Discussion :

[Mand123]

Bonjour à tous,

Je rencontre d'énormes difficultés pour mettre en place mon projet. ça demande des compétences techniques réseaux que je n'ai pas. C'est simple parait-il mais ça échappe à ma logique. En quelques mots, je vous explique ce projet.

Je souhaite mettre en ligne une webradio. Sur un 2ème pc chez moi un logiciel (Azuracast ) est installé pour diffuser du flux audio sur mon site ( hébergé par ovh) sur lequel est le player audio qui devrait diffuser le flux. Mais je n'y arrive pas. Je bloque sur pas mal de points techniques.
J'ai des éléments qui devraient m'aider, mais non, ça coince: je connais mon IP publique, l'IP local du serveur.

1 ere difficulté : créer un sous domaine chez ovh (qui pointera vers le serveur si j'ai bien compris)
2eme difficulté : créer un DynDNS parce que mon IPV4 est full stack. Sur le site mon-ip.com, je m'y perds.
3eme difficulté : faire pointer le player sur le serveur.
4eme difficulté la configuration de la box sfr pour les ports et le reste.

Voilà, autant dire que c'est la totalité de la config qui m'échappe. J'ai beau me creuser la tête depuis des jours, ça rentre pas. Je perds des cheveux.

En espérant que quelqu'un fera preuve de compréhension et de patience pour m'apporter son aide.

[kick54]

Bonjour à tous,

Je rencontre d'énormes difficultés pour mettre en place mon projet. ça demande des compétences techniques réseaux que je n'ai pas. C'est simple parait-il mais ça échappe à ma logique. En quelques mots, je vous explique ce projet.

Je souhaite mettre en ligne une webradio. Sur un 2ème pc chez moi un logiciel (Azuracast ) est installé pour diffuser du flux audio sur mon site ( hébergé par ovh) sur lequel est le player audio qui devrait diffuser le flux. Mais je n'y arrive pas. Je bloque sur pas mal de points techniques.
J'ai des éléments qui devraient m'aider, mais non, ça coince: je connais mon IP publique, l'IP local du serveur.

1 ere difficulté : créer un sous domaine chez ovh (qui pointera vers le serveur si j'ai bien compris)
2eme difficulté : créer un DynDNS parce que mon IPV4 est full stack. Sur le site mon-ip.com, je m'y perds.
3eme difficulté : faire pointer le player sur le serveur.
4eme difficulté la configuration de la box sfr pour les ports et le reste.

Voilà, autant dire que c'est la totalité de la config qui m'échappe. J'ai beau me creuser la tête depuis des jours, ça rentre pas. Je perds des cheveux.

En espérant que quelqu'un fera preuve de compréhension et de patience pour m'apporter son aide.

Bonjour,

Notes préliminaires :

• Mettre un service en ligne expose toujours aux risques de piratage
• Les attaques DDOS chez un privé (comme toi) sont très difficiles, voire impossible à contrecarrer
• Comme je n'ai pas la main sur la paramétrage de ton réseau ni de tes serveurs, je dégage toute responsabilité si il arrive que tu subisses des attaques qui engendre des dommages de quelque ordre que ce soit sur tes serveurs ou tes services.

Après ces remarques, si tu ne crains pas de te faire pourrir l'accès à ton réseau par des "méchants", voilà comment faire

Par défaut azurcast utilise les protocoles HTTP (port 80) ou HTTPS (port 443), préfères le port HTTPS (443)

Pour connaitre l'ip publique de ton routeur SFR, connecte toi depuis un poste de ton réseau à domicile sur : https://nordvpn.com/fr/what-is-my-ip/; supposons (par exemple) ip publique = 82.1.2.3

Le player pointe que vers le port de azurcast sur la port 443 de ton ip publique https://82.1.2.3:443/

Hypothèse : le serveur azurcast a une ip privée fixe (supposons par exemple ip = 192.1.2.3)


2 solutions sont possibles, préfère la Solution 1, (un peu) plus sûre que la 2

Solution 1 : DMZ sur le réseau derrière ton routeur SFR
------------
Sur ton routeur SFR : Active la DMZ et déclare pour la DMZ l'ip de ton serveur serveur azurcast : 192.1.2.3


Solution 2 redirection (simple) de port sur ton routeur SFR
------------
Sur ton routeur SFR : Paramètre ton routeur SFR pour rediriger les flux entrant vers le port 443 sur l'ip de ton serveur azurcast :192.1.2.3

Cordialement

[Mand123]

Bonsoir kick54,

Merci d'avoir pris soin de m'apporter de bons éléments de compréhension suite à ce que j'ai indiqué dans mon post. Comme je connais mon ip publique je l'ai indiqué pour le player audio comme tu me l'as précisé (j'ai deux ports ouvert/sortie sur ma box : 80 et 443).
ça me renvoie par le navigateur au niveau du lecteur audio une "alerte sécurité danger potentiel" quand je me rends sur mon site, ça me parait normal vu que je ne dois pas avoir fait ce qu'il faut à 100% au niveau de la configuration pour éviter ce genre de message.
Sinon, je n'ai pas d'ip fixe, non, mais j'ai crée auprès de mon hébergeur un identifiant DynHost pour avoir quelque chose de fixé et j'ai indiqué à ma box dans l'onglet DynDNS les paramètres.

La sécurité est quelque chose à laquelle je pense constamment. Je sais que le risque est là.

Je n'ai pas compris le "DMZ"

[kick54]

Bonsoir kick54,

Merci d'avoir pris soin de m'apporter de bons éléments de compréhension suite à ce que j'ai indiqué dans mon post. Comme je connais mon ip publique je l'ai indiqué pour le player audio comme tu me l'as précisé (j'ai deux ports ouvert/sortie sur ma box : 80 et 443).
ça me renvoie par le navigateur au niveau du lecteur audio une "alerte sécurité danger potentiel" quand je me rends sur mon site, ça me parait normal vu que je ne dois pas avoir fait ce qu'il faut à 100% au niveau de la configuration pour éviter ce genre de message.
Sinon, je n'ai pas d'ip fixe, non, mais j'ai crée auprès de mon hébergeur un identifiant DynHost pour avoir quelque chose de fixé et j'ai indiqué à ma box dans l'onglet DynDNS les paramètres.

La sécurité est quelque chose à laquelle je pense constamment. Je sais que le risque est là.

Je n'ai pas compris le "DMZ"

Bonjour,

En HTTPS, le serveur envoie au client un certificat qui sert à sécuriser la liaison entre le client et le serveur.

Un certificat peut-être auto-signé (généré par défaut quand tu installe un serveur http)
ou
validé par un "tiers de confiance" (une entreprise, par exemple OVH, qui confirme l'association de ton certificat avec un serveur (plus exactement avec un domaine)

Comme tu as un paramétrage par défaut (certificat auto-signé), le navigateur lève une alerte et affiche le message que tu vois; comme tu accède à ton site tu sais qu'il est fiable donc pas de pb, mais les autres usagers risquent de craindre un détournement de ton service par des "méchants".



DMZ signifie DeMilitarized Zone : cf ICI

une partie de ton réseau privé accessible depuis l'Internet, contrairement à ton réseau privé

Dans ton cas, le routeur SFR redirige les demandes de connexion à ton IP publique vers l'IP privé de ton serveur, il assure aussi le rôle de pare-feu (Firewall) Internet-DMZ et DMZ-Privé.

Cordialement :-)

[Mand123]

Salut,
Oui, Azuracast génère un certificat auto-signé, alors pour les navigateurs ce n'est pas valide. Mais alors, comment relier le https de mon nom de domaine avec l'ip du serveur pour ne plus générer le message d'alerte ? Parce qu'il me semble que les ip ne peuvent pas avoir de certificats SSL.
Merci pour le lien.

[kick54]

Salut,
Oui, Azuracast génère un certificat auto-signé, alors pour les navigateurs ce n'est pas valide. Mais alors, comment relier le https de mon nom de domaine avec l'ip du serveur pour ne plus générer le message d'alerte ? Parce qu'il me semble que les ip ne peuvent pas avoir de certificats SSL.
Merci pour le lien.

Bonjour,

Je pense que tu as compris que la solution consiste à remplacer le certificat auto-signé de ton serveur Azurcast par un certificat que tu souscris auprès d'un tiers de confiance.
Contacte le fournisseur avant de souscrire pour savoir comment faire exactement pour identifier le serveur sur lequel tu veux installer le certificat.

Côté azucast : Mode opératoire

Cordialement.

[gabriel21]

Pour la partie certificat, pourquoi pas let's encrypt ?
Je l'utilise de puis des années pour le HTPS de mes sites.
Par contre, je sais que c'est un peu galère à mettre en place pour les sites qui sont sur des réseaux privés.

[kick54]

Pour la partie certificat, pourquoi pas let's encrypt ?
Je l'utilise de puis des années pour le HTPS de mes sites.
Par contre, je sais que c'est un peu galère à mettre en place pour les sites qui sont sur des réseaux privés.

Bonsoir gabriel21,
Oui bien sûr.
Effectivement par principe un certificat ne passe pas sur une ip privée, il doit falloir jongler (je ne l'ai jamais fait) ... :-(

@ Mand123
Voir si on trouve le support ad hoc sur le forum let's encrypt

[gabriel21]

In english la documentation : https://eff-certbot.readthedocs.io/e...oosing-plugins
Il semblerait que tant que tu passes uniquement par le challenge dns, tu peux valider le certificat.
Par contre, la configuration du service web ne peut être automatisé et elle doit être faite à la main.

[Mand123]

Bonjour,

Je pense que tu as compris que la solution consiste à remplacer le certificat auto-signé de ton serveur Azurcast par un certificat que tu souscris auprès d'un tiers de confiance.
Contacte le fournisseur avant de souscrire pour savoir comment faire exactement pour identifier le serveur sur lequel tu veux installer le certificat.

Côté azucast : Mode opératoire

Cordialement.

Oui, j'ai bien compris ça, mais ce que je ne comprends pas c'est s'il faut (et comment le faire dans l'éventualité) relier mon ssl qui est actuellement sur mon nom de domaine au serveur qui gère azuracast, ou créer un autre ssl spécifique au serveur stream. J'avoue une grande incompétence.

[Mand123]

Bonsoir gabriel21,
Oui bien sûr.
Effectivement par principe un certificat ne passe pas sur une ip privée, il doit falloir jongler (je ne l'ai jamais fait) ... :-(

@ Mand123
Voir si on trouve le support ad hoc sur le forum let's encrypt

@Kick54 : ta réponse répond en partie à la mienne : "un ssl sur IP est-il possible ". Apparemment non.

[Ti-Slackeux]

bonjour,
Vu qu'il y a un serveur ovh et vu que le player peut s'installer dans docker ça serait pas plus simple de tout mettre
sur le serveur chez ovh ??
Côté lets encrypt ça n'en sera que plus facile.

Mes deux cents,

[Mand123]

bonjour,
Vu qu'il y a un serveur ovh et vu que le player peut s'installer dans docker ça serait pas plus simple de tout mettre
sur le serveur chez ovh ??
Côté lets encrypt ça n'en sera que plus facile.

Mes deux cents,

Oui, sûrement plus simple. Mais je vais te répondre en grande néophyte et naïve que je suis : je me suis dit au départ de ce projet -entre autres choses- qu'avoir le serveur chez moi, au niveau bande passante, ce serait moins contraignant d'héberger le serveur à domicile. Mais aussi niveau stockage. Sur OVH, j'ai un kimsufi de 100Mo, bien insuffisant pour les 10zaines de Giga de fichiers sons. A la maison, j'ai ce que je veux.

Et puis, je sais pas, c'est mon bébé, j'ai envie de tout avoir chez moi sous la main

PS: tes deux cents quoi ?

[Ti-Slackeux]

Coucou,
Tu aurais plus de bande passante chez toi que chez ovh ??
permets moi d'en douter un peu quand même
Bon 100M même pas en rêve mais dans l'idée, un petit SSHFS pour alimenter le player et çà devrait le faire ^^"
J'utilise souvent aussi le terme "bébé", je comprend bien du coup
Ton bébé çà peut aussi être le serveur que tu monte (chez ovh par exemple), que tu configure, que tu teste
et qui à la fin fait ce que tu désirais au début.

Et pour l'expression c'est par ici : https://www.lalanguefrancaise.com/dictionnaire/definition/mes-deux-cents

^^"

[Mand123]

Coucou,
Tu aurais plus de bande passante chez toi que chez ovh ??
permets moi d'en douter un peu quand même
Bon 100M même pas en rêve mais dans l'idée, un petit SSHFS pour alimenter le player et çà devrait le faire ^^"
J'utilise souvent aussi le terme "bébé", je comprend bien du coup
Ton bébé çà peut aussi être le serveur que tu monte (chez ovh par exemple), que tu configure, que tu teste
et qui à la fin fait ce que tu désirais au début.

Et pour l'expression c'est par ici : https://www.lalanguefrancaise.com/dictionnaire/definition/mes-deux-cents

^^"

Oui, c'est naïf ou idiot de ma part de penser que j'aurais plus de bande passante. Et en plus, avoir directement le serveur sur ovh résoudrait largement, sans les anéantir complètement c'est sûr, les questions de sécurité évoquées plus haut par Kick54.
Le SSHFS servirait donc si j'ai bien compris à "alimenter" la webradio des fichiers audio, mais qui seraient hébergés où du coup, OVH ou chez moi ?

[Ti-Slackeux]

Oui, c'est naïf ou idiot de ma part de penser que j'aurais plus de bande passante.

Tu sais quand on démarre dans quelque chose on est toujours plus ou moins naif, c'est pas pour autant qu'on est idiot(e).
J'ai quand même regardé, il semble que sfr propose une offre 8Gb symétrique, donc là oui ça pourrait décoiffer

Et en plus, avoir directement le serveur sur ovh résoudrait largement, sans les anéantir complètement c'est sûr, les questions de sécurité évoquées plus haut par Kick54.

Du côté de la sécurité, tu auras toujours des tentatives d'intrusion sur ton serveur, que ce soit chez toi dans ta DMZ ou chez un hébergeur.
Pour çà, le minimum c'est fail2ban. C'est un service qui tourne dans son coin et surveille les fichiers de logs. Son target c'est de ban ceux qui insistent à vouloir entrer.
On a aussi iptables que l'on peut mettre en place.

Le SSHFS servirait donc si j'ai bien compris à "alimenter" la webradio des fichiers audio, mais qui seraient hébergés où du coup, OVH ou chez moi ?

Les fichiers sont chez toi, il y a la co sshfs entre ton PC qui héberge les fichiers audio et ton logiciel de diffusion.
Si je voulais faire une grosse analogie, sshfs c'est un peu comme monter un disque réseau mais avec un autre protocole.
J'ai pas regardé mais pour les radios çà devrait pouvoir se faire directement côté azuracast.

voili voilou,

[Mand123]

Tu sais quand on démarre dans quelque chose on est toujours plus ou moins naif, c'est pas pour autant qu'on est idiot(e).
J'ai quand même regardé, il semble que sfr propose une offre 8Gb symétrique, donc là oui ça pourrait décoiffer



Du côté de la sécurité, tu auras toujours des tentatives d'intrusion sur ton serveur, que ce soit chez toi dans ta DMZ ou chez un hébergeur.
Pour çà, le minimum c'est fail2ban. C'est un service qui tourne dans son coin et surveille les fichiers de logs. Son target c'est de ban ceux qui insistent à vouloir entrer.
On a aussi iptables que l'on peut mettre en place.


Les fichiers sont chez toi, il y a la co sshfs entre ton PC qui héberge les fichiers audio et ton logiciel de diffusion.
Si je voulais faire une grosse analogie, sshfs c'est un peu comme monter un disque réseau mais avec un autre protocole.
J'ai pas regardé mais pour les radios çà devrait pouvoir se faire directement côté azuracast.

voili voilou,

Bon, je crois que ça va être beaucoup plus simple de tout mettre sur un hébergement web.

Merci pour ton lien, au passage !

[gabriel21]

Du côté de la sécurité, tu auras toujours des tentatives d'intrusion sur ton serveur, que ce soit chez toi dans ta DMZ ou chez un hébergeur.
Pour çà, le minimum c'est fail2ban. C'est un service qui tourne dans son coin et surveille les fichiers de logs. Son target c'est de ban ceux qui insistent à vouloir entrer.
On a aussi iptables que l'on peut mettre en place.

Fail2ban, indispensable sur n'importe quel serveur Internet avec un pare-feu activé cela va de soit. Il faut cependant bien le configurer.
Pour le pare-feu, ma philosophie est : "Tout est interdit sauf ce qui est expressément autorisé.
Je ne peux que te conseiller l’excellent UFW (Uncomplicated FireWall). Simple d'utilisation, il propose une interface abordable d'iptable.

[Mand123]

Je viens de m'apercevoir que j'ai une option DMZ activable dans les paramètres de ma box sfr
Alors... je l'active ?
Si oui, faudra-t'il configurer des paramètres supplémentaires ailleurs ?

Je vais regarder "fail2ban" voir ce que c'est.

[Ti-Slackeux]

Bonjour,

Bon, je crois que ça va être beaucoup plus simple de tout mettre sur un hébergement web.

Dans ce cas, non, pas besoin de DMZ sur ta box.
Pareil pour fail2ban, c'est à mettre en place chez ovh

hth,