Aller au contenu
flacon030

cloud fibaro

Recommended Posts

il y a une heure, mprinfo a dit :

non il faut que tu créés un certificat pour ton nom de sous dommain

 

Pour générer un certificat j utilise lets encrypts qui donne des certificats gratuits valable 3 mois si mes souvenir sont bons

J'ai un certificat fourni par mon fournisseur, je le configure sur mon sous domaine, mais lorsque je me connect avec l'app il me dit toujours la meme chose et quand j'essaye par le navigateur, quand je regarde, ça reste le certificat de Fibaro et pas celui de mon fournisseur lorsque j'accède à la page. je suis dans l'obscurité, comme les serveurs non redondants de Fibaro ... 

Modifié par WENS

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour info, je viens de trouver une solution pour ceux qui ont un routeur Ubiquiti en utilisant le VPN Teleport. Il suffit de télécharger l'application Wifiman pour avoir un VPN sur Android / Apple (tuto en anglais ici pour la configuration : https://www.youtube.com/watch?v=v_NrTVbO9oE.

 

Une fois le VPN connecté, on peut se connecter via l'adresse IP locale de la box (solution pas idéale mais cela peut dépanner à court terme si certains partent en vacances)

 

 

  • Like 1

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai  déclaré dans ma livebox 4 :

 846324506_Capturedecran2023-02-04a11_32_16.png.ae8149ff455a166904b27fc5bc892224.png

 

j'ai un domaine gratuit renouvelable chaque mois sur no-ip.com

 

Depuis un navigateur  -> MonDomaine.ddns.net:20000  -> j'arrive dans le dashboard HC3

Depuis Yubii               ->MonDomaine.ddns.net:20001   -> Erreur de connexion Pas de connexion

Depuis Yubii               ->MonIp                                    -> Connexion immédiate

 

Je ne sais pas comment faire Mieux. Si quelqu'un sait Merci.

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Publié il y a 1 heure sur le forum Officiel par A.Socha

 

Je m'excuse encore une fois pour les problèmes. Nous avons décidé de ne pas attendre que notre fournisseur résolve le problème, nous avons décidé d'étendre nos autres régions et de déplacer le trafic depuis l'Europe. Ce sera plus lent, mais ça marchera. Il s'agit d'une solution temporaire. Nous allons progressivement changer de pays en commençant par les Pays-Bas, l'Italie, la Pologne, l'Allemagne. Finalement, nous déplacerons tous les pays. Il y aura donc une situation qui pour certains fonctionnera plus rapidement et d'autres aura toujours un problème Malheureusement, les services d'intégration continueront d'échouer ou d'être instables (google, Alexa) mais l'accès à distance commencera à fonctionner

  • Like 1
  • Upvote 1

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 42 minutes, henri-allauch a dit :

J'ai  déclaré dans ma livebox 4 :

 846324506_Capturedecran2023-02-04a11_32_16.png.ae8149ff455a166904b27fc5bc892224.png

 

j'ai un domaine gratuit renouvelable chaque mois sur no-ip.com

 

Depuis un navigateur  -> MonDomaine.ddns.net:20000  -> j'arrive dans le dashboard HC3

Depuis Yubii               ->MonDomaine.ddns.net:20001   -> Erreur de connexion Pas de connexion

Depuis Yubii               ->MonIp                                    -> Connexion immédiate

 

Je ne sais pas comment faire Mieux. Si quelqu'un sait Merci.

 

 

le nom de domaine permet juste de revolver l'adresse IP public cela est particulièrement utile lorsque cette IP est dynamique

 

Perso je n'utilise plus la méthode d'ouverture de port sur le routeur (box internet) j'ai une VM avec HAPROXY on peut aussi installer Haproxy sur les NAS synology

 

Pour que l'application YUBII fonctionne il faut une connexion HTTPS donc même sans nom de domaine doit fonctionner il faut juste un certificats valide

  • Upvote 1

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 4 heures, mprinfo a dit :

@Sowliny ou a un soldat russe qui ce trouve dans ton jardin :2::60:

 

Mais non ! C'est juste un loup... (sans blague, il y en qui ont été vus pas loin de la ville)

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 10 heures, Bloug a dit :

dans le Foch

Plouf !

 

Il y a 9 heures, henri-allauch a dit :

déclaré dans ma livebox 4 : 

 846324506_Capturedecran2023-02-04a11_32_16.png.ae8149ff455a166904b27fc5bc892224.png

 

j'ai un domaine gratuit renouvelable chaque mois sur no-ip.com

 

Depuis un navigateur  -> MonDomaine.ddns.net:20000  -> j'arrive dans le dashboard HC3

Depuis Yubii               ->MonDomaine.ddns.net:20001   -> Erreur de connexion Pas de connexion

C'est 443 pour le https, pas 453

 

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 11 heures, Lazer a dit :

C'est 443 pour le https, pas 453

Oui bien vu, mais j'avais essayé avec 443 et c'est pareil : Erreur de connexion.

Il y a 20 heures, mprinfo a dit :

Pour que l'application YUBII fonctionne il faut une connexion HTTPS

Certainement.

Je voulais simplement savoir si avec une live box il y avait une solution.

Partager ce message


Lien à poster
Partager sur d’autres sites

Attention certaines box opérateurs (dont les vieilles Livebox, est-ce encore le cas pour les récentes ? ) ne permettent pas le routage en loopback.

Ce qui signifie que l'adresse IP publique est bien joignable depuis l'extérieur, mais pas depuis l'intérieur.
Le problème c'est que l'application mobile va utiliser l'IP publique, donc elle pourrait se connecter à distance, mais pas en local, ce qui est bloquant.

A vérifier selon votre box internet.

Partager ce message


Lien à poster
Partager sur d’autres sites
Pour info, je viens de trouver une solution pour ceux qui ont un routeur Ubiquiti en utilisant le VPN Teleport. Il suffit de télécharger l'application Wifiman pour avoir un VPN sur Android / Apple (tuto en anglais ici pour la configuration : 
.
 
Une fois le VPN connecté, on peut se connecter via l'adresse IP locale de la box (solution pas idéale mais cela peut dépanner à court terme si certains partent en vacances)
 
 

Intéressant mais limité au dream machine / routeur non ?


Envoyé de mon iPhone en utilisant Tapatalk

Partager ce message


Lien à poster
Partager sur d’autres sites

voila ce que j'ai sur mon udm pro se par contre je n’utilise pas

1.jpg

Partager ce message


Lien à poster
Partager sur d’autres sites

Bon j'avance mais ça n'abouti pas.

 

Live Box 4 Redirecion port : 
Application/Service    Port interne    Port externe    Protocole    Équipement    IP externe
Serveur                      80                 20002            TCP            Serveur DOM    Toutes
Yubii                         443                20000            TCP            FIBARO HC3    Toutes


Test vers serveur http.
http://IP_WAN:20002 depuis navigateur    -> OK en 4g et wifi (donc a priori le loopback n'est pas bloqué)

 

Test HC3
https://IP_WAN:20000 depuis safari iphone en wifi ou 4G -> ce site n'est pas privé. On ne peut pas outre passer la sécurité avec Safari 
https://IP_WAN:20000 depuis Chrome Tablette en wifi     -> on arrive sur dashboard hc3 (apres forcage Securité) (donc pas de blocage fireall ni loopback)


Essais conf Yubii Connexion Hors Ligne (IP LAN)
Adresse IP : IP locale = 190.168.1.xx     
Se Connecter = MyHc3User ou (MyHc3User@gmail.com)  (user et password admin de la HC3)
Mot de passe : Devine 
->Connexion OK


Essais conf Yubii Connexion Hors Ligne  (IP WAN)
Adresse IP : IP_WAN:20000     
Se Connecter : MyHc3User ou (MyHc3User@gmail.com) (user et password admin de la HC3)
Mot de passe : Devine 
->Message : La combinaison Email / mot de passe non valide (alors que c'est la même dans les autres essais)


Essais conf Yubii Connexion Hors Ligne  (IP WAN par No-Ip) Domaine MyYubii
Adresse IP : MyYubii.ddns.net:2000     
Se Connecter = MyHc3User ou (MyHc3User@gmail.com)  (user et password admin de la HC3)
Mot de passe : Devine 
->Erreur de connexion

 

Modifié par henri-allauch

Partager ce message


Lien à poster
Partager sur d’autres sites

Je pense que c'est normal, car tu n'utilises pas de certification signé par une autorité de certification reconnue.

Avec ton certificat autosigné (tu as l'alerte dans ton navigateur), l'application mobile Yubii ne peut pas confirmer que l'hôte est authentique, donc elle refuse la connexion.

En local ça marche car elle doit se contenter du HTTP/80 simple sans sécurité, considérant que c'est suffisant.

Mais pas via le WAN.

 

Donc il te faut un vrai certificat, Let'sEncrypt c'est très bien et gratuit. Par contre il faut impérativement un nom de domaine je pense, car je ne suis pas sûr que ça fonctionne avec les DynDNS.... à tester.

 

Modifié par Lazer
  • Thanks 1

Partager ce message


Lien à poster
Partager sur d’autres sites

c'est ce que j'ai indiqué dans mon TUTO

 

Il faut une connexion HTTPS valides

 

pour avoir un certificats gratuit il faut utilisé letsencrypt

 

Je vous conseil d'ailleurs d'utiliser un reverse proxy plutôt que d'ouvrir des ports sur votre routeur (BOX)

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 05/02/2023 à 13:17, Sakkhho a dit :
Intéressant mais limité au dream machine / routeur non ?

 

 

Envoyé de mon iPhone en utilisant Tapatalk

 

Moi j'ai bien youtube en français merci  

 

 

 

 

 

 

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 15 heures, Lazer a dit :

Donc il te fait un vrai certificat, Let'sEncrypt c'est très bien et gratuit. Par contre il faut impérativement un nom de domaine

Je comprend qui'l il me faut obtenir un certificat. Un certificat est lié à un nom de domaine.

Après j'ai du mal 

Une fois le certificat obtenu, je peux par exemple l'installer dans mon serveur apache pour protéger les accès (par https) aux sites gérés par ce serveur. 

Mais dans le cas de l'appli Yubii qui accède à ma HC3 avec un accès par un nom de domaine + une redirection de port, là je ne comprend pas.  Ou est installé le certificat.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

C'est pour ça qu'il faut un reverse proxy, car c'est lui qui présente le certificat signé.

 

En résumé de tes expériences, l'ouverture/redirection de port ça permet d'accéder à sa box à distance via le Web, mais ça ne permet pas d'utiliser l'application mobile Yubii.

  • Thanks 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Si vous avez un synology il est très simple d'installer un reverse proxy et créer un certificat

 

Si tu as une machine qui tourne avec linux c'est un peu plus compliquer la configuration du reverse proxy et un peu fastidieuse

 

pour les certificats j'utilise cerbots

Partager ce message


Lien à poster
Partager sur d’autres sites

@mprinfo

Pour le moment j'ai un serveur Linux (ubuntu) avec apache +php et quelques programmes python qui tournent dessus. Le tout sur un portable hp d'une dizaine d'années enfermé dans une bibliothèque.

Dans la base j'ai essentiellement domocharts + quelques tables supplémentaires alimentées par des requêtes Sql depuis la HC3 ou par quelques taches Python exécutées sur le serveur et sur autre PC.

J'ai une application php qui interroge cette base et me renvoi des données sur une tablette (Remplacement de feu impérihome)

Pas grand choses d'autres à part un serveur "Servio" et l'appli "Captv", plus des stockages d'images caméra.

Ça ronronne depuis plusieurs années. 

L'incident Fibaro de ces jours m'a fait m'interroger sur les accès https.

Effectivement d'après tes explications, celle de @Lazer j'ai un peu regardé ce qui ce dit sur le web.

J'ai tiré une conclusion juste avant de lire ton message ci-desus : c'est pas simple à mettre en service et à le maintenir il faudrais passer par quelque chose d'un peu pro.

Et donc il me semble que je devrais songer à acquérir un Synology qui remplacerait le serveur linux  (Il me semble que plusieurs membres ici en sont pourvu)

Rien d'urgent, je vais m'informer, voir ce que je pourrais migrer de mon serveur linux sur le Synology  et de trouver des solutions pour le reste.

En tout cas merci pour ces informations, ce qui prouve que ce forum va bien au delà de l'environnement FIBARO

Partager ce message


Lien à poster
Partager sur d’autres sites

Franchement j'ai une VM debian avec Haproxy je n'y ai pas toucher depuis des années

la seul chose que je fais c'est tout les 3 mois le renouvellement de mes certificats car je suis trop fainéant pour faire un cron

 

j'avais commencé un tutoriel :

 

 

sous ta distribution linux tu installes Haproxy

ensuite tu n'as plus qu'a modifier le fichier config c'est le plus chiant a faire

une fois que cela fonctionne tu peux passés au Https en installant cerbots

il faudra modifier le fichier config pour le https c'est relativement simple

et ensuite tu ajoutes le ou les certificats dans haproxy

il faut rediriger les ports 80 et 443 de ton routeur vers haproxy pour que cela fonctionnne

 

Voici un exemple de fichier config pour plusieurs sous domaine en Https

globallog /dev/log	local0log /dev/log	local1 noticechroot /var/lib/haproxystats socket /run/haproxy/admin.sock mode 660 level adminstats timeout 30suser haproxygroup haproxydaemon   maxconn 2048# Default SSL material locationsca-base /etc/ssl/certscrt-base /etc/ssl/private# Default ciphers to use on SSL-enabled listening sockets.# For more information, see ciphers(1SSL). This list is from:#  https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/# An alternative list with additional directives can be obtained from#  https://mozilla.github.io/server-side-tls/ssl-config-generator/?server=haproxyssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSSssl-default-bind-options no-sslv3tune.ssl.default-dh-param 2048defaultslog	globalmode	httpoption	httplogoption forwardfor   option http-server-closeoption	dontlognull       timeout connect 5000       timeout client  50000       timeout server  50000errorfile 400 /etc/haproxy/errors/400.httperrorfile 403 /etc/haproxy/errors/403.httperrorfile 408 /etc/haproxy/errors/408.httperrorfile 500 /etc/haproxy/errors/500.httperrorfile 502 /etc/haproxy/errors/502.httperrorfile 503 /etc/haproxy/errors/503.httperrorfile 504 /etc/haproxy/errors/504.http#********************************************************************************************************************# Documentation sur haproxy est cerbot pour renouvellement certificat letsencrypt#********************************************************************************************************************# commandes Haproxy#  --------------------------------------------------------------------------------# teste de la configuration : haproxy -c -V -f /etc/haproxy/haproxy.cfg# demmarrer Haproxy : service haproxy (restart, start, stop)# voir les logs : less /var/log/haproxy.log#  --------------------------------------------------------------------------------# Commandes cerbot#  --------------------------------------------------------------------------------#  certbot certificates  - permet de verifier la date du certificat#  certbot certonly --webroot -w /var/www/example -d www.example.com -d example.com -w /var/www/other -d other.example.net -d another.other.example.net -- Permet de donner un chemin au certifcats#  https://certbot.eff.org/docs/using.html#where-are-my-certificates.#  --------------------------------------------------------------------------------#  - creation du certificat#  --------------------------------------------------------------------------------#  certbot certonly --standalone -d dsm.domaine.fr -d unifi.domaine.fr -d hc2.domaine.fr \--non-interactive --agree-tos --email toto4@free.fr \--http-01-port=8888#  cat /etc/letsencrypt/live/dsm.domaine.fr/fullchain.pem /etc/letsencrypt/live/dsm.domaine.fr/privkey.pem > /etc/haproxy/certs/domaine.fr.pem#--------------------------------------------------------------------------------------------------------------------#  ---------------------------------------------------------------------------------#  -                                 H T T P#  ---------------------------------------------------------------------------------frontend http-in   option http-keep-alive   compression algo gzip   compression type text/html text/plain text/css application/x-javascript   bind :::80 v4v6acl letsencrypt-acl path_beg /.well-known/acme-challengereqadd X-Forwarded-Proto:\ http   mode http   option httplog   #********************************************************   # Define hosts http   #********************************************************   #acl hc3 hdr(host) hc3.domaine.fr   #acl edrt2 hdr(host) edrt2.domaine.fr#acl ipx800v5 hdr(host) ipx800v5.domaine.fr   #********************************************************# Use backend#********************************************************   #use_backend backendIPXV5 if ipx800v5#use_backend backendEDRT2 if edrt2   #********************************************************use_backend letsencrypt-backend if letsencrypt-acldefault_backend www-backend#  --------------------------------------------------------------------------------#  -                                 H T T P S#  --------------------------------------------------------------------------------frontend https-in   bind :::443 ssl crt /etc/haproxy/certs/ no-sslv3   reqadd X-Forwarded-Proto:\ httpsmode	httpoption	httplog	   acl letsencrypt-acl path_beg /.well-known/acme-challenge     #********************************************************   # Define hosts https   #********************************************************   acl dsm hdr(host) dsm.domaine.fr   acl unifi hdr(host) unifi.domaine.fr      acl hc2 hdr(host) hc2.domaine.fracl hc3 hdr(host) hc3.domaine.fracl test hdr(host) test.domaine.fr   acl edrt2 hdr(host) edrt2.domaine.fracl ipx800v5 hdr(host) ipx800v5.domaine.fr   #********************************************************# Use backend #********************************************************   use_backend backendDSM if dsm   use_backend backendUNIFI if unifi	   use_backend backendHC2 if hc2use_backend backendHC3 if hc3use_backend backendIPXV5 if test   use_backend backendIPXV5 if ipx800v5use_backend backendEDRT2 if edrt2   #********************************************************	   use_backend letsencrypt-backend if letsencrypt-acl   default_backend www-backend   #  -------------------------------------------------------------------------------- #  -                Define backend #  --------------------------------------------------------------------------------backend www-backend  redirect scheme https if !{ ssl_fc }  server www-1 192.168.110.100:8888 check#--------------------- Backend pour le renouvellement du certificat letsencrypt    backend letsencrypt-backend   #server letsencrypt 127.0.0.1:8888    server letsencrypt 192.168.110.100:8888 #--------------------- Backend pour DSM sous ESXI   backend backendDSM    mode http   option httpchk   option forwardfor except 127.0.0.1   http-request add-header X-Forwarded-Proto https if { ssl_fc }   server DSM 192.168.110.51:5000#--------------------- Backend pour	Home Center 2backend backendHC2   mode http   option httpchk   option forwardfor except 127.0.0.1   http-request add-header X-Forwarded-Proto https if { ssl_fc }   server HC2 192.168.110.12:80#--------------------- Backend pour	Home Center 3backend backendHC3   mode http   option httpchk   option forwardfor except 127.0.0.1   http-request add-header X-Forwarded-Proto https if { ssl_fc }   server HC3 192.168.110.11:80	#--------------------- Backend pour Controleur UNIFIbackend backendUNIFI   mode http   option httpchk   option forwardfor except 127.0.0.1   http-request add-header X-Forwarded-Proto https if { ssl_fc }   server unifi 192.168.110.1:443 check maxconn 32 ssl verify none#--------------------- Backend pour	IPX800V5backend backendIPXV5   mode http   option httpchk   option forwardfor except 127.0.0.1   http-request add-header X-Forwarded-Proto https if { ssl_fc }   server test 192.168.110.14:80	#--------------------- Backend pour	EDRT2backend backendEDRT2   mode http   option httpchk   option forwardfor except 127.0.0.1   http-request add-header X-Forwarded-Proto https if { ssl_fc }   server test 192.168.110.13:80#--------------------- Backend pour DSM sous ESXI  - camerabackend backendCamera    mode http   option httpchk   option forwardfor except 127.0.0.1   http-request add-header X-Forwarded-Proto https if { ssl_fc }   server ws-DSM 192.168.110.51:9900

pour la génération des certificats je fais comme cela

certbot certonly --standalone -d dsm.domain.fr -d unifi.domain.fr -d hc2.domain.fr -d hc3.domain.fr -d unifi.domain.fr -d test.domain.fr  -d cam.domain.fr \--non-interactive --agree-tos --email mon_adressemail@orange.fr \--http-01-port=8888cat /etc/letsencrypt/live/dsm.domain.fr/fullchain.pem /etc/letsencrypt/live/dsm.domain.fr/privkey.pem > /etc/haproxy/certs/domain.fr.pem----GCEcertbot certonly --standalone -d edrt2.domain.fr -d ipx800v5.domain.fr \--non-interactive --agree-tos --email mon_adressemail@orange.fr \--http-01-port=8888cat /etc/letsencrypt/live/edrt2.domain.fr/fullchain.pem /etc/letsencrypt/live/edrt2.domain.fr/privkey.pem > /etc/haproxy/certs/GCE.fr.pem

 

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Avec Apache, tu peux faire un reverse proxy, mais perso je ne suis pas fan de cette solution.


Je préfère utiliser HAProxy en frontal Web, qui joue le rôle de Reverse Proxy, c'est donc le seul qui écoute sur le port public 443.
Et ensuite HAProxy réémet le requêtes en interne, soit vers la box domotique, soit vers le vrai serveur Web Apache hébergé sur la même machine, mais qui écoute sur un autre port que le 443. De la sorte, tous les flux sont protégés par le reverse proxy, et peuvent ainsi bénéficier des certificats signés.

 

Et de préférence bannir le port 80 HTTP simple non sécurisé, il n'y a plus vraiment de raison de l’utiliser de nos jours, sauf cas spécifique.

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 07/02/2023 à 17:43, mprinfo a dit :

acl hc3 hdr(host) hc3.domaine.fr

acl test hdr(host) test.domaine.fr

J'ai regardé ton fichier haproxy.cnf,  je comprend les déclarations les  frontend  avec les déclarations de hosts par les acl, les use backend , et enfin les backend.

Mais si ton domaine.fr est par exemple sur l'ip publique 90.90.100.100 affecté à ta box, sur quoi pointe les sous domaines comme hc3.domaine.fr , test.domaine.fr ? Autrement dit qu'a tu déclaré pour ces sous domaines chez ovh ou autre .

Comment haproxy qui écoute (seul)  le port 443 de la box récupère hc3.domaine.fr  ou test.domaine.fr  ?

 

Si je prend un domaine chez ovh, il me semble qu'on ne peut pas avoir de sous domaines sans avoir l'option hébergement ? je me trompe ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Un nom de domaine chez OVH c'est moins de 10 euros par an

Dans un premier temps tu dois lier ton nom de domaine à ton nom de domaine. Pour cela tu as plusieurs solutions
Box internet
Dsm etc...

Si tu as une ip fixe tu peux la renseigner directement chez ovh

La deuxième partie est la gestion des sous domaine
Pour cela il faut créer des cname chez OVH

Pour la mise à jour de l'adresse ip j'utilise dsm. Un truc de moins à faire si je change d'opérateur

Envoyé de mon BLA-L29 en utilisant Tapatalk

Partager ce message


Lien à poster
Partager sur d’autres sites

×