Probleme HTTPS/Transmission-WordPress

[WikiIUT]

Bonjour a tous,

Je suis passez récemment sur du https pour mon WebGUI de freenas, le tout accessible a distance via un routage de port de ma box. Pour l'instant rien de bien folichon, un peu galérer au niveau de la création des certificat et surtout faire comprendre a chrome que c'est ok, mais maintenant sa marche, seul problème je ne peut plus me connecter a distance a Transmission et a Wordpress, car le certificat n'est pas présent dans ses deux jails et donc chrome me dis : err_SSL_PROTOCOL_ERROR

Est ce que déjà pour l'instant mon raisonnement vous parais juste ou non ? Et ensuite comment donner a ses deux jails le certificat et la clés pour que chrome m'y laisse accéder...

Merci d'avance pour vos réponse,

 

[SmallGuy]

Il faut voire web GUI et Jails comme des "machines" différentes:
Chaque entité à son adresse IP.
Il faut donc traiter le trafic spécifiquement pour chaque adresse, au niveau du routeur (la boxe) et au niveau du client (Chrome dans ton cadre).

 

[WikiIUT]

C'est ce que j'ai fait, avant tout fonctionnais parfaitement, le routage était ok et je pouvais accéder de partout sans problème.

Donc vu que se sont des machine différente il faut que je lui renseigne le certificat aussi pour pas que chrome me bloque ?

Car vu que chrome voit la même adresse IP, pour acceder seul le port change, il veut que le certificat qui est présent pour le WebGUI le soit aussi pour Transmission et Wordpress ? Ou je fait fausse route...

 

[SmallGuy]

Je soupçonne que ton problème vient de la config- de Chrome:
-vu de l'extérieur ton client voit la même adresse (ton adresse publique).
Il n'y a pas 36 solutions.
Soit tu configures un reverse proxy pour diriger le trafic en fonction de l'URL et sa terminaison: https://mondomaine/mon service.
Soit tu utilises des ports différents (donc non standard, car tu as plusieurs serveurs): https://mondomaine:port_du_service
Soit tu as besoin de nom de serveur différents (server name) pour chacun des services et, soit une règle de redirection spécifique pour chaque nom de domaine/service sur ta boxe (plusieurs Jails), soit un reverse proxy derrière une seule règle.
Dans tous les cas il faut autoriser ton client à communiquer dans chacun des cas de figure.
L'avantage du reverse proxy est d'avoir une seule interface a configurer pour faire face à internet (certificat et contrôle du traffic).
Attention tout de même à ouvrir internet sur le GUI, et/ou des Jails sans précautions!

 

[WikiIUT]

Petite parenthése : je vient de tout planter ^^ ! Edit : Resolu !

Du coup pour ton message d'avant, se reverse proxy me permetras de travailler en https sur toute les redirections ? Donc chrome sera ok avec le certificat quelque soit le service, c'est ca ?

 

[SmallGuy]

Oui c'est l'idée.

 

[Vincèn]

Euh pourquoi ne pas installer ce même certif dans chacune des jails ? comme ça Chrome verra toujours le "même" certif pour une IP donnée et il devrait être content ;)

 

[SmallGuy]

Au delà du certificat, ça permet:
De limiter le nombre règles au niveau du routeur.
De simplifier l'administration d'OpenSSL et du traffic entrant avec une seule Jail (config- OpenSSL, Serveur web, ipfw...).

 

[WikiIUT]

C'est vrai qu'au départ j'avais eu la même idée que toi Vincent, mais je n'y suis pas arriver, du coup j'ai demander de l'aide et l'idée de tout gérer avec un seul service me parais pas mal!

Maintenant je me dit aussi qu'y a la solution du VPN, la connexion est chiffré, je me connecte a mon serveur et administre tout en adresse local du coup pas de redirection de port ect, non ?

Ou un mix des deux, les services que j'utilise sont :

• Le WEBGUI de freenas,
• Transmission
• Wordpress (seulement en local c'est des essais)
• Owncloud (en essais aussi pour l'instant)
• Et les accés a ma Freebox,

Le faite de passer en VPN me permettrais de ne plus rien rediriger avec ma box a pars ma connexions VPN et donc gagner en sécurité non ?

 

[Vincèn]

Le faite de passer en VPN me permettrais de ne plus rien rediriger avec ma box a pars ma connexions VPN et donc gagner en sécurité non ?

Tout à fait c'est clairement ce que tu devrais faire ! Juste le port du VPN à ouvrir et basta ;)

 

[SmallGuy]

Sauf si owncloud et wordpress doivent être accessibles publiquement...

 

[WikiIUT]

Oui c'est pour ça que j'ai dit un mixte, pour l'instant ni l'un ni l'autre ne le sont et ne le seront sur le court terme, du coup je vais quand même installer un reverse proxy pour ma jail avec openvpn, comme ça, ça ma familiarisera avec cette méthode pour quand je voudrais passer word press et owncloud en public :) !

Ca te parais une bonne solution ?
Tu as un tuto a me conseiller pour le proxy reverse ?
Et aussi peut être un article sur la sécurisation d'un serveur ? Je ne m'y connais pas du tout la dedans ...

 

[SmallGuy]

http://nginx.org/en/docs/http/ngx_http_proxy_module.html
https://www.nginx.com/resources/admin-guide/reverse-proxy/
http://www.nginxtips.com/hardening-nginx-ssl-tsl-configuration/
https://www.feistyduck.com/books/openssl-cookbook/
https://www.freebsd.org/doc/handbook/firewalls-ipfw.html
Il y a pas mal de résultats en utilisant ton moteur de recherche.
D'une manière générale je préfère la documentation officielle ou reconnue avec des essais (je recommande de tester), car il y a hélas des "tutos" avec de mauvais conseils/exemples.
En gros il faut se poser des questions comprendre ce l'on fait, et éviter de suivre aveuglément tout et n'importe quoi.

 

[WikiIUT]

Merci ! Dés que j'ai regler mon probleme de VPN je m'occupe de ca correctement :) !