Vous avez une question ?
Interrogez la communauté
internet & fixe
Bonjour,
J'héberge chez moi quelques services et utilise pleinement le loopback pour y accéder avec le même nom de domaine et ports, dans mon réseau local ou depuis l'extérieur.
Depuis ce matin, une erreur se produit quand j'essaie de profiter du loopback sur les ports 80 et 443.
Voici quelques exemples pour clarifier. Si je fais mon-domaine.fr:X avec n'importe quelle valeur de X sauf 80 ou 443, ça marche très bien que ce soit chez moi ou depuis l'extérieur. Par contre, mon-domaine.fr:80 ou mon-domaine:443 ne marche pas chez moi mais marche depuis l'extérieur.
Je pense que la box se mélange les pinceaux avec son propre panneau d'admin disponible sur ces ports. En effet, lorsque j'essaie la connexion HTTPS en loopback sur https://mon-domaine.fr, Firefox me dit que le certificat est louche et me permet de l'afficher :
Hier soir encore cela marchait très bien, y-a-t'il eu une mise à jour dans la nuit peut être ? D'autres personnes ont-elles ce problème ?
Livebox 4 v3.103.16
Merci d'avance
Cordialement
Merci de ta réponse !
Quand je parle loopback je veux dire ça : j'ai mon Pi et mon laptop sur mon réseau local de la Livebox. J'ai créé des règles dans mon NAT comme 80 externe -> Pi:80 interne. Et depuis mon laptop dans mon LAN je fais IP_extérieure:80 par exemple.
Et ça ça marchait depuis que j'ai essayé cette configuration sur ma box (~ fin 2019). Est-ce qu'on appelle bien ça loopback du coup ?
De plus, ce que j'appelle pour l'instant "loopback" fonctionne sur les autres ports que 80 et 443. C'est à dire qu'une règle 81 externe -> Pi:80 interne fonctionne très bien, que j'essaie d'accéder à mon-domaine.fr:81 depuis mon LAN ou ma 4G.
Pour l'accès en HTTPS, je n'ai jamais eu d'alerte de sécurité auparavant, que ce soit depuis l'extérieur ou l'intérieur. J'utilise un nom de domaine qui pointe vers mon IP et j'ai les certificats qu'il faut. Actuellement encore, j'arrive depuis ma 4G à joindre https://mon-domaine.fr sans problème (de sécurité ou autre). Je pense que ce problème de certificat est simplement un effet de bord du problème.
Pour résumer j'ai ça quand j'essaie d'accéder à mon-domaine.fr: PORT_NAT_EXTERNE :
| Port NAT externe ouvert | Port NAT interne vers mon Pi | Accès depuis LAN ou WAN ? | Succès ? |
| 80 | 80 | LAN | Non |
| 80 | 80 | WAN | Oui |
| 81 | 80 | LAN et WAN | Oui |
| 443 | 443 | LAN | Non |
| 443 | 443 | WAN | Oui |
| 444 | 443 | LAN et WAN | Oui |
J'ai remarqué que le certificat donné lors d'un accès local à https://mon-domaine.fr est le même que lorsque j'accède à https://livebox. Sachant en plus que seuls les ports 80 et 443 externes en accès depuis la LAN ne redirigent plus vers mon Pi même si les règles NAT existent, j'ai juste l'impression que le "loopback" s'emmêle un peu les pinceaux et "oublie" juste mes règles de NAT sur ces deux ports.
Merci beaucoup de votre aide ! 
D'accord donc que ça marche correctement jusqu'à maintenant c'était de la chance, dommage que ce soit (peut être) fini. ^^
Et par contre je me suis mal exprimé, mais dans mes messages et mon tableau je ne fais que des accès via le nom de domaine / IP WAN. Quand je dis LAN ou WAN, c'est si j'accède depuis un terminal dans mon LAN ou pas. Et du coup accéder à mon Pi via son adresse IP locale (192.168.1.X) fonctionne très bien.
Oui je vais essayer un reset, on peut croiser les doigts, je reviendrai poster le résultat ici.
Juste pour l'histoire de certificat de la LB, je me doute qu'elle agit toujours comme intermédiaire, c'est juste que là quand ma requête depuis marche pas à cause du loopback, je reçois son certificat. Ça me fait juste penser que au lieu d'appliquer la règle du NAT correctement, peut être y'a un bug en local quand on fait un loopback et qu'il redirige vers 192.168.1.1 au lieu de mon Pi.
Merci de ton aide !
Bonjour @Tiwenty
Merci à Daniel35 Bonjour itou.
@Tiwenty a écrit :
Depuis ce matin, une erreur se produit quand j'essaie de profiter du loopback sur les ports 80 et 443.
Ca n'est ecrit nulle part et donc, il faut que tu l'apprennes.
Pour se faire dépanner :
- on ne dit pas "une" erreur se produit
- on doit dire "cette" erreur se produit et en donner tous les éléments
Ne prends surtout pas ça comme une attaque personnelle, mais comme une manière d'améliorer et d'accélérer tes dépannages.
Pourrais tu nous montrer une capture d'écran de ladite erreur. ?
Si elle concerne un problème sécuritaire détecté par ton navigateur qui te signale que le site accédé pourrait être dangereux car le certificat présenté n'est pas vérifiable alors tout est OK
Cette erreur prouve:
- que ta box .... est une box qui fonctionne bien (sur ce point là bien évidemment)
- que ton navigateur et toi êtes bien vigilants
@Tiwenty a écrit :
Depuis ce matin, une erreur se produit quand j'essaie de profiter du loopback sur les ports 80 et 443.
N'y compte pas.
Daniel te l'a signalé et je le confirme.
Orange a longtemps hésité sur ce point. Certaines avec et certaines autres sans loopback.
Il semblerait qu'ils aient enfin une stratégie unique, et c'est bien mieux.
Malheureusement c'est la suppression du loopback qui a été retenue, on ne peux pas en discuter tant qu'ils n'ont pas expliqué ce qui a motivé ce choix.
Pour l'outrepasser, pas besoin de l'accès GSM qui tape dans le forfait data, je connecte un PC à la box par le Wifi avec SSID = Orange. Dans ce cas je suis sur un réseau considéré comme distant, le PC récupère alors une adresse en 10.A.B.C qui n'a rien à voir avec les adresses locales en 192.168.1.X
Attention toutefois, ce réseau est un réseau Orange et ne dispose que des ressources laissées libre par le réseau utilisateur, il est bridé en matière de ports et les connexions de téléchargement de type eMule ne passent pas. Pour du http , https, pop 995, imap 993, smtp 465, ntp, ftp, .... je n'ai pas noté de restriction.
Ta box peut avoir été mise à jour
- le certificat autosigné peut avoir été modifié toute exception précédente n'est plus pertinente
- le loopback peut avoir été supprimé
Si tu as changé de navigateur ou si tu l'as réinitialisé, l'erreur sécuritaire est logique
Voilà ce qu'il est "normal' d'avoir quand on supprime l'exception ;
En cliquant sur le bouton "Avancé..."
On obtient plus de détails :
Le code d'erreur me semble très parlant !
Erreur : l'émetteur est inconnu
Je vais recréer l'exception dans mon navigateur et je n'aurai plus l'erreur.
Du coup, je suis allé regarder le certificat
Et, chez moi, il est largement périmé , pas chez toi bizarrement.
Si @Agathe_M pouvait le signaler aux équipes qui font les mises à jour des Livebox.
La mienne génère sans sourciller un certificat périmé d'un an. Merci Agathe
Cordialement
PhilDur
Merci de ta réponse et la remarque sur une / cette erreur, je prends note. :-)
J'ai quand même des doutes sur le loopback potentiellement supprimé, car hormis ces deux ports (80 et 443), la fonctionnalité continue de marcher. J'ai donc ces règles :
Si mon domaine est domaine.fr et que les DNS le font pointer vers mon IP WAN, alors je peux accéder à mon équipement avec domaine.fr:81 et domaine.fr:444 depuis mon réseau local ou un réseau extérieur. Accéder à domaine.fr:80 ou domaine.fr:443 marche à l'extérieur (sur ma 4G, depuis le wifi d'un ami...) mais pas à l'intérieur de mon réseau (là où est ma LB et mon équipement).
Pour moi, le problème de certificat n'est qu'un faux problème et seulement une répercussion de cette erreur initiale. En effet, je pense que dans le cas d'un appel à domaine.fr:80 ou 443 depuis mon réseau local, la box redirige la requête vers elle-même et non mon équipement. D'où cette erreur de certificat quand je fais https://domaine.fr car le navigateur récupère donc le certificat de la box qui n'est absolument pas valide pour domaine.fr.
Soit c'est un début de suppression de loopback mal implémenté, soit simplement un bug.
Merci beaucoup du temps que vous prenez tous les deux pour m'aider ! :-)
EDIT : Je viens de passer mon équipement dans la DMZ, et sans surprise le loopback remarche comme avant (c'est à dire que je peux accéder à domaine.fr:80 ou 443 correctement depuis mon LAN). Mais bon, niveau sécurité, exposer tous ses ports c'est pas top haha. Cela me conforte dans l'idée qu'il y a un bug entre les règles NAT du 80 et 443 externe et du loopback.
@Tiwenty a écrit :
J'ai quand même des doutes sur le loopback potentiellement supprimé, car hormis ces deux ports (80 et 443), la fonctionnalité continue de marcher. J'ai donc ces règles :
.......
EDIT : Je viens de passer mon équipement dans la DMZ, et sans surprise le loopback remarche comme avant (c'est à dire que je peux accéder à domaine.fr:80 ou 443 correctement depuis mon LAN). Mais bon, niveau sécurité, exposer tous ses ports c'est pas top haha. Cela me conforte dans l'idée qu'il y a un bug entre les règles NAT du 80 et 443 externe et du loopback.
Dommage que tu n'aies pas fait apparaître le host cible et la table de baux DHCP fixes
Parce qu'avec l'utilisation de la DMZ, tout ce qui rentre et qui est destiné au LAN est bestialement routé vers la DMZ (ça n'a rien à voir avec le loopback, même si le loopback était désactivé ça fonctionnerait).
Vérifie que la cible des différents nattages de ports externe se fait bien vers des IP affectées par la box avec un bail DHCP fixe. La machine cible doit être en adressage automatique et pas en IP fixe.
Cordialement
PhilDur
Ah zut pas de soucis, tous les la cible des quatre règles est "dietpi" et voici la table des baux statiques :
DMZ : oui je vois bien que la DMZ et loopback sont deux fonctionnalités différentes. C'est juste que quand j'active la DMZ, mon accès sur domaine.fr:80 depuis mon réseau local marche et avec un excellent débit digne d'un réel accès local (je n'ai pas la fibre, je remarquerais si mes paquets faisaient un tour hors de mon LAN).
Merci bien. :-)
@Tiwenty a écrit :
Juste pour ma curiosité
Pourquoi ces deux doubles routages
ton-domaine:80 --> serveur:80
ton-domaine:81 --> serveur:80
ton-domaine:443 --> serveur:443
ton-domaine:444 --> serveur:443
Je comprends bien le premier de chaque paire, mais le second m'interpelle.
Tu vas surement m'apprendre quelque chose. Ça m'intéresse.