OVH Community, votre nouvel espace communautaire.

Modem OVH : remplacement de certificats SSL


Anozer
17/02/2015, 19h31
Très bien, je vous remercie.

Au passage, merci aussi @janus57 et @Nowwhat pour vos interventions pertinentes.

Luigi_B
17/02/2015, 19h18
Bonjour.

Je me suis attribué votre mail envoyé au support, nous regardons en interne ce qu'il est possible de faire pour votre configuration.
Nous revenons vers vous rapidement.

Cordialement.

Luigi.B

Anozer
16/02/2015, 21h20
Citation Envoyé par Nowwhat
Ah, ton Modem/Routeur fait donc de la redirection locale - ou: il tente de le faire (je ne sais pas le terme exact) mais au lieu d'aboutir sur ton serveur web (serveur dans le LAN) il garde la connexion pour lui, sur son porte WAN:443 - puis - à vérifier - tu tombe sur la porte 443 du serveur web interne de Modem/Routeur (son interface web de gestion).
Il balance SON certificat (lui du Modem/Routeur ) et ça, ce n'est pas bon .....
C'est bien ce qui est "étrange". Contrairement au cas sur le forum BBox, le Loopback fonctionne. La seule chose qui ne marche pas, c'est le certificat SSL. Comme tu le d écris, je tombe sur le serveur web interne, mais seulement lors de l'échange de certificat. En ce qui concerne les données HTTP, tout est OK. J'accède bien au serveur web local.

Et donc, ta solution @janus57 ne me convient pas. Puisque je ne souhaite pas rerouter tout mon trafic sur l'ip locale. Je veux faire fonctionner mon loopback pour mon certificat SSL, étant donné que c'est la seule chose qui coince.
Pour info, j'ai accès en Telnet à toutes les options "cachées" du modem OVH. Il y a p'tet des choses dedans mais je ne sais pas où chercher...

janus57
16/02/2015, 20h38
Bonjour,

comme dit par @Nowwhat avec son lien on dirait un problème de "loopback", c'est la même chose sur les LiveBox2, par contre l'astuce sur les LiveBox2 est de nommer l'équipement dans l'interface d'administration comme le Nom De Domaine, ce qui aura pour effet de ré-envoyer la requête de https://nas.mondomaine.fr directement sur l'ip local de ton NA et là comme par magie ton SSL devrait fonctionner, en tout cas de mon côté en LiveBox2 cela résolu le problème, car sinon tu tape sur le port 443 de ta BOX/Modem.

Cordialement, janus57

Nowwhat
16/02/2015, 20h16
Lorsque je fais un NSLOOKUP de mon domaine depuis mon PC local, ce n'est pas l'IP LAN qui m'est retournée mais bien l'IP WAN
Dans ce cas, le Modem/Routeur n'a pas de DNS - ou son DNS ne sais pas ce que c'est "ton-domain.tld" et il se renseigne un niveau plus haut, probablement auprès le DNS de ton FAI.
Lui, bien sur, va retourner ton IP WAN ....

Le floue pour moi se situe ensuite. Le modem dispose vraisemblablement d'une mécanique qui, lorsque l'IP WAN est demandée depuis le LAN, il reboucle. On réutilise donc les règles NAT, etc.
Ce certificat auto-généré par le modem est donc un vrai mystère pour moi. Je ne comprend pas pourquoi il se substitue au mien.
En d'autre termes : pourquoi les paquets n'emprunte pas le même chemin ?
Ah, ton Modem/Routeur fait donc de la redirection locale - ou: il tente de le faire (je ne sais pas le terme exact) mais au lieu d'aboutir sur ton serveur web (serveur dans le LAN) il garde la connexion pour lui, sur son porte WAN:443 - puis - à vérifier - tu tombe sur la porte 443 du serveur web interne de Modem/Routeur (son interface web de gestion).
Il balance SON certificat (lui du Modem/Routeur ) et ça, ce n'est pas bon .....

Regarde ici: http://bbox-news.com/forums/topic869...-port-nat.html dernier message, n°11 - c'est ça qui t'arrive je pense.

Anozer
16/02/2015, 19h35
J'ai bien relu ton message plusieurs fois, mais je ne pense pas être d'accord (je suis loin d'être un expert!).

Lorsque je fais un NSLOOKUP de mon domaine depuis mon PC local, ce n'est pas l'IP LAN qui m'est retournée mais bien l'IP WAN. Or cette IP WAN n'est pas connue par mon PC, elle est en dehors de son réseau. Ainsi, il va adresser les requêtes non pas au serveur, mais à la passerelle par défaut : le modem/routeur. Donc, selon moi, le trafic va bien passer par le modem.

Le floue pour moi se situe ensuite. Le modem dispose vraisemblablement d'une mécanique qui, lorsque l'IP WAN est demandée depuis le LAN, il reboucle. On réutilise donc les règles NAT, etc.
Ce certificat auto-généré par le modem est donc un vrai mystère pour moi. Je ne comprend pas pourquoi il se substitue au mien.
En d'autre termes : pourquoi les paquets n'emprunte pas le même chemin ? Concrètement, les data HTTP vont du serveur web jusqu'au PC, alors que la négociation SSL s'arrête au niveau du modem.

PS : J'utiliser également un certificat StartSSL sur le serveur. Et c'est bien un auto-généré par le modem qui n'a RIEN à voir dont je parle.

Nowwhat
16/02/2015, 19h08
Petit détail:
Citation Envoyé par Anozer
....
Sur le PC local, accès à https://nas.mondomaine.fr.
Même si le DNS de ton Modem/Router va résoudre cet URL vers un IP local, le trafic d'un PC (sur ton lan) vers le serveur web (sur ton lan) ne passe PAS par le Modem/routeur - mais uniquement par un switch dans ton lan.

Un Modem/Router s'en fou complétement de ce que c'est, "http", "https", Certificats, etc.
Lui, il travaille des adresses IP, des ports.

Le visiteur qui visite à partir de l'Internet, lui va chercher https://www.ton-domain.tld - t'as routé la porte WAN:443 vers ton server web sur le lan, i.e. IP-LOCAL:443.
Le serveur web va proposer un certificat.
Le navigateur du visiteur va chercher des détails concernant ce certificat. L'émetteur de ce certificat va confirmer que le certificat est ok, qu'il pourrait être utilisé par le serveur web qu'on visite avec le nom de domaine www.ton-domain.tld (ou ton-domain.tld)

Si ton Modem/routeur possède un serveur DNS 'digne de son nom', tu pourrait déclarer un domaine pour ton lan = ton-domain.tld.
Puis, nomme le serveur web 'www' (ou www.ton-domain.tld) comme host.
Dans ce cas, même toi, à l'intérieur de ton lan aura une connexion https 'valide' sans que ton navigateur pleure que le certificat n'est pas valable.

Enfin, si je bien compris la question. Moi, j'utilise des certificats de StartSSL dans mon lan - avec un routeur / parafeu pfSense, pour que l'accès à mon portail Wifi (pour mes clients dans l'entreprise) passe par HTTPS d'une façon valide.

Anozer
16/02/2015, 18h57
Tu as raison, je me suis douté que le fait d'utiliser le PC en local allait générer des problèmes. Et je confirme que tout est OK depuis l'extérieur. Mais je n'ai pas le choix. Par exemple sur le serveur, j'ai un serveur CalDAV/CardDAV qui regroupe mes contacts et calendriers. Lorsque je suis à l'extérieur, la synchro en 3G avec mon téléphone est OK. Quand j'arrive chez moi, je switch automatiquement en Wifi, donc en local, et ça ne fonctionne plus. C'est embêtant.

Le fait est que le modem est "intelligent". Si je lui demande, de puis le LAN, d'accéder à mon IP WAN, cela va tout de même fonctionner (tu peux tester, fais un ping de ton IP WAN, t'auras les mêmes délais qu'un ping sur l'IP LAN). Ma solution de secours a donc été de configurer un 2e port HTTPS sur mon serveur et l'ouvrir sur le modem.

Mon hypothèse : je pense avoir trouvé un fonctionnement non prévu. Il se peut que le modem pense que j'essaye d'accéder à son interface d'admin depuis son IP internet. Le NAT fait son boulot et traduit bien vers mon serveur local. Mais ça coince pour le certificat, et je me retrouve avec le certif de l'interface d'admin. Etant donné que l'interface d'admin n'est QUE en 485 pour HTTPS, je n'ai pas le soucis sur les autres ports.

Mais peut être que je me trompe complètement.

laurentm
16/02/2015, 18h33
NORMAL !!!

C'est parce que le test est fait depuis le réseau LAN interne !!! le certificat n'est valable que pour l'accès depuis l'extérieur, il faut faire le test avec un smartphone 3G ou 4G par exemple, ou bien avoir une deuxième connexion internet pour sortir, ou encore passer par un VPN externe pour simuler le fait d'être à l'extérieur.

Anozer
16/02/2015, 18h14
Mon identifiant est ms156817-ovh.
Si vous voulez plus de détails sur le domaine en question, les adresse IP, etc, je peux vous les communiquer par message privée.

PierrYves L
16/02/2015, 13h18
Bonjour,

Pouvez-vous me communiquer votre identifiant OVH? Cela me permettra de visualiser la configuration mise en place sur notre modem TG789.

Merci d'avance pour votre retour.

Cordialement,
PierrYves L

Anozer
15/02/2015, 16h48
Bonjour,

Je suis client ADSL OVH et dispose donc d'un modem TG789vn qui m'a été fournit à la souscription. Je dispose également d'un nom de domaine, dont un sous domaine pointe directement vers l'adresse IP de mon modem OVH. Derrière mon modem se trouve un serveur web. Sur celui-ci, j'ai donc installé un certificat SSL.

Mon problème :
Dans une condition particulière, le modem remplace le certificat, valide, de mon serveur par un certificat auto-signé portant le nom/modèle du modem.

Les conditions :
- Modem-routeur OVH sur internet en xxx.xxx.xxx.xxx, en local sur 192.168.0.254
- Serveur local en 192.168.0.1
- PC local en 192.168.0.2
- Domaine nas.mondomaine.fr pointant sur xxx.xxx.xxx.xxx

Reproduction du problème :
Sur le PC local, accès à https://nas.mondomaine.fr.
À noter, cela n'est vrai QUE sur le port 443. En ouvrant un second port pour HTTPS, je n'ai plus le problème.

Ma question :
Pouvez-vous m'indiquer une marche à suivre pour faire en sorte que le modem OVH ne remplace plus mes certificats sur le port 443, ou simplement n'essaye même pas d'en générer ?

Merci d'avance.