Apache et local

Support Debian
#1

Bonjours a toutes et tous

Voila ma situation :
Mon serveur VM virtual box avec Debian 10.
gère nextcloud et mail ( postfix dovecot…)

Accès a internet dans une DMZ géré par Pfsense et un reverse proxy HAProxy.

Jusqu’as il y peux tout ce passer dans le meilleurs de mondes
mais depuis je ne peux plus accéder a quelques service que ce soit sur le 443

je m’explique en details
Acces depuis le Web sur mon cloud ou mail via nom de domaine OK
Acces en local web Cloud… via Non de domaine KO
Acces via adresse IP en 80 ok
Acces via IP en 443 KO

Le pfsense et Haproxy ne pose pas de souci, sinon j’aurais aussi pas accès depuis le web.
de même j’aurais plus d’accès du tout par IP sir le firewall était défectueux.

Il me reste donc que le serveur Apache ou Debian qui me bloque, .
J’ai pas mal essayer de truc comme désactiver fail2ban … mais rien n’y fait.
je ne vois rien dans les log ou je chercher au mauvais endroits peut être.

Avez vous déjà rencontre ce genre de problème ou une idée de ce qui bloc ?

Merci par avance

#2

Salut,
utilises-tu la même URL en local qu’en Web?
Le firewall peut très bien être mal configuré en 443 et correctement en 80, quelle est sa configuration?

si je comprends bien, l’architecture est la suivante:

Internet----->Firewall pfsense---->DMZ---->HAproxy------>Apache        (quelle URL?)
LAN local--->Firewall pfsense---->DMZ---->HAproxy------>Apache        (quelle URL?)
#3

c’est presque ca

Internet----->Firewall pfsense - HAProxy ---->DMZ----->Apache (quelle URL?)
LAN local—>Firewall pfsense–HAproxy ----->DMZ----> Apache (quelle URL?)

C’est Pfsense qui gere le ha proxy en amont.

Oui j’utilise la meme URL en local et en lan: cloud.mondomaine.com
mon lan est subdivise en different VLAN,

wan : 192.168.1.x
dmz 172.16.128.x
lan ( uniquement les apareil infra switch borne… 192.168.XX.YY
Vlan 10 le principal 192.168.ZZ.YY
Vlan 40 wifi general 192.168.VV.YY
vlan 44 invite
vlan 42 objetc connecte

Je tiens a préciser que l’accès aux URL Passe depuis la dmz mais aucun des VLAN

#4

Si je Pense que cela viens de mon serveur, c’est parce que j’utilise un autre serveur , HASSIO lie a la domotique
qui lui fonctionne quelque soit la source de la demande.
Home.mondomaine.com fonctionne avec WAN , DMZ, VLAN

Meme Un telenet de base sur 443 ne passe pas

#5

Seul VLAN10 et VLAN40 doivent accéder à ton HAproxy? Car c’est le HAproxy porte l’accès en fait.

  • Le FW doit renvoyer les accès sur l’IP publique vers l’IP d’écoute du HAproxy (qui peut être en localhost, ce qui est même plus sécurisé)
  • Les Vlan10 et Vlan 40 (et peut etre aussi les autres Vlan si nécessaires avec des restriction, les objets connecté ne devant jamais avoir accès complet à internet en dehors des éventuels sites qu’ils sont amenés à utiliser s’il y a lieu), doivent avoir accès à l’IP publique aussi.
  • Tu ne dois pas avoir de résolution différente de ton URL selon que tu es en local vis à vis du public.
  • Ton serveur apache ne doit connaitre que le HAproxy et rien d’autre.

En terme de règles iptables entre FW et DMZ, tu ne doit avoir que

firewall-haproxy l'adresse portée par le HAproxy coté backend, port 80 et 443 ------> IP écoute Apache
ACCEPT IP_HA_BE IP_DMZ_APACHE tcp 80,443

Pour le public :
FW IP publique port 80/443 ---> Translation d'adresse/port ----> IP écoute HAproxy/ports écoute
DNAT IP_PUB IP_HA 80,443

Pour les accès VLAns:
FW IP VLAN réseau VLAN ----->IP publique
ACCEPT VLAN10_NET FW_WAN tcp 80,443
ACCEPT VLAN40_NET FW_WAN tcp 80,443

#6

Un telnet fait à partir de quelle machine/ip vers quelle machine/ip

#7

Telnet du Machine du vlan 10 192.168.10.xx ----> ip cloud 443 ko
Telnet du machine du vlan 40 192.168.40.xx----> ip cloud 443 ko
Telnet D une Machine de la DMZ 172.16.128.xx ----> ip cloud OK

Telenet d’un PC Wan ----> URL Cloud OK

#8

Normal la machine dans la DMZ n’a pas à initier une requête vers l’extérieur, donc ce résultat est bon.

Celui-là, c’est bon évidement.

Il te manque soit un routage de tes VLANs vers internet, soit une règle FW iptables permettant aux deux réseau d’accéder à l’interface du FW (ces machines accèdent à internet, mais ton FW va réagir différemment pour une IP publique WLAN accédées par des ip de ton LAN. Mais aucune règle de LOG n’a été prévue dans ta configuration iptables, tu n’auras donc rine rien dans tes fichiers de logs.

peux tu nous faire un iptables -L et un ip route?

#9 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
f2b-postfix-sasl  tcp  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
DOCKER-USER  all  --  anywhere             anywhere
DOCKER-ISOLATION-STAGE-1  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain DOCKER (2 references)
target     prot opt source               destination

Chain DOCKER-ISOLATION-STAGE-1 (1 references)
target     prot opt source               destination
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere
DOCKER-ISOLATION-STAGE-2  all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Chain DOCKER-ISOLATION-STAGE-2 (2 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere

Chain DOCKER-USER (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

Chain f2b-postfix-sasl (1 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere
#10 
default via 172.16.128.1 dev enp0s3 onlink
172.16.128.0/24 dev enp0s3 proto kernel scope link src 172.16.128.52
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown
172.18.0.0/16 dev br-65a9f28344c4 proto kernel scope link src 172.18.0.1 linkdown
#11

J’avance a petit pas alors du nouveau

essai avec les URL :
http://mondomaine.fr -----> OK pour tout , vlan dmz wan’
https://www.mondomaine.fr -----> Ok pour tout VLAN, DMZ, WAN’

http://cloud.mondomaine.fr -----> Ko pour VLAN, Ok pour WAN - DMZ’
https://cloud.mondomaine.fr -----> KO pour VLAN , Ok Pour WAN-DMZ’

texte préformaté indenté par 4 espaces
#12

je m’oriente vers un gros probleme de conf d’apache

1 J'aime
#13

oui c’est ta conf apache qui ne repond pas au domaine.
Par contre ta DMZ ne devrait pas communiquer avec l’extérieur. Question de sécurité.
A quoi sert ton docker?

#14

sur ce serveur a rien je sais meme pas comment il est arriver la

#15

La question est de savoir pourquoi l apache reponds a la dmz mais pas aux vlan et pourquoi cela concerne certains sites et pas d’autre

#16

Enlève-le, c’est mieux. Sur des équipement accéssibles de l’extérieur, des fonctionnalités inutile et potentiellement une faille des écurité avec des paramètres par défaut ne doivent pas être laissées.

Donnes la configuration vhosts de l’apache à tout hasard.
Quelle est la résolution des deux URL? Car il est possible que ce soit ça le problème.
nslookup <url> ou host <url>
Dans la configuration HAproxy, les deux URL sont configurées de la même façon?

#17

Voila je viens de le degager

pour les backend oui hormis l ip des serveurs
les nslookup fonctionnent bien et pointent les bon serveurs

<VirtualHost *:443>
	ServerName mail.smouts.fr
	DocumentRoot /usr/share/rainloop
	
	# HTTP Strict Trasport Security
    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

    # configuration SSL
	SSLEngine on
    SSLOptions +StrictRequire
    SSLProtocol all
    SSLCipherSuite HIGH
	
	# certificats
    SSLCertificateFile /etc/letsencrypt/live/mail.smouts.fr/cert.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/mail.smouts.fr/privkey.pem
    SSLCertificateChainFile /etc/letsencrypt/live/mail.smouts.fr/chain.pem

    # log
    LogLevel warn
    ErrorLog /var/log/apache2/mail.smouts.fr-error.log
    CustomLog /var/log/apache2/mail.smouts.fr-access.log combined
</VirtualHost>

Nouvel element
SI j’essai https://mondomain.fr/nextcloud
la ca passe,
donc il y a un blocage quelque part me je vois pas ou

#18

Hello @Minthaka et @Zargos

Je n’ai la prétention d’avoir tout lu et compris vos échanges et mais avez-vous pensé à la box?

Il m’est déjà arrivé au moins une fois qqc de similaire et au final c’était la box qui ne fonctionnait plus correctement. La solution a été un reset complet (paramètres usines) et remise en place des paramètres souhaités.

#19

la configuration que je vois ici ne correspond à aucune des URL citées avant. donc normal qu’il y ait un problème. Normalement tu devrais avoir un vhost pour www.mondomaine.fr et un pour cloud.mondomaine.fr (si ce sont bien des sites différents).

#20

Donnes quand même les résultat que tu as en retour.