pepite Posté(e) le 21 août 2017 Signaler Posté(e) le 21 août 2017 (modifié) Bonjour tout le monde, GROS BOULET ON de ma part concernant une redirection de port pour atteindre la HC2 en https depuis un sous domaine. J'y arrive tres bien en http mais va savoir pourquoi je buggue fort tout à coup. contexte : - un sous domaine d'un domaine qui m'appartient : en hc2.domaine.com - ip WAN de la hc2 : 78.X.X.X:port - ip LAN de la HC2 : 192.168.X.X:80 Je cree depuis le gestionnaire du domaine un sous domaine que je redirige sur IP WAN : OK ca fonctionne en http://hc2.domaine.com J'ai une regle sur la freebox qui me permet d'attaquer depuis la HC2 depuis son IP WAN, nickel, là OK En https, je buggue, je voudrais atteindre la HC2 en https://hc2.domaine.com Je cree la regle sur la box : -- WAN 443 vers IP LAN HC2 :80 Depuis le gestionnaire du domaine, je cree l'alias vers IP WAN HC2, j'ai essaye en IPWANHC2:443 ou IPWANHC2:portexterne mais rien n'y fait. Heuu les experts svp ;-) merciiii de m'expliquer lol PS : j'oubliais, evidemment le domaine est bien accessible en https https://www.domaine.com GROS BOULET OFFF Modifié le 21 août 2017 par pepite
Nico Posté(e) le 21 août 2017 Signaler Posté(e) le 21 août 2017 Euh mais la HC2 ne fait pas de HTTPS... Comment veux tu tester ça ?
pepite Posté(e) le 21 août 2017 Auteur Signaler Posté(e) le 21 août 2017 Oui oui je sais. L idee c'était de l atteindre en https depuis le sous domaine je me suis dit qu il y avait pe moyen :-)Envoyé de mon Nexus 5X en utilisant Tapatalk
Nico Posté(e) le 21 août 2017 Signaler Posté(e) le 21 août 2017 Hum, je ne sais pas si cela est faisable, pour moi cela ne fonctionne pas, ce serait trop simple.
jjacques68 Posté(e) le 21 août 2017 Signaler Posté(e) le 21 août 2017 Oula, et ce serait quoi le but de la manip ?
Nico Posté(e) le 21 août 2017 Signaler Posté(e) le 21 août 2017 Sécurisé l'accès. Cela ne fonctionnera pas. La seule solution, c'est la méthode de Lazer en root qui réinstalle toute la partie HTTPS au niveau Debian.
jjacques68 Posté(e) le 21 août 2017 Signaler Posté(e) le 21 août 2017 Bah c'est assez sécurisé nan ?Il faut connaître l'ip public, le port, le login et le mot de passe...C'est pas suffisant ?Envoyé de mon iPhone en utilisant Tapatalk Pro
Nico Posté(e) le 21 août 2017 Signaler Posté(e) le 21 août 2017 Pour moi si, mais pour les geek de sécurité du fofo, non 1
mprinfo Posté(e) le 21 août 2017 Signaler Posté(e) le 21 août 2017 pour moi aussi c'est largement suffisanten plus si on me pirate pour faire clignoté une lumière ou me fermer un volet c'est que le gars n'a pas grand chose à faireEnvoyé de mon SM-G901F en utilisant Tapatalk
pepite Posté(e) le 21 août 2017 Auteur Signaler Posté(e) le 21 août 2017 Ah c'est pas pour la sécu moi :-) Au boulot le proxy laisse passer le 443. Je voulais voir si c'était plus rapide par le 443 que par home.fibaro :-)Envoyé de mon Nexus 5X en utilisant Tapatalk
Fanou Posté(e) le 21 août 2017 Signaler Posté(e) le 21 août 2017 Si tu tapes http://ipwanhc2:443 (avec ta regle de rootage ipwanhc2:443 vers iplanhc2:80) ca ne marche pas ? Le proxy de ton taf check si l'adresse attaqué via le 443 commence bien par httpS ? Envoyé via Tapatalk
Cmoi20 Posté(e) le 22 août 2017 Signaler Posté(e) le 22 août 2017 si tu veux accéder a ta hc2 en HTTPS, il faut configurer un proxy qui récupère le HTTPS (avec exposition d'un certificat) et reroute la requête vers ta HC2 en http. pour le HTTPS, let's encrypt permet d'obtenir un certificat gratuit et valable. personnellement, je le fait avec mon synology : - PC distant <=> WAN en 443 <=> synology en 443 <=> HC2 en 80 2
pepite Posté(e) le 22 août 2017 Auteur Signaler Posté(e) le 22 août 2017 (modifié) Merci messieurs. @Fanou non cela ne fonctionne pas, pas folle les guepes ;-) @Cmoi20 Merci, donc pas le choix que de monter un proxy/reverse proxy à la maison ;-). TO DO pour plus tard ;-) Modifié le 22 août 2017 par pepite
Fanou Posté(e) le 22 août 2017 Signaler Posté(e) le 22 août 2017 @pepite. Moi au taf c'est pas 80 mais 8080 qu'ils ont ouvert. Donc quand j'ai besoin je vais dans l'appli freebox de mon tel et je bascule le 8080 vers les differentes ip lan en 80 selon le besoin... d'ou l'idee.. . Apres je trouve que c'est pas si long que ca avec le home.fibaro..Envoyé via Tapatalk
pepite Posté(e) le 22 août 2017 Auteur Signaler Posté(e) le 22 août 2017 ah bien vu ;-) je suis d'accord avec toi, ca fonctionne bien le home.fibaro, rien a redire. mais c'etait pour la beaute du geste ;-) avec le sous.domaine. ;-)
Lazer Posté(e) le 23 août 2017 Signaler Posté(e) le 23 août 2017 Je confirme ce qui a été dis plus haut : - méthode de @Nico : rooter la box et activer le https sur Apache (je l'ai testé, ça fonctionne, mais je ne l'utilise pas) - méthode de @Cmoi20 : installer un reverse proxy, qui se charge de chiffrer les communications. C'est ce que j'utilise, car ça apporte plein d'avantages : accéder à pleins de machines en interne, utiliser un certificat approuvé Let's Encrypt, permet de sécuriser n'importe quel appareil non sécurisé (HC2, mais aussi les modules GCE, etc), bypasser les proxy d'entreprise un peu trop regardants, etc... Le must, c'est coupler haproxy avec sslh, afin de cacher OpenVPN derrière le port 443, et monter un tunnel VPN avec accès open-bar au web entier. Et là tu rigoles devant les mecs de la sécurité réseau de ton client qui ne comprennent pas comment tu fais
pepite Posté(e) le 24 août 2017 Auteur Signaler Posté(e) le 24 août 2017 Bonjour messieurs, Bon, ben ca sera HAPROXY sslh sur le portable qui heberge Jeedom ;-). Attendez vous à des questions ;-) mais bon c'est pas pour tout de suite ;-)
Messages recommandés