prenant en comptes ces informations, dans ton cas il faut que :

Au niveau de la Box (routeur)

Au niveau de ta box, seuls les ports 80 et 443 doivent être ouvert et redirigé vers les ports 80 et 443 de ton instance HA

Port externe	@IP interne	Port interne
80	192.168.1.5	80
443	192.168.1.5	443

expliqué dans le tutoriel dans cette extrait :

Au niveau du Reverse Proxy (NPM)

NPM (Nginx Proxy Manager) s’administre/se configure directement dans ton navigateur internet préféré. Il est accessible sur le port 81 de ton instance de HA soit dans ton cas :

http:\192.168.1.5:81

Tu peux retrouver facilement cette information en te connectant à ton instance HA et en allant voir l’adresse qui est pointée par le lien OPEN WEB UI expliqué dans cet extrait :

Une fois dans la page d’administration, tu dois ajouter les redirections suivantes (Proxy Hosts):

Domain Names	Scheme	Forward Hostname / IP	Forward Port	Websockets Support
domotique.NomDeDomaine.duckdns.org	http	192.68.1.5	8123	Activé
reverse.NomDeDomaine.duckdns.org	http	192.168.1.5	81	Désactivé

Où NomDeDomaine correspond à ton nom de domaine chez DuckDns.

En réalisant cette configuration (Box + NPM), tu accèderas en HTTP à HA et NPM en tapant respectivement :

Passage en HTTPS

Ensuite pour l’accès en HTTPS, tu ne changes rien à la configuration actuelle, mais tu ajoutes simplement le SSL en éditant les proxy host comme expliqué ici : →

En théorie ça devrait le faire.

Tiens nous au jus