Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    504 Gateway Time-out | Lors de l'affichage des certificats

    Français
    6
    15
    2.7k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jdh
      last edited by

      @ccnet : je corrige ce que tu écris : ce n'est pas la place, sur le firewall, du système de gestion de certificats. (C'est certainement ce que tu voulais écrire, d'ailleurs.)

      A la fois, c'est un système de gestion qui peut prendre du temps, et à la fois cela est insecure puisque d'un part sur le firewall et cela manque de sauvegardabilité (séparée).
      Mais, c'est adapté pour 20 certificats !

      De l'influence du temps sur un serveur web : en migrant d'un serveur imap à un serveur 'Exchange compatible' avec webmail d'origine RoundCube, un utilisateur qui avait une boite avec 8000 dossiers ne pouvait ouvrir son webmail : au démarrage RoundCube parcourt la boite pour créer l'arborescence (à gauche de l'écran) = dépassement du temps, à cause du nombre énorme de dossiers !

      Si le module du 'Cert Manager' commence par lire les infos de sa base de certificats avant d'afficher la première vingtaine, il est (fort) possible que le timeout du service web (nginx ?) survienne !

      Donc, au choix,

      • augmentation du timeout du service web
      • initialisation de la réorg de la base de registre : trouver un autre service de certificats et les transférer

      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

      1 Reply Last reply Reply Quote 0
      • C
        ccnet
        last edited by

        Oui.

        1 Reply Last reply Reply Quote 0
        • A
          Akiyama
          last edited by

          En tout cas merci pour ces réponses / pistes

          Je pense que nous allons tenter dans un premier temps d'étendre le timeout, reste a le trouver pour le moment on fait chou blanc.

          Le gros avantage de tout avoir sur le pfsense c'est qu'avec openvpnclientexport tu fabriques les package d'installation en 2 clic, et c'est super pratique

          Une question au passage, si la page certmanager n'affichait que les 100 premier et proposait une pagination cela ne résoudrait pas le problème ?

          Je vais dans un deuxième temps voir si je peux héberger les certificats sur une autre machine dédier mais c'est quand même beaucoup plus compliqué et surtout c'est loin de ma compétence, cela reste quand même super intéressant a faire / comprendre.

          jdh : quand tu parles de sauvegardabilité tu parles des certificats ? car ils sont tous sauvegardé chaque nuit via un script avec l'outils de backup du FW.

          encore merci a tous. demain je m'attaque a la partie US si je trouve un peu de temps.

          Aki

          1 Reply Last reply Reply Quote 0
          • C
            chris4916
            last edited by

            qu'as-tu déjà essayé ?
            max_execution_time dans php.ini ?

            pour les certificats, c'est un peu plus compliqué que cela.
            Bien sûr que l'interface pfSense est pratique mais la PKI est très basique.
            tu ne peux par exemple pas faire de filtre sur les certificats qu vont expirer, renouveler des certificats etc…

            Ce que tu peux en revanche faire, si nécessaire, c'est gérer tes certificats à l’extérieur avec une vrai PKI et importer ces certificats sur les compte pfSense.
            Mais raisonnablement, ce n'est pas non plus une bonne solution car mes commentaires sur la gestion des certificats sont valable pour la gestion des comptes.

            pfSense est utilisable pour quelques dizaine de comptes mais lorsqu'on parle de centaine, il est très intéressant de parler LDAP (dans lequel tu peux stocker, avec une PKI digne de ce nom les certificats des utilisateurs.

            Et ça amène au dernier point: pour des raisons que j'ignore, il est de coutume dans cette section du forum de bannir autant que possible l'idée d'un proxy HTTP sur pfSense mais un serveur OpenVPN pour des centaines d'utilisateurs (concurrents ?) n'inquiète à priori pas.
            Il n'y a absolument aucun problème à configurer une machine, sur le LAN, dont la fonction est serveur VPN. Il n'y a aucun obligation de conserver ce composant au niveau du FW.

            Donc en réfléchissant avec un peu de recul, la question pourrait éventuellement être:

            • quelle solution de gestion des identités (coptes et certificats) ?
            • quelle solution de gestion du VPN qui sache tirer partie de la couche IAM (et la facilité de génération des conf OpenVPN client fait partie du choix)

            Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

            1 Reply Last reply Reply Quote 0
            • J
              jdh
              last edited by

              pour des raisons que j'ignore, il est de coutume dans cette section du forum de bannir autant que possible l'idée d'un proxy HTTP sur pfSense

              Alors là, c'est intellectuellement très malhonnête !

              Vous avez participé à de nombreux fils sur le sujet, et vous connaissez parfaitement nos arguments :

              • à chaque fois, vous dites que, comme dans 2% des cas c'est possible de le faire, il faut laisser dire qu'on peut le faire.
              • alors que, considérant que dans 98% des cas, il ne faut pas le faire, nous disons cela comme un généralité

              Eh bien là c'est exactement la même chose !

              Je dis et j'écris :

              • Squid pour moins de 15 users et à petit trafic : c'est possible sur pfSense
              • Squid avec au dela : ne pas faire sur pfSense
              • CertManager avec 20 certificats : c'est possible sur pfSense
              • CertManager avec 100 certificats : ne pas faire sur pfSense
              • serveur VPN avec 2-3 utilisateurs simultanés : c'est possible sur pfSense
              • serveur VPn avec 30 utilisateurs et + simultanés : ne pas faire avec pfSense

              Pris dans votre raisonnement !!!

              Et qu'est ce qu'on rencontre dans la vraie vie du forum :

              • Squid au dela
              • CertManager avec 20 certificats
              • Serveur VPN avec 2-3 utilisateurs simultanés

              Eh bien comme c'est pourquoi je (et on) choisis de n'avoir qu'un discours : celui du cas le plus général = celui de la recommandation adapté au plus grand nombre de cas
              Parce que face à un débutant, il NE FAUT JAMAIS tenir 2 discours car c'est perturbant : il ne sait pas, ne comprend plus.

              Le jour où vous comprendrez cela, le forum aura avancé …

              (mais je ne suis pas un rêveur ... la preuve vous allez répondre des arguties ... top 18h08)

              Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

              1 Reply Last reply Reply Quote 0
              • C
                chris4916
                last edited by

                @jdh:

                pour des raisons que j'ignore, il est de coutume dans cette section du forum de bannir autant que possible l'idée d'un proxy HTTP sur pfSense

                Alors là, c'est intellectuellement très malhonnête !

                Quoi donc, de ne citer qu'une partie de ma phrase ?  oui je suis d'accord, c'est une forme de malhonnêteté intellectuelle.

                • Squid pour moins de 15 users et à petit trafic : c'est possible sur pfSense
                • Squid avec au dela : ne pas faire sur pfSense
                • CertManager avec 20 certificats : c'est possible sur pfSense
                • CertManager avec 100 certificats : ne pas faire sur pfSense
                • serveur VPN avec 2-3 utilisateurs simultanés : c'est possible sur pfSense
                • serveur VPn avec 30 utilisateurs et + simultanés : ne pas faire avec pfSense

                Pris dans votre raisonnement !!!

                ;D

                N'hésite surtout pas, un jour ou tu n'as rien à faire, à chercher dans ce forum le nombre de fois, ou sans même avoir une idée de la volumétrie, tu as renvoyé la personne qui ose parler de proxy sur pfSense dans ses pénates car "ça ne se fait pas, c'est comme ça un point c'est tout !" et ensuite tu compares au nombre de fois ou tu t'es insurgé d'un design OpenVPN dans les même conditions.

                Et ce ne doit pas être ancré dans tes habitudes car tu es l'auteur de ce fil:

                Besoin : Les firewall des différents sites du groupe doivent fournir un accès VPN à chaque site.
                Le choix est OpenVPN (natif pfSense) + certificat utilisateur (peut-être avec la gestion des certificats d'un pfsense 'maitre') + client windows.
                Le client 'classique' inclut dans la version communautaire est 'OpenVPN Gui' et il nécessite d'être administrateur.
                Or je ne veux plus avoir d'utilisateur administrateur local !

                Dont je te rappelle que, même si il ne s'agit pas d'accès simultanés, tu nous parles de 1000 utilisateurs.

                Qui a dit malhonnêteté intellectuelle ?
                Pas moi assurément  ::)

                Parce que face à un débutant, il NE FAUT JAMAIS tenir 2 discours car c'est perturbant : il ne sait pas, ne comprend plus.

                Peut-être que je me trompe mais n'aurais tu pas une petite propension à considérer que celui qui pose une question, c'est que forcément il ne sais pas donc il débute donc il est ignorant et donc on ne va pas lui faire une réponse trop compliquée parce que de toute façon il ne comprendra pas ?

                Il est évident que dans "ton" forum, la vie serait beaucoup plus simple, ou devrais-je dire simpliste ?
                Comme je ne suis pas câblé comme ça, forcément, il y a des divergences  ;D

                Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                1 Reply Last reply Reply Quote 0
                • J
                  jdh
                  last edited by

                  20' : comme d'hab et comme annoncé !

                  Dans le fil que vous citez j'ai écris, plusieurs fois, 1000 personnes et non 1000 utilisateurs. Donc vos conclusions …

                  Vous êtes malhonnête intellectuellement et pervers.
                  Votre attitude est néfaste et anti-pédagogique.

                  Votre attitude, permanente, aboutit à une ambiance de merde et la disparition de fils intéressants avec des gens intéressants (comme ccnet, baalserv, et pas mal d'autres).
                  Votre refus permanent du formulaire est pitoyable.
                  D'ailleurs quand on vous lit, vous écrivez toujours dans les 2 sens : à la fois, le formulaire ne sert à rien, et à la fois, il faudrait des infos ! C'est juste très stupide.

                  Je regrette que le modérateurs, bien qu'avertis, ne fassent toujours rien pour restituer un peu de sérénité à ce forum ...
                  J'admire les stoïques qui savent supporter en silence un connard tel que vous ...

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • C
                    chris4916
                    last edited by

                    @jdh:

                    20' : comme d'hab et comme annoncé !

                    Comme ça au moins tu n'es pas déçu  ;)

                    Votre attitude est néfaste et anti-pédagogique.

                    Ce qui est certain, c'est que nous ne partageons pas grand chose et certainement pas la même notion de ce qu'est la pédagogie.

                    Votre attitude, permanente, aboutit à une ambiance de merde et la disparition de fils intéressants avec des gens intéressants (comme ccnet, baalserv, et pas mal d'autres).

                    Qu'est-ce que c'est un fil intéressant selon toi.

                    • un utilisateur qui ne comprends rien mais qui rempli le formulaire pour respecter la charte
                    • jdh qui lui répond: "félicitation pour le formulaire mais vous ne comprenez rien mais voici une réponse et il n'y a pas d'option parce que de toutes façon vous ne comprenez rien alors que moi je sais"
                    • et si ccnet a répondu avant, un petit commentaire "ccnet a toujours raison"
                    • fin du fil.

                    Ce n'est pas exactement ce que j'appelle un fil intéressant mais tous les goûts son dans la nature.

                    Votre refus permanent du formulaire est pitoyable.
                    D'ailleurs quand on vous lit, vous écrivez toujours dans les 2 sens : à la fois, le formulaire ne sert à rien, et à la fois, il faudrait des infos ! C'est juste très stupide.

                    Je ne refuse pas le formulaire. Combien de fois faut-il te le répéter ?
                    Ce que je refuse, c'est l'attitude qui consiste à dire "pas de formulaire, pas de réponse" et surtout la volonté d'imposer que tous les autres membres du forum adoptent cette attitude.
                    Il n'y a exclusivement que dans les échanges avec toi que cette discussion autour du formulaire arrive. Avec tous les autres membres, ça n'existe pas du tout.

                    Bien sûr qu'il faut fournir des informations, bien sûr qu'un document structuré peut parfois aider à expliquer son environnement et donc c'est bien de mettre celui-ci a disposition et d'informer celui qui pose une question incompréhensible que ce document peut l'aider.
                    Mais il est également possible de fournir ces informations en l'absence de ce type de document, avec des échanges questions / réponses qui sont parfois plus productifs.

                    Je regrette que le modérateurs, bien qu'avertis, ne fassent toujours rien pour restituer un peu de sérénité à ce forum …

                    Note bien que tu es absolument le seul avec qui il y a des échanges tendus, et pas seulement entre toi et moi.

                    Si vraiment tu trouves ça insupportable, tu devrais utiliser plus souvent le bouton de droite pour signaler au modérateur les messages que je publie et qui sont, selon toi, hors charte.
                    L'autre solution, beaucoup plus efficace, c'est de te faire promouvoir modérateur. Tu pourras ainsi sévir à ta guise et imposer la loi qui te convient.

                    J'admire les stoïques qui savent supporter en silence un connard tel que vous …

                    Au moins ça c'est clair  ;D  ;)

                    Jah Olela Wembo: Les mots se muent en maux quand ils indisposent, agressent ou blessent.

                    1 Reply Last reply Reply Quote 0
                    • J
                      Juve
                      last edited by

                      Vous dérivez du sujet et polluez le thread avec vos querelles.

                      Merci de vous expliquez ailleurs  ;)

                      Pour votre problème, je vous confirme que c'est PHP-FPM qui ne répond pas dans les temps à nginx.
                      Il faudrait ouvrir un incident ici https://redmine.pfsense.org/projects/pfsense

                      merci

                      1 Reply Last reply Reply Quote 0
                      • A
                        Akiyama
                        last edited by

                        Merci a tous pour les retours.

                        J'ai ouvert l'incident, mais le retour est le même que vous, ce n'est pas un bug ou un problème,il ne faut pas utiliser pfsense pour cela. c'est dommage c’était super pratique …. je vais essayer de trouver ou rallonger les timeout mais cela n'est que déplacer le problème. Je posterai la démarche si je trouve.

                        Je vais aussi essayer d'installer un serveur openpvn a coté, connaissez-vous une distrib "clé en main" (openvpn + webui) qui pourrai faire l'affaire ?

                        Encore merci pour les réponses.

                        Aki

                        1 Reply Last reply Reply Quote 0
                        • TataveT
                          Tatave
                          last edited by

                          Salut Salut

                          • Premièrement, il n'y a pas vraiment de distributions (linux) ou solutions (bsd) qui fassent du tout 'clé en mains) à ma connaissance.

                          • Deuxièmement, dans le monde linux, vous avez coté pro une forte présence de centos/red hat et ensuite les dérivés de debian (ubuntu en tête) qui pourraient faire l'affaire.

                          • Troisièmement, dans le monde BSD, vous avez les trois grandes solutions de départs qui sont netbsd / freebsd / openbsd, et des dérivés comme dragonfly ou pcbsd par exemple.

                          • Quatrièmement, que vous choisissiez un linux ou un bsd pour mettre en place votre serveur applicatif (qu'il soit physique ou virtuel) vous devrez mettre le nez et les mains dans les lignes de commande et autres joyeusetés.

                          Pour un débutant comme pour un confirmé dans les mondes des linux ou bsd, je conseille de tout simplement tester les différents environnements et de faire votre choix entre l'aspect technique, la philosophie du projet de l'os et le retour de sa communauté ou son support et les coûts.

                          Cordialement.

                          aider, bien sûre que oui
                          assister, évidement non !!!

                          donner à manger à un homme, ne lui permettra que de survivre qu'un temps.
                          apprendre à un homme comment cuisiner, il sera vivre.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.