Bonjour,
serait-il possible que le /etc/hosts ait été modifié sur la VM (virtual machine) LXC? Il peut en effet s'agir d'un problème de routing. traceroute peut aider aussi. Et "ip addr show" / "ip route show", pour voir comment le trafic est routé.
Personnellement, j'ai une configuration similaire, où mes VM LXC sont derrière un proxy Nginx; SSL, aussi géré par Let's Encrypt Certbot, est géré au niveau de Nginx seulement. Le trafic entre Nginx et la VM LXC est en http seulement, ce qui simplifie beaucoup les choses.
Le jeu. 21 janv. 2021 à 08:35, Vincent dubsv@free.fr a écrit :
Salut!
Le 21/01/2021 à 00:01, CgX a écrit :
Plusieurs pistes :
As-tu essayé avec curl ?
Dans quel sens? Là où ça coince, c'est à partir du serveur vers lui-même en passant par l'IP publique (comme c'est du LXC, c'est derrière un NAT). J'ai déjà utilisé curl pour l'installation. Je précise, je gratte sur ce point car le serveur BBB HTML5 plante car il n'arrive pas à accéder à https://visio.connect.cafe ou plus exactement, n'arrive pas à récupérer un certificat valide. Et, de fait, Let's Encrypt ne couvre que les domaines, pas l'adresse IP.
Tests à l'instant avec curl :
root@big-blue-button:~# curl -O https://visio.connect.cafe/default.pdf % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 0 0 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0 curl: (35) gnutls_handshake() failed: The TLS connection was non-properly terminated.
root@big-blue-button:~# curl -O visio.connect.cafe/default.pdf % Total % Received % Xferd Average Speed Time Time Time Current Dload Upload Total Spent Left Speed 100 424k 100 424k 0 0 65.9M 0 --:--:-- --:--:-- --:--:-- 69.1M
Apparemment, il arrive à passer en HTTP, alors que c'est normalement interdit... ?
Ton serveur est il à l'heure ?
Oui, à l'heure UTC
As tu testé wget avec une autre url gérée par du letsencrypt ?
Oui, j'ai "wgetter" une image du blog ral-bsl.linux-azur.org avec succès...
Que donne "openssl s_client -connect visio.connect.cafe:443" ?
Précision : Let's Encrypt est géré par la machine host, pas dans le LXC qui est couvert en tant que sous-domaine.
root@big-blue-button:~# openssl s_client -connect visio.connect.cafe:443 CONNECTED(00000003) 139741104465560:error:140790E5:SSL routines:ssl23_write:ssl handshake failure:s23_lib.c:177:
no peer certificate available
No client certificate CA names sent
SSL handshake has read 0 bytes and written 265 bytes
New, (NONE), Cipher is (NONE) Secure Renegotiation IS NOT supported Compression: NONE Expansion: NONE No ALPN negotiated SSL-Session: Protocol : TLSv1.2 Cipher : 0000 Session-ID: Session-ID-ctx: Master-Key: Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None Start Time: 1611214364 Timeout : 300 (sec) Verify return code: 0 (ok)
Une idée?
Ton serveur est il ancien ? (Gestion de tls1.3)
La version courante de BBB impose une Ubuntu 16.04.LTS server... Donc, oui, ancien de ce point de vue, par contre à jour et dédié à BBB.
Une piste?
Merci, Vincent. _______________________________________________ Linux06 mailing list Linux06@lists.linux-azur.org https://lists.linux-azur.org/mailman/listinfo/linux06 Attention, les archives sont publiques