Apache fonctionne de l’extérieur mais pas en local

[Seb41]

Bonjour

Aie... apache me résiste. Pourtant, j'y suis presque et j'étais bien parti. Installation de raspbian hier, installation d'apache ce matin. je n'ai modifié aucun fichier de configuration.

Voila les symptomes :

Sur le raspberry :
http://127.0.0.1/ => ca marche, la page s'affiche sur le navigateur
http://192.168.1.22/ (l'adresse IP du raspberry) => ca marche

Sur un autre PC de la maison
http://192.168.1.22 => ca marche

De mon téléphone (wifi coupé)
http://81.249.43.29 => ca marche
http://monsiteXXXXhopto.org => ca marche

Mais, magie ou sorcellerie, d'un pc de la maison, ou de mon telephone en wifi :
http://81.249.43.29 => ca ne marche pas
http://monsiteXXXXhopto.org => ca ne marche pas non plus
Comme si le fait de "sortir du réseau local pour y re-renter" était interdit

La box est paramétré dans l'onglet NAT/PAT les ports 80 et 443. Le dyndns est paramétré. J'ai rebouté les PCs, box orange, raspberry. Le raspberry est directement connecté à la box orange. J'arrive vraiment pas a diagnostiquer le problème. Un informaticien peut m'aider à trouver le problème ?

Merci
Apachement

[destroyedlolo]

Et bien ... c'est normal.

http://81.249.43.29 => ca ne marche pas
http://monsiteXXXXhopto.org => ca ne marche pas non plus

C'est ton IP publique et j'imagine que le DNS pointe aussi dessus.
Tu ne peux pas la router en interne sur ton propre réseau :

• ip hors de ton propre réseau tu sort vers internet,
• sauf qu'Internet dit que cette IP est celle publique de ta box
• ca repointe sur ta box ... et ca, elle ne sait pas faire ...

Solution :

• forcer les tables de routage en dure de tes machines (mais bon, ca va etre chiant)
• solution plus propre : mettre ton propre serveur DNS sur ton réseau et faire pointé http://monsiteXXXXhopto.org vers l'IP interne de ton PI. Ca marche très bien (c'est ce que je fais sur mon propre réseau depuis des années).

[Seb41]

Bonjour destroyedlolo,

Merci pour ta réponse rapide.
Ce n'est donc pas un anormal.
Je commence sur raspberry... alors je crois que je vais attendre un peu avant de mettre plus profond les mains dans le cambouis des DNS

Bonne soirée

[domi]

Bonjour,

Cela ne vient ni de ton Raspberry, ni d'apache, mais c'est ta Box qui refuse le retour vers ton IP Public.
Cela s'appelle le "loopback", et certaines Box de FAI ne savent pas faire.

C'est à dire que tu veux, depuis une machine de ton réseau privé, accéder à une autre via l'adresse IP public.
Depuis l’extérieur cela fonctionne bien, donc le routage est bien configuré, mais depuis une machine interne de ton réseau, il refuse de sortir sur internet, chercher l'adresse IP Public qui renvoie chez toi. Le problème vient donc de ta Box qui ne sait pas faire.

[maxty01]

Bonsoir

Cela s'appelle le "loopback", et certaines Box de FAI ne savent pas faire.

Cela s’appelle aussi le Nat Reflection

Cependant, je suis d'accord avec l'ensemble des réponses données.
Bien que la mise en place d'un DNS interne puisse être aussi compliquée, surtout dans sa gestion.

Normalement, la box connaît son adresse IP, mais lorsque l'on crée un "port forwarding" ou une redirection de port, on met en place ce que l'on appel du nating (NAT = Network Address Translation),
dans ce cas c'est du DNAT (Destination Network Address Translation) dans la majorité des cas, il est possible d'activer la réflexion, cette option n'est pas activée par défaut, ou pas disponible.

Perso, je n'ai pas beaucoup d'expérience avec les box (belge ou française) puisque j'utilise un firewall pfsense qui me permet d'être assez fin dans les réglages de mes différentes règles.

Ceci était un message à but informatif

Bonne soirée,

[destroyedlolo]

Cependant, je suis d'accord avec l'ensemble des réponses données.
Bien que la mise en place d'un DNS interne puisse être aussi compliquée, surtout dans sa gestion.

Mouai, pas vraiment
Des années que je dois mettre un tuto en ligne la dessus ... mais bon, le temps le temps le temps

[Seb41]

Merci pour vos explications
Je continue ma découverte de raspberry

[brucine]

Le comportement décrit est presque normal.

Il est en effet normal que l'on puisse s'adresser à partir d'un autre réseau (smartphone) à un site web par son adresse publique, sans quoi il n'existerait pas de site web.
Noter à ce propos que, contrairement à ce que l'on observe ici, il est fréquent que tout marche en local... et rien de l'extérieur.
Comme il n'est pas facile de tester, sauf à disposer de 2 FAI différents ou réquisitionner un pote, un certain nombre de sites permettent de tester "l'extérieur", par exemple:
https://downforeveryoneorjustme.com/

Mais il ne l'est pas que l'on ne puisse pas accéder en wifi sur le réseau local à toto.hopto.org

Je sais bien que, dans sa grande sagesse, Orange privilégie les "pages perso" en ligne, mais s'il fournit en dehors du Cloud un espace de stockage en ligne et que ses règles DynDNS prévoient un item "Web Server", c'est qu'il y a une raison, et il ne doit d'ailleurs pas avoir un seul FAI qui ne confère pas cette possibilité sur un réseau local (les 2 vont souvent ensemble), sans quoi ils auraient nettement moins d'abonnés.

Revenons aux spécificités Orange.

Si j'ai déménagé il y a quelques semaines, et remplacé ma Livebox par une SFR NB6, j'ai par le passé géré sans problème un site Web en réseau local derrière la Livebox.
Pour un serveur FTP, c'est plus compliqué et un peu erratique puisqu'il faut gérer les requêtes actives et passives.

Mais je me suis fait jeter, j'ai fini par abandonner, d'une Livebox Pro dont le firewall intégré n'a jamais voulu laissé passer des connexions VNC à un ou plusieurs des postes réseau en aval.

Nous avons donc ici non pas un problème Orange ou de loopback mais un, problème de syntaxe ou de paramétrage tout au moins s'il ne s'agit pas d'une Livebox Pro.

Sur le principe général de fonctionnement, j'ai fait le cobaye avec ma NB6 (avec la Livebox, je ne peux plus).
Apache, SQL et PHP étaient pré-installés sur mon Raspberry 4 avec Raspbian Desktop, j'y ai rajouté comme décrit dans mon intervention sur le post en question MariaDB et Adminer mais qui ne servent dans ce contexte à rien d'autre que de montrer que tout cela est actif.
J'ai refait une inscription No-IP, je n'en avais plus, j'ai testé, tout baigne (sauf évidemment de s'adresser en Wifi à l'adresse publique).

Mon Raspberry et le PC Windows sont tous deux branchés chacun par un câble HDMI sur le même écran qui comporte un commutateur HDMI.
Mais comme je suis fainéant et que ça facilite le paramétrage en double fenêtre, VNC Server tourne en tâche de fond sur le Raspberry et je lance un raccourci VNC Viewer du poste Windows.
Notez à cet égard que, si vous utilisez alternativement la connexion ethernet et wifi sur le Raspberry, il vous faudra 2 raccourcis, un par adresse IP locale de chaque dispositif.

Enfin, depuis que j'ai déménagé, c'est toujours le chantier: seule ma télé est branchée à la Livebox par un câble réseau, je ne risque pas d'y connecter le reste autrement qu'en wifi puisque les câbles ne sont pas connectés.

Cherchons donc le bug.

Du côté de No-IP, il faut faire attention au nom d'utilisateur, qui va implicitement être utilisé: si l'utilisateur déclaré de toto.hopto.org dans No-Ip est vilcoyote, il faut que vilcoyote@localhost bénéficie des privilèges de connexion au serveur Apache, se débrouiller avec son gestionnaire PHP, AdMiner ou ce qu'on voudra, ou directement à la ligne de commande pour les puristes.
Pendant qu'on cause de No-IP, ne pas oublier de remplir le formulaire de configuration à l'inscription.
Si en principe maintenant tous les FAI ont un gestionnaire DynDNS qui gère les adresses publiques dynamiques, se méfier tout de même de ne pas se faire jeter au renouvellement d'IP; si c'est le cas, télécharger NoIP DUC et le faire tourner en tâche de fond sur le PC hôte.

Sur la configuration générale.
Il est de bonne politique et pour la même raison d'affecter une adresse IP statique à tout ce qui traîne sur le réseau local et en spécifiant la passerelle de la box et, encore mieux, les DNS primaire et secondaire du FAI, ça se trouve facilement sur internet.
Un plan B pour les fainéants consiste sur la Livebox à réserver une adresse statique à chaque dispositif du réseau local (le hic, c'est qu'ils ne sont reconnus que par leur MAC) de sorte à éviter les jeux de chaises musicales.
La connexion wifi du raspberry, qui se lance pourtant comme sous Windows en cliquant l'icône réseau puis en s'authentifiant sur le nom de sa box qui apparaît dans tout ce qui est à portée n'est pas "self speaking", de sorte que l'on est persuadé d'être connecté en wifi quand ce n'est pas le cas; ce n 'est pas dur à vérifier, quand on passe la souris dessus, ça nous raconte "wlan0 down".
D'une manière plus générale, le Raspberry est documenté pour parfois se mélanger les pinceaux entre ethernet et wifi.
Ne rajoutons pas ici de cause de problème, s'il y a un câble ethernet, débranchons le le temps de tester.

Le firewall intégré aux box, et souvent d'ailleurs aussi celui intégré à Windows, nous pourrissent la vie en interdisant trop ou trop peu et en plus en le faisant en silence.
De mémoire, on ne peut pas totalement désactiver le firewall de la Livebox, mais on peut le mettre au minimum, et j'ai personnellement désactivé Windows Defender pour un firewall autonome qui lui me cause quand il veut interdire quelque chose.
Si l'on est amené à se servir de NoIP DUC, il tournera sous le PC Windows, il n'est pas exclu que l'on se fasse jeter si les droits de partage ne sont pas correctement paramétrés avec le Raspberry.

Le problème ne me semble pas lié à la box du moment qu'il s'agit d'un modèle "grand public" mais il ne faut pas oublier qu'il y a, outre ce que j'ai dit plus haut du firewall et qu'il s'agisse de SFR ou d'Orange 2 zones à paramétrer:
-redirection de ports (la Livebox demande pour quelle application: Webserver) TCP, ports in et out 80, vers soit l'adresse locale du raspberry soit le nom du matériel, et idem port 443.
Et c'est peut-être là que ça peut nous mettre dans la purée si c'est le dispositif qui est identifié puisque, si l'adresse locale n'est pas statique, elle peut par définition varier, et que même si elle l'est, il y en a 2 différentes, une pour le wifi, l'autre pour ethernet.
Pour ne pas me mélanger les pinceaux, je les ai choisies dans la même gamme ethernet/wifi 192.168.1.21/192.168.1.31 pour le PC Windows, idem 29/39 pour le raspberry.
La conséquence logique si l'on se connecte au raspberry tantôt en ethernet, tantôt en wifi, est qu'il faut rediriger 2 FOIS les ports 80 et 443, une fois vers chacune des adresses locales.
Faire aussi attention qu'il n'existe pas déjà dans la box une redirection ou une DMZ antagonistes.
-La zone DynDNS n'appelle elle pas de remarque particulière sinon qu'il faut comme d'habitude bien vérifier la syntaxe: service NoIP, nom utilisateur et mdp à l'identique de ceux déclarés chez NoIP (attention à la remarque que j'ai faite de leur utilisation pour se connecter au serveur Apache), SFR se contente du nom de domaine toto.hopto.org, je ne sais plus ce que Orange entend par "nom complet" (http www et consorts).

Tout ce à quoi je pense pour le moment, je reste à disposition pour des questions complémentaires.