Zdalny dostep z SSL - brak połączenia lokalnie

Revo7 · 8 Listopad 2021 13:17

Witam, przychodzę z prośbą o pomoc, starałem się rozwiązać problem samodzielnie, jednak gdzieś coś mi umyka

Mianowicie wygenerowałem certyfikat ssl dla połączenia https://xxx.duckdns.org
Log z let’s encrypt

[s6-init] making user provided files available at /var/run/s6/etc...exited 0.
[s6-init] ensuring user provided files have correct perms...exited 0.
[fix-attrs.d] applying ownership & permissions fixes...
[fix-attrs.d] done.
[cont-init.d] executing container initialization scripts...
[cont-init.d] file-structure.sh: executing... 
[cont-init.d] file-structure.sh: exited 0.
[cont-init.d] done.
[services.d] starting services
[services.d] done.
[13:07:44] INFO: Selected http verification
Saving debug log to /var/log/letsencrypt/letsencrypt.log
Plugins selected: Authenticator standalone, Installer None
Obtaining a new certificate
Performing the following challenges:
http-01 challenge for xyz.duckdns.org
Waiting for verification...
Cleaning up challenges
Non-standard path(s), might not work with crontab installed by your operating system package manager
IMPORTANT NOTES:
 - Congratulations! Your certificate and chain have been saved at:
   /data/letsencrypt/live/xyz.duckdns.org/fullchain.pem
   Your key file has been saved at:
   /data/letsencrypt/live/xyz.duckdns.org/privkey.pem
   Your cert will expire on 2022-02-06. To obtain a new or tweaked
   version of this certificate in the future, simply run certbot
   again. To non-interactively renew *all* of your certificates, run
   "certbot renew"
 - Your account credentials have been saved in your Certbot
   configuration directory at /data/letsencrypt. You should make a
   secure backup of this folder now. This configuration directory will
   also contain certificates and private keys obtained by Certbot so
   making regular backups of this folder is ideal.
 - If you like Certbot, please consider supporting our work by:
   Donating to ISRG / Let's Encrypt:   https://letsencrypt.org/donate
   Donating to EFF:                    https://eff.org/donate-le
[cont-finish.d] executing container finish scripts...
[cont-finish.d] done.
[s6-finish] waiting for services.
[s6-finish] sending all processes the TERM signal.
[s6-finish] sending all processes the KILL signal and exiting.

W pliku configuration.yaml dodałem wpisy:

# LOGOWANIE
http:
  ssl_certificate: /ssl/fullchain.pem
  ssl_key: /ssl/privkey.pem
  use_x_forwarded_for: true
  trusted_proxies:
    - 127.0.0.1
    - 172.20.4.0/24  // adresacja sieci lokalnej
    - 192.168.22.0/26  // adresacja sieci po VPN

W konfiguracji ustawiłem zgodnie z tutorialem Artura (próbowałem juz zmieniać na http w lokalnym - bez sukcesu)

Teoretycznie wszystko działa prawidłowo, mogę dostać się z zewnąrz po adresie z duckdns.org - wszystko funkcjonuje pięknie. Niestety przy połączeniu po adresie lokalnym - po logowaniu otrzymuje komunikat:

Unable to connect to Home Assistant.

Porty przekierowane :

rozumiem ze to poprawnej generacji potrzebne, jednak do działania wystarczyłoby zachować przekierowanie na wewnętrzny 8123, z obojętnie jakiego zewnetrznego ? (w tej chwili jest to również 8123)

Prosiłbym o pomoc wolałbym funkcjonować lokalnie jesli mogę, tym bardziej przy zaniku internetu moze byc klops
Próbowałem dnsmasq i NGINX jednak albo nie potrafie tego ustawić, albo nie przynosi rezulatatu - więc nie wrzucam ich konfiguracji gdyż mogą byc błędne.

Internet INEA, publiczne IP.
Dodam że DuckDNS ustawione nie jako addon HA tylko bezpośrednio w routerze UDM

pod adresem localnym otrzymuje tez oczywiscie błąd certyfikatu : “Certyfikat jest nieważny”

Graffy · 8 Listopad 2021 14:23

Mam to samo z moją wykupioną domeną.
Kiedy szukałem odpowiedzi kilka miesięcy temu znalazłem info, że HA serwuje albo http albo https.
Kiedy włączysz ssl nie da rady połączyć się apką po lokalnym adresie bo nie pasuje jej certyfikat.
W przeglądarce możesz dodać wyjątek do adresu lokalnego ale apka HA nie ma takiej możliwości.
Może zadziała to z proxy i chyba tak chciałeś zrobić ale wtedy musisz wyłączyć ssl w HA.

Revo7:

# LOGOWANIE
http:
#  ssl_certificate: /ssl/fullchain.pem
#  ssl_key: /ssl/privkey.pem
  use_x_forwarded_for: true
  trusted_proxies:
    - 127.0.0.1
    - 172.20.4.0/24  // adresacja sieci lokalnej
    - 192.168.22.0/26  // adresacja sieci po VPN

Tu jakiś na szybko znaleziony tutorial.

Wtedy lokalnie połączysz się po http://x.x.x.x:8123 (wywal te przekierowanie z routera)
Zdalnie połączysz się po ssl przez proxy do HA, chyba masz tam port 443?
https://xxx.duckdns.org:443

Tiser · 3 Luty 2022 17:06

Zmieniło się coś w tym temacie od czasu wcześniejszego posta? Zainstalowałem dodatek let’s encrypt i mam ten sam problem. Z zewnątrz jest dostęp, z wewnętrznej sieci przez przeglądarkę też da się połączyć (chociaż z komunikatem o braku ssl- bo jest zarejestrowany na domenę a nie IP), problem jest z aplikacją na androida. Nie da się połączyć z sieci wewnętrznej.

Rafał_Kowalczyk · 23 Kwiecień 2022 18:49

Na routerze ustawić tłumaczenie adresu dns z duckdns na wewnętrzny adres ha. Przykryjesz w ten sposób adres lokalny jaki router tłumaczy z adresu dns.
Oczywiście na urządzeniach serwer DNS musi być ustawiony na ten router.