LAMP + WordPress : Pb d'accès depuis l'extérieur

[JackJack44]

BEURK : fausse joie : j'ai à nouveau plus accès à wordpress (du coup ni en http ni en https !!!)

[piper]

Don't worry
Déjà la méthode :

Vérifier ce qui fonctionne à partir de localhost (le raspberry qui héberge), si ça marche pas : check d'apache, fichiers https etc...
le fichier log d'apache et et systemctl status apache2 sont alors très utiles.

Si ça marche : faire de même sur le réseau local (d'un autre poste) ==> si ça marche pas là ==> voir le pare-feu du raspberry, et être sûr de son ip locale
Si ça marche => vérification de la box (règles NAT et ip de destination, ainsi que l'accès à internet du raspberry qui héberge)

Pour le https, je n'ai pas de solution sur le réseau local mais de l'extérieur, on s'en sort avec des certificats gratuit s(à renouveler tous les 3 mois en crontab) avec certbot
En cas de besoin je t'expliquerai

[JackJack44]

Hello,

Après quelques tests (c'est à n'y rien comprendre...) :

- http en local : OK sur mes autres sites/programmes (ex: phpmyadmin ok) mais KO pour wordpress !
- https en local : OK sur mes autres sites/programmes (ex: phpmyadmin ok), mais KO pour wordpress

- http via internet (mondomaine.freeboxos.fr) : ok (sauf wordpress, mais normal : mes 2 RPI prod et test sont configurés sur le port 80, et le port est redirigé sur ma box)
- https via internet : ok (y compris wordpress)

Bon, en tout cas, mission accomplie : je voulais pourvoir tester cette saleté de wordpress en https (si ça marche via internet c'est tant mieux, et tant pis si je n' y ai plus accès en local http ou htpps. Faut espérer que ma ligne adsl(oui je n'ai pas encore la fibre) ne tombe pas !).

Encore merci

PS pour piper : je suis intéressé pour les certificats gratuits

[_Jean-Marc_]

- http via internet (mondomaine.freeboxos.fr) : ok (sauf wordpress, mais normal : mes 2 RPI prod et test sont configurés sur le port 80, et le port est redirigé sur ma box)
- https via internet : ok (y compris wordpress)

Une histoire de vhosts et de reverse dns, peut être.

Addendum : vous pouvez essayer ça pour confirmer :

Dans l'exemple suivant, "test" est le nom du site défini dans le vhosts

Depuis un Windows de votre LAN, mettez une ligne supplémentaire dans votre fichier hosts :

Code : Tout sélectionner

192.168.0.102	   test

Puis accédez à votre site depuis cette même machine :
https://test:44301

Si ça marche, c'est le vhosts qui vous bloque en LAN

A+

[JackJack44]

Hello again,

Nickel : ça marche

Du coup, comment je vérifie / modifie le vhosts ?

[_Jean-Marc_]

Nickel : ça marche

Du coup, comment je vérifie / modifie le vhosts ?

Désolé, je l'ai fait qu'une fois et j'ai bricolé à tel point que je ne sais plus ce qui a résolu mon problème.

Je laisse la main à plus compétent.

[piper]

Un vhosts est un "virtual host" ou hôte virtuel :
On associe à un nom de domaine, un chemin
Ainsi lorsqu'on tape http:/blablabl.toto/ , apache interprète les fichiers d'un certain dossier (document root)
Ainsi un même serveur peut fournir les accès web correspondand à différents noms de domaine.
Et chaque vhost est configurable.

Apache récupère tous les fichiers *.conf du dossier /etc/apache2/sites-available/
Ce qui fait qu'on peut y mettre un fichier conf par vhost

En fichier minimaliste pour un site http serait comme ceci :

Code : Tout sélectionner

<VirtualHost *:80>
    ServerName example.com  #nom du serveir
    ServerAlias www.example.com #si le site doit pouvoir être joint avec un autre nom de domaine
    ServerAdmin webmaster@example.com                      #email du webmaster
    DocumentRoot /var/www/example.com/public_html #dossier racine des fichiers du site

    <Directory /var/www/example.com/public_html>   #dossier racine des fichiers du site (le même)
        Options -Indexes +FollowSymLinks                       #quelques options ici on désactive la présentation de l'ensemble des fichiers du site et on autorise apache à suivre les liens sympobilques
        AllowOverride All                                                #autoriser les fichiers htaccess à modifier les options définies dans apache 
        Require all granted                                             #apache 2.4 seulement : autoriser toutes les ip (ou seulement certaines)
    </Directory>
</Directory>

    ErrorLog ${APACHE_LOG_DIR}/example.com-error.log                                        #fichier des erreurs apache
    CustomLog ${APACHE_LOG_DIR}/example.com-access.log combined                   #fichier des accès apache
</VirtualHost>

Ne pas oublier de redémarrer apache (ou de lui demandé de relire ses fichiers de configuration) pour que ce soit pris en compte
Et j'ai donné la commande pour afficher les vhosts actuellement servis par apache

Code : Tout sélectionner

apache2ctl -t -D DUMP_VHOSTS

Ces explications concernent les debian et dérivées. C'est différent (et bien plus clair) sur Fedora/CentOS et RedHat.

Pour un vhost en https, il faut aussi préciser les fichiers qui contient les certificats ainsi que les algorythmes. Lorsqu'on fait une demande de certificat, en général, on a la doc des algos utilisés.

Ex (certificat obtenu avec certbot)
Attention : en ce cas, il faut d'abord n'activer que le vhost sans certificat, puis demander le certificat et une fois obtenu, créer le fichier vhosts pour le certificat SSL

Code : Tout sélectionner

<VirtualHost *:443> 
SSLEngine on
    SSLCertificateFile  /etc/letsencrypt/live/mondomaine/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/mondomaine/privkey.pem
    SSLProtocol all -SSLv2 -SSLv3
    SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
    SSLHonorCipherOrder On
    SSLCompression Off
ServerAdmin monemail
DocumentRoot /var/www/html/mondossier
ServerName mondomaine
    ErrorLog ${APACHE_LOG_DIR}/mondomaine-error.log                                        #fichier des erreurs apache
    CustomLog ${APACHE_LOG_DIR}/mondomaine.log combined                   #fichier des accès apache

<Directory /var/www/html/mondossier/>
   Require all granted
</Directory>
</VirtualHost>

[JackJack44]

Bonjour,

résultat de apache2ctl -t -D DUMP_VHOSTS:

Code : Tout sélectionner

AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1. Set the 'ServerName' directive globally to suppress this message
VirtualHost configuration:
*:80                   127.0.1.1 (/etc/apache2/sites-enabled/000-default.conf:1)
*:44301                127.0.1.1 (/etc/apache2/sites-enabled/default-ssl.conf:2)

Et merci pour les certificats (je vais me pencher dessus)

[piper]

Le message comme quoi le nom du serveur n'est pas totalement qualifié est un warning et n'empeche pas apache de fonctionner.
Il faudra y mettre de vrais noms de domaine si tu veux passer en https.
Et pour le reseau local, veiller a ce que les pc du reseau local puissent identifier ton raspi avec le nom de domaine (certaines box refusent de faire le tour de la terre pour revenir chez toi ex : si d'un pc chez toi tu tapes http://mondomaine.com cela revient a interroger des serveurs dns pour savoir qui s'est, finalement revenir vers ta box qii route la domaine sur ton raspberry. C'est idiot : les trames font le tour de la terre alors qu'il n'y a que 10m de cable reseau a faire. Donc certaines box le refuse.
Le soucis c'est qie bien quelles fassent serveur dhcp, elle font rarement serveur de nom netbios, et le multicast dns (resolution des noms sur un reseau local) cause mal entre le monde linux et le monde windows.

Bon courage.

Envoyé de mon SM-J710F en utilisant Tapatalk

[JackJack44]

Bonjour,

Entendu piper,

et encore merci à vous deux pour votre aide précieuse