Impossible de renouveler le certificat Let's Encrypt

[kroumi]

@.Shad.J'ai désactivé mon parefeu et j'ai fait le test avec l'IP que me donnait le lien https://ip.lafibre.info. A chaque fois ça me répond que les ports 80 et 443 sont bloqués sur cet IP. Ce que je trouve surprenant si le pare-feu n'est pas activé.

[.Shad.]

Il y a 9 heures, kroumi a dit :

@.Shad.J'ai désactivé mon parefeu et j'ai fait le test avec l'IP que me donnait le lien https://ip.lafibre.info. A chaque fois ça me répond que les ports 80 et 443 sont bloqués sur cet IP. Ce que je trouve surprenant si le pare-feu n'est pas activé.

Donc plusieurs possibilités :

1. Les règles dans ta box ne sont pas fonctionnelles
2. Ton FAI fait du CGNAT, en gros il a basculé ton IP publique en IP privée dans son propre réseau de blocs IP à sa disposition, ton IP publique commence peut-être par 10 ? (c'est ce que fait Voo en Belgique par exemple).
3. Pour une même IP publique, la plage des ports disponibles est restreinte par ton FAI (ce que fait Free si tu n'as pas une configuration full stack). Facile à vérifier, tu changes la règle de NAT dans ta box, au lieu de faire 80 de la box vers 80 du NAS tu fais 55080 de ta box vers 80 de ton NAS. Et tu revérifies via le site que je t'ai donné si le port 55080 est accessible.

[kroumi]

Bonjour,

@.Shad.Tu as tapé dans le mille 😃

En fait mon FAI restreint la plage de ports disponible. Je ne peux saisir un port qu'entre 13684 et 32767. J'ai donc fait un 20000 box vers 80 NAS et ça fonctionne, le port 20000 est accessible.

Il faut que je demande une adresse fixe V4 full stack, et il me semble bien que c'est ce que j'avais demandé dans mon ancien logement. Avec mon déménagement, je ne suis retrouvé de nouveau avec une restriction de ports.

Il me semble que la demande d'adresse fixe V4 full stack est la seule solution pour résoudre mon problème.

Merci beaucoup pour ton aide 😉

[.Shad.]

Tant que tu peux le faire, oui, il ne faut pas se priver de la demander.

Après, pour le cas particulier du renouvellement de certificat, tu as possibilité de demander un certificat wildcard (comprend tous les sous-domaines possibles pour ton domaine), et ça ne se fait plus au niveau local mais au niveau de ta zone DNS publique.

Et donc, à moins de l'héberger toi même, tu n'as plus besoin d'ouvrir de ports.

[kroumi]

@.Shad.CA Y EST J'Y SUIS ENFIN ARRIVE !!! 😎🥳

Car en fait la mise en place d'une adresse fullstack n'avait pas suffit. Les ports 80 et 443 étaient pourtant ouverts.

En fait le problème venait du paramétrage chez l'hébergeur du nom de domaine. J'avais mis en cible une IP , mais après avoir déménagé je ne l'avais pas mis à jour.

J'ai donc mis à jour l'IP il y a 3 jours et en me connectant à mon NAS je découvre que le certificat LE s'est renouvelé tout seul.

Pfff enfin une épine sortie du pied.

Par contre je me demande comment font ceux dont les providers ne leur donne pas une IF fixe 🤔

[.Shad.]

Le type d'adresse n'a pas d'importance pour un renouvellement de certificat.
Et on contourne très facilement le problème de changement d'adresse avec le DNS dynamique.

Avoir une IP dynamique n'est pas spécialement un frein, sauf à vouloir héberger son propre serveur mail, car on est dépendant de la réputation de l'IP qu'on utilise, et on n'a aucune prise dessus.