Ubuntu-fr

Nathaly01

Apache et https

Bonjour,

J'héberge sur mon serveur Ubuntu 16.04 + Apache 2.4.18 mon petit site en .fr .
Comme je viens de récup et installer une machine très récente, j'ai voulu en profiter pour sécuriser les connexions et donc passer en https.
Après bien des problèmes pour obtenir des certificats valide de Let's Encrypt et avec l'aide de leur communauté, j'ai enfin réussit à les avoir.

J'ai donc procédé à des tests pour vérifier que tout fonctionnait correctement.
Depuis mon ordi sur le même réseau que mon serveur, pas de problème, je mets l'adresse de mon site dans Firefox, Chrome ou Opera et le site s'ouvre normalement et j'ai bien le petit cadenas devant la barre d'adresse.
Mais en passant par des sites spécialisé pour tester (https://www.ssllabs.com/ssltest/analyze.html) puis en testant avec mon smartphone hors Wifi, il apparaît que le site refuse la connexion.

Sur ma box, les ports 80 et 443 sont redirigés vers l'IP fixe de mon serveur et apparaissent bien ouvert.

nath++++@+++++:~$ sudo nmap -sS 81.67.xxx.xxx

Starting Nmap 7.01 ( https://nmap.org ) at 2017-09-08 13:42 CEST
Nmap scan report for 81-67-xxx-xxx.rev.numericable.fr (81.67.xxx.xxx)
Host is up (0.0011s latency).
Not shown: 997 filtered ports
PORT    STATE  SERVICE
80/tcp  open   http
161/tcp closed snmp
443/tcp open   https

Nmap done: 1 IP address (1 host up) scanned in 5.26 seconds

Et sur mon serveur :

nath++++@+++++:~$ sudo nmap -sS 192.168.68.100

Starting Nmap 7.01 ( https://nmap.org ) at 2017-09-08 14:28 CEST
Nmap scan report for +++++ (192.168.68.100)
Host is up (0.000010s latency).
Not shown: 994 closed ports
PORT    STATE SERVICE
22/tcp  open  ssh
53/tcp  open  domain
80/tcp  open  http
139/tcp open  netbios-ssn
443/tcp open  https
445/tcp open  microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 1.65 seconds

nath++++@+++++:~$ sudo netstat -antp
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1767/mysqld     
tcp        0      0 192.168.68.100:139      0.0.0.0:*               LISTEN      2128/smbd       
tcp        0      0 192.168.68.100:53       0.0.0.0:*               LISTEN      1704/named      
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1704/named      
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1721/sshd       
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1704/named      
tcp        0      0 192.168.68.100:445      0.0.0.0:*               LISTEN      2128/smbd       
tcp        0      0 192.168.68.100:22       192.168.68.54:51210     ESTABLISHED 2774/sshd: nath++++
tcp        0    196 192.168.68.100:22       192.168.68.54:50920     ESTABLISHED 2595/sshd: nath++++
tcp6       0      0 :::80                   :::*                    LISTEN      1955/apache2    
tcp6       0      0 :::53                   :::*                    LISTEN      1704/named      
tcp6       0      0 :::22                   :::*                    LISTEN      1721/sshd       
tcp6       0      0 :::443                  :::*                    LISTEN      1955/apache2    
tcp6       0      0 :::443                  :::*                    LISTEN      1955/apache2    
tcp6       0      0 :::443                  :::*                    LISTEN      1955/apache2 

Il me semble bizarre que le port 443 ne soit en écoute que sur TCP sur IPv6 alors que tout chez moi est configurer en IPv4 mais je ne suis pas vraiment capable de bien interpréter ces résultats.

Quelqu'un aurait il une idée d'où peut venir mon problème ?

Si pour comprendre, vous avez besoin d'autres données, demandez moi ...

Merci de votre aide !

Vobul

Re : Apache et https

T'as déjà trouvé le problème. Apache n'écoute qu'en ipv6 sur le port 443. Va voir dans le fichier de conf ce qu'il listen et adapte.

---

Vobul
Utilisez le retour utilisable de commandes !!!
J'aime la langue française, mais je parle franglais, deal with it.
RTFM

Nathaly01

Re : Apache et https

J'ai trouvée une parade à ce problème en modifiant mon fichier ports.conf comme ceci

Listen 192.168.68.100:80
Listen 192.168.68.100:443

<IfModule ssl_module>
        Listen 443
</IfModule>

<IfModule mod_gnutls.c>
        Listen 443
</IfModule>

mais malheureusement, mon serveur ne répond toujours pas en https lorsqu’on est hors du réseau Lan ...
D'ailleurs, je pense que les "ifModule ssl_module" et "ifModule mod_gnutls.c" ne sont plus utile mais je ne suis pas du tout sure de moi ...

Je viens de tester en virant ces "if" mais toujours idem, c'est désespérant !! seul changement, il n'écoute plus sur IPv6 le port 443

C'est quoi comme services blackice-icecap , blackice-alerts , us-srv et sun-answerbook sur la carte réseau coté Lan de ma box ???

+++@+++++:~# nmap -sS 192.168.68.1

Starting Nmap 7.01 ( https://nmap.org ) at 2017-09-08 23:04 CEST
Nmap scan report for 192.168.68.1
Host is up (0.0013s latency).
Not shown: 993 closed ports
PORT     STATE SERVICE
80/tcp   open  http
443/tcp  open  https
1900/tcp open  upnp
8081/tcp open  blackice-icecap
8082/tcp open  blackice-alerts
8083/tcp open  us-srv
8888/tcp open  sun-answerbook
MAC Address: xx:xx:xx:xx:xx:xx (Sagemcom Broadband SAS)

Comme je sais pas ce que c'est, demain matin, c'est sauvegarde de mes clés ssl, reset de ma box et ré-install complète de mon serveur, je préfère perdre du temps mais avoir un truc propre plutôt que de bidouiller. je me suis servi de no-ip avant d'avoir mon propre nom de domaine et ma confiance est très limité envers ces grosses boites qui passent des accord commerciaux pour figurer dans la liste des ddns ...
L'expérience me dira si je me suis trompée !!! je vous dirais !!

Dernière modification par Nathaly01 (Le 09/09/2017, à 00:13)

HPIR40

Re : Apache et https

Bonjour

Quel est le contenu de ton fichier httpd.conf ?

Tu peux très bien faire fonctionner apache en ipv4 ET ipv6

Nathaly01

Re : Apache et https

Bonjour,
Tout ré-installer n'a pas résolu mon problème.
Voilà mon fichier apache2.conf, anciennement appelé httpd.conf

Mutex file:${APACHE_LOCK_DIR} default

PidFile ${APACHE_PID_FILE}

Timeout 300

KeepAlive On

MaxKeepAliveRequests 100

KeepAliveTimeout 5

User ${APACHE_RUN_USER}
Group ${APACHE_RUN_GROUP}

HostnameLookups Off

ErrorLog ${APACHE_LOG_DIR}/error.log

LogLevel warn

IncludeOptional mods-enabled/*.load
IncludeOptional mods-enabled/*.conf


Include ports.conf

<Directory />
	Options FollowSymLinks
	AllowOverride None
	Require all denied
</Directory>

<Directory /usr/share>
	AllowOverride None
	Require all granted
</Directory>

<Directory /var/www/>
	Options Indexes FollowSymLinks
	AllowOverride None
	Require all granted
</Directory>

AccessFileName .htaccess

<FilesMatch "^\.ht">
	Require all denied
</FilesMatch>

LogFormat "%v:%p %h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" vhost_combined
LogFormat "%h %l %u %t \"%r\" %>s %O \"%{Referer}i\" \"%{User-Agent}i\"" combined
LogFormat "%h %l %u %t \"%r\" %>s %O" common
LogFormat "%{Referer}i -> %U" referer
LogFormat "%{User-agent}i" agent

IncludeOptional conf-enabled/*.conf

IncludeOptional sites-enabled/*.conf

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

mais avec ma modif dans ports.conf, apache écoute sur IPv4 et IPv6

root@+++++:/etc/apache2/mods-available# netstat -antp
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      1814/mysqld     
tcp        0      0 192.168.68.100:80       0.0.0.0:*               LISTEN      5380/apache2    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1709/sshd       
tcp        0      0 192.168.68.100:443      0.0.0.0:*               LISTEN      5380/apache2    
tcp        0      0 192.168.68.100:22       192.168.68.54:50372     ESTABLISHED 2087/sshd: nath++++
tcp        0      0 192.168.68.100:22       192.168.68.54:50370     ESTABLISHED 1920/sshd: nath++++
tcp6       0      0 :::22                   :::*                    LISTEN      1709/sshd       
tcp6       0      0 :::443                  :::*                    LISTEN      5380/apache2 

Listen 192.168.68.100:80
Listen 192.168.68.100:443

<IfModule ssl_module>
        Listen 443
</IfModule>

<IfModule mod_gnutls.c>
        Listen 443
</IfModule>

# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

Je ne comprends pas ceci

root@++++++:/etc/apache2/mods-available# a2enmod ssl.conf 
ERROR: Module ssl.conf does not exist!

alors que si je fais ceci

root@++++++:/etc/apache2/mods-available# a2enmod ssl.load 
Considering dependency setenvif for ssl:
Module setenvif already enabled
Considering dependency mime for ssl:
Module mime already enabled
Considering dependency socache_shmcb for ssl:
Module socache_shmcb already enabled
Enabling module ssl.
See /usr/share/doc/apache2/README.Debian.gz on how to configure SSL and create self-signed certificates.
To activate the new configuration, you need to run:
  service apache2 restart

les deux modules sont présent dans mods-enabled
Pourtant ils sont aussi tout les deux dans mods-available
C'est clair, j'ai loupé un épisode quelque part, tout le monde y arrive en 5 min chronos, moi, ça fait 72h et c'est toujours pas bon ... désespérant !!!

Dernière modification par Nathaly01 (Le 09/09/2017, à 22:01)

HPIR40

Re : Apache et https

Déja génial que apache écoute en ipv4 et ipv6

Tu as fait (comme indiqué à la fin de ta commande a2enmod ssl.load)??

To activate the new configuration, you need to run:
  service apache2 restart

activation du ssl:

https://www.digicert.com/ssl-certificat … pache2.htm

Dernière modification par HPIR40 (Le 10/09/2017, à 11:36)

Nathaly01

Re : Apache et https

Oui, j'ai redémarré apache après.

Je me suis intéressée au firewall ufw.
Pour l'arrêter, j'ai fais

sudo ufw disable 

puis pour contrôler

sudo ufw status

qui m'a retourné un état inactif.
Un moment après, je sais plus pourquoi, j'ai fais

service ufw status

et la, ça m'a retourné que ufw.service était actif donc j'ai fais

service ufw stop

et maintenant, j'ai bien en retour comme quoi il est inactif.
Du coup, je ne sais même plus qu'elle est la bonne commande pour arrêter le firewall !
Mais bon, même arrêter, depuis mon smartphone ou via https://www.ssllabs.com/ssltest/analyze.html, impossible de se connecter, accès refuser.
Je précise, j'ai stoppé également le firewall de ma box et bien redirigé les ports 80 et 443 vers l'ip de mon serveur.
Et ce qui est encore plus bizarre, c'est que depuis mon ordi sur le même réseau que mon serveur, ça fonctionne parfaitement même après avoir complètement vider le cache du navigateur et en tapant que le nom de domaine.
Comme je viens juste de réinstaller mon serveur, je n'ai pas encore installé bind donc mon ordi est obligé d’interroger les DNS de mon FAI. Enfin, il me semble parce que je buggue tellement que je suis plus sure de rien !!!

Je viens de faire cette commande :

root@++++++:~# apachectl configtest
Syntax OK

donc ce n'est déjà pas un problème de syntax à priori.

Dernière modification par Nathaly01 (Le 10/09/2017, à 14:46)

HPIR40

Re : Apache et https

Moi les syntaxes, notamment les nouvelles je m'en méfie.

Pour apache et consort, je reste fidele au fameux /etc/init.d/ ... stop/start/restart etc...

J'ai parfois eu des surprises avec service apache stop qui ne faisait rien alors que /etc/init.d/apache2 stop fonctionnait parfaitement.

est ce que tu as modifié le fichier de conf apache de ton site web pour intégrer l'IPV6 en plus de l'IPV4?

Dernière modification par HPIR40 (Le 10/09/2017, à 16:49)

Nathaly01

Re : Apache et https

Sur un forum, j'ai lue que la box 4k de SFR Numéricable avait des problèmes de redirection de ports.
Donc, lol, j'ai contacté le service technique de mon FAI pour savoir si il y avait un problème sur ma box avec la redirection de ports, leur réponse m'a laissé sur le cul : "On est pas qualifié pour vous aider ou contrôler les redirection de ports".

Quelqu'un a il eut des soucies avec cette box ?

HPIR40 => Je viens de réinstaller mon serveur avec juste Ubuntu server 16.04 et Apache, php, mysql. Mon site est accessible via le port 80.
Avec la commande netstat -antp, je vois qu'il écoute sur les ports 80 et 443 sur IPv4 et IPv6

Dernière modification par Nathaly01 (Le 11/09/2017, à 20:03)

Nathaly01

Re : Apache et https

Bonjour,
Je viens de découvrir sur le forum SFR la raison de mon problème. En fait, il n'a rien à voir avec ma configuration de mon serveur mais bien une volonté (inexplicable) de SFR d'empêcher le transfert du port 443.

https://forum.sfr.fr/t5/Connexion-Inter … -p/1886733

Merci à ceux qui ont essayé de m'aider
Je vais essayer de contourner cette restriction digne du temps de la guerre froide en passant ma box en mode bridge mais c'est pas gagné, pour le moment, je n'ai pu qu'obtenir une IP public mais il n'y a aucun trafic entrant ou sortant. Je suppose que c'est parce que je n'ai pas encore installer de DNS et autres (règle NAT, DHCP). Je sens d'avance la galère pour sécuriser tout ça ...