OPNsense Forum
International Forums => French - Français => Topic started by: ValereG on January 30, 2018, 12:23:59 pm
-
Bonjour,
J'utilise OpnSense depuis trois ans sur les serveurs auto-hébérgés de notre association et depuis trois ans, les mises à jour n'ont présenté aucun problème. Il s'agit d'une configuration élémentaire : OpnSense est installé sur un ordinateur équipé de trois cartes réseau et sert d'un côté un LAN et de l'autre une DMZ. Cette DMZ fait office de serveur Web et mail (Centos 7) tout cela certifié par LetsEncrypt depuis maintenant plus d'an.
Le problème rencontré… Avant la mise à jour de 17.x vers 18.1_1 (réalisée par la console SSH) et qui s'est bien déroulée, l'accès au domaine de notre association (et à ses sous-domaines) fonctionnait parfaitement (Apache 2.4.6 avec redirection du port 80 vers le port 443). Depuis la mise à jour, plus aucun site n'est disponible de l'extérieur : les navigateurs affichent tous une erreur relative aux certificats. Seul Firefox donne une indication sur la nature de l'erreur : SSL_ERROR_RX_RECORD_TOO_LONG. Ce qui est étrange, c'est que depuis le LAN, qui naturellement accède au site, nous ne rencontrons en revanche aucune erreur : les certificats sont valides, etc. De même, et cela depuis le LAN comme depuis l'extérieur, l'accès aux services IMAP et POSTFIX, également sécurisés par LetsEncrypt, ne posent pas de souci.
Je précise que les certificats des sites avaient encore, avant la mise à jour d'OpnSense, encore plusieurs semaines de validité devant eux. Je ne les ai renouvelés que ce matin, croyant qu'ils étaient les fautifs. De même, le serveur Web sous Centos 7 était à jour depuis plus d'une semaine. Autrement dit, rien n'a changé dans ma configuration, excepté OpnSense.
J'ai bien sûr effectué quelques modifications dans les fichiers de configurations d'Apache, suivant les conseils glanés ça et là sur Internet, mais rien n'y fait. Et là, je sèche. En attendant, j'ai repassé le domaine et ses sous-domaines en http, mais je cherche une solution.
Existe-t-il un nouveau paramètre par défaut dans le pare-feu qui bloquerait d'une façon ou d'une autre les accès web par https ? C'est évidemment douteux, mais je ne vois pas ce que ça pourrait être d'autre…
Si quelqu'un a des suggestions, des pistes, des idées, elles sont les bienvenues !
Bien cordialement et merci d'avance,
Sébastien Weber
-
[EDIT] Bon, eh bien, j'ai trouvé, et cela venait bien de OpnSense. La solution était tellement bête que je n'y avais pas pensé. Il fallait simplement retourner dans la vue des Alias, opérer des modifications mineures (quitte à les annuler par la suite) et à "Appliquer les changements". Le fait d'"Appliquer les changements" a tout ramené à la normale. Ouf !
Mais, tout de même, c'est un comportement étrange…
Bonne journée,
SW
-
En effet, etrange...
Je vais essayer de reproduire le problème en labo pour voir ce qu'il bloque.
Heureux que tu t'en sois sortie en tout cas