Classement

@Mickaël DRJ Bonjour, Ne mélanges pas les notions si tu veux bien ! VPN et Reverse Proxy sont deux choses différentes et n'ont pas la même finalité. 1 - En deux mots, un VPN est un "tuyau" étanche vis à vis de l'extérieur qui permet de connecter un client à un serveur d'une manière sécurisée et "invisible". C'est un peu comme si le client était connecté directement localement au serveur via un câble Ethernet, même si en réalité la liaison passe Internet. Il existe en quelque sorte deux types de VPN qui peuvent être utilisés de deux manières : une pour sortir de ton réseau local vers internet, ou une autre pour entrer dans ton réseau local. Pour sortir de ton réseau local : Dans ce cas tu utilises un VPN "commercial" (comme NordVPN par ex). Ces VPN permettent de connecter un client (ton PC, ton NAS) sur un serveur, puis sortir sur internet depuis ce serveur. Cela permet (entre autre) de masquer ton @IP personnelle. L'@IP que verront les sites sur lesquels tu te connecteras, sera celle que te fournira le serveur VPN sur lequel tu seras connecté. Donc si tu connectes ton NAS en tant que client d'un tel VPN, ton NAS ne sera connu d'internet que via l'@IP que t'aura donné le VPN, et en aucun cas ton @IP personnelle. Et si tu veux te connecter sur ton NAS dans ce cas, il faudrait que tu y accèdes non pas par ton @IP perso, mais par l'@IP de ton serveur VPN. Et en plus, il faudrait que ton serveur VPN accepte de rediriger ta requête entrante vers ton NAS, ce qui est généralement pas prévu avec les VPN commerciaux. Donc si tu connectes ton NAS sur un VPN commercial, tu ne pourras plus le joindre depuis l'extérieur. Pour entrer dans ton réseau local : Dans ce cas, c'est ton NAS qui est le serveur VPN. Ce serveur est accessible depuis internet via ton adresse IP personnelle. Et tu peux donc te connecter sur ce serveur VPN depuis n'importe que poste de travail, et être comme si tu étais connecté en local... Par contre le NAS permet d'activer trois types de serveurs VPN : PPTP (à éviter car sa sécurisation a été cassée depuis longtemps), OpenVPN et L2TP/IPSec. Pour se connecter à ces serveurs, il faut avoir le client correspondant installé sur son poste de travail. Pour OpenVPN, il faut installer le client OpenVPN. Par contre pour L2TP/IPSec, les clients font partie intégrante de certains système d'exploitation (iOS, Windows 10 ...), et ne nécessitent donc pas d'installation spécifique. 2 - Un proxy inversé en quelques mots : C'est un frontend, qui va permettre de rediriger, suivant des critères définis en amont, un nom de domaine vers un service en particulier, le backend. Généralement c'est le nom de domaine demandé qui va permettre d'orienter la demande vers le périphérique concerné. Une fois le proxy inversé en place, deux choses vont activer le mécanisme du proxy inversé, le nom de domaine demandé (par ex nas.ndd.net) et le port (443). C'est l'association de ces deux critères qui va, lorsque tu auras créé l'entrée appropriée, permettre au frontend de dire que ça correspond au backend (service en arrière-plan) officiant par ex dans le cas d'une redirection vers DSM (mais c'est valable pour tout autre application/service) sur : @IPlocaleNAS:5000 (ou localhost:5000 vu que le proxy inversé et DSM sont sur la même machine) en HTTP ou @IPlocale:5001 (localhost:5001) en HTTPS. Pour la destination cible on recommande d'utiliser le port HTTP lorsqu'on passe par un proxy inversé car il est inutile et même voire contre productif de faire du HTTPS sur le réseau local. ATTENTION : Sous DSM6 si tu utilises le port HTTP, la redirection HTTP -> HTTPS doit être désactivée dans le paramétrage du NAS (voir tutoriel sur la sécurisation, c'est précisé noir sur blanc). Ta requête aboutira alors sur la page de login de DSM (pour une redirection vers le NAS) À aucun moment on ne passe par le routeur/box dans cette chaîne, il intervient juste en amont dans l'adresse DNS qu'il aura poussée par son serveur DHCP. Enfin, lorsque tu utilises depuis l'extérieur une connexion avec un nom de domaine, saches que celle-ci n'est "sécurisée" que lorsque tu passes par du HHTPS. Sécurité d'ailleurs toute relative dans la mesure où ton flux peut-être espionné alors qu'avec le VPN il ne peut pas l'être. Maintenant la limitation géographique du port HTTPS 443 dépend essentiellement de tes habitudes de surf sur la toile. Bon nombres de serveurs sont quand même situés hors de France. Donc c'est toi qui voit .... Cordialement oracle7😉

@Iron126 Bonjour, Il faut taper " sudo -i " : avec " -i " et pas seulement " i " plus un espace entre " sudo " et " -i " Si tout est bon tu auras une ligne de ce type : kevin.regis13@DS220plus:~# ---> le # indique que tu es bien sous root Cordialement oracle7😉

C'est pas faux 👍

Je suis d'accord, mais tout le monde n'a pas cette redirection et tu ne fais donc pas du HTTP... Et sur le fond, tu ne peux pas dire que ce n'est pas vrai : Je persiste et signe qu'en HTTP, tu n'as pas d’alerte de certificat en utilisant une adresse IP. @oracle7 J'ai repris la totalité de ta citation au début de mon post. Et j'ai commencé par réagir sur la première partie de ta phrase "Bah NON, tu as tout faux ..." que je contestais un peu. Puis j'ai conclu sur la deuxième partie de ta phrase, mais c’était pour confirmer qu'il ne faut jamais cliquer à tout va pour accepter les dérogations (et donc j'allais plutôt dans ton sens). Mais à le relecture, c'est vrai que la forme était un peu maladroite... 🤪 Tout ceci avait pour but de faire réagir sur la tendance actuelle du forum de vouloir systématiquement aiguiller sur des solutions évidentes et élémentaires pour des spécialistes, mais qui souvent vont déstabiliser le novice qui pose la question (du style proposer d'installer un serveur DNS pour éviter les alertes de certificat en local). Alors qu'une petite explication sur le fond et une petite solution de contournement peuvent être tout à fait suffisantes (du style utiliser le HTTP ou accepter quelques exceptions dans le navigateur). 😉

@Kramlech Bonjour, je vais donc moi aussi y aller de mon commentaire histoire de remettre les choses à leur place sans aucune polémique de ma part. C'était bien tout le sens de mon commentaire initial mais tel que tu me cites cela laisse à penser que je dis le contraire alors que j'ai bien dit en début de phrase que c'était une mauvaise pratique avec toutes les conséquences que cela impliquait. Donc, je vois pas d'inconvénient à ce que mes propos soient cités mais je ne souhaite pas qu'ils soient tronqués donc déformés et du coup sujets à être mal interprétés ensuite. Maintenant quand je dis une c...ie, j'admet tout à fait d'être repris et corrigé au besoin. Qui n'en dit pas ? Cordialement oracle7😉

J'y vais 😉 Ce n'est pas vrai chez moi avec la redirection http vers https ! J'en conviens mais le jour ou il arrive à mettre en place la redirection http vers https, le reverse proxy et la zone locale, sans parler du HSTS....le petit cadenas est omniprésent (sauf bien sûr avec les adresses IP).

Alors je vais y aller de mon avis (ce n'est que mon avis, mais je veux bien le partager...). L'utilisation du HTTPS en local n'est pas une obligation. C'est même une surcharge que je trouve inutile pour le NAS. Donc pas de HTTPS = pas d'alerte de sécurité... Tu peux donc utiliser tes IP locales en HTTP sans aucun problème, et donc ne pas avoir d'erreurs de certificat. Aujourd'hui, quasiment tous les sites sérieux basculent automatiquement en HTTPS. D'ailleurs, j'aimerai connaitre le pourcentage de personnes qui, navigant sur la toile, saisissent une URL en la préfixant manuellement par "HTTPS://". Personnellement, je peste quand je suis obligé de saisir manuellement une URL (j'ai plus de 40 années d'informatique derrière moi, et j'ai toujours limité au maximum ce que je dois saisir - le copier collé est devenu une seconde nature) Maintenant, si tu veux quand même utiliser le HTTPS en local, sans avoir à ouvrir ton NAS sur l'extérieur (si ton routeur gère le loopback), ou sans avoir à gérer un DSN Serveur sur ton NAS (si ton routeur ne gère pas le loopback), tu peux très bien accepter l'exception sur l'erreur de certificat au niveau de ton navigateur, et tu n'auras plus d'erreur. Et bien si tu fait cela, c'est grave. Il ne faut jamais qu'une alerte soit ignorée. C'est un problème d'éducation informatique. Et ce que je crains surtout c'est le corolaire de cela : que pas d'alerte devienne un signe de sécurité, ce qui est tout aussi grave... Il faut toujours être vigilent sur la toile. PS : je sens que mon intervention va générer des commentaires 🙄

Ca fait partie de la refonte prévue de certains de mes tutoriels, je peux pas te donner de date, mais je pense que je vais m'y atteler à partir de mi ou fin mars.

Notre ami a déjà bien du pain sur la planche, alors ajouter DNS Server risque de l'embrouiller un peu plus 🤩 Inutile de l'ouvrir en effet. Mais si tu tapes https://ndd.fr:5001 dans ton navigateur, tu dois te connecter à DSM en HTTPS sur le port sécurisé (5001 par défaut de mémoire ou celui que tu as défini).

Oui, en local pour les raisons que t'a donné @CyberFr. Ou utiliser l'alternative de @Jeff777 Pas de notion de certificat dans un VPN, doit y avoir des centaines de personnes sur un VPN NordVPN par exemple qui se connectent à des centaines de sites différents. Un certificat open bar 😉

@Mickaël DRJ Bonjour, Bah NON, tu as tout faux et c'est une très mauvaise pratique car indirectement tu (et certainement idem pour tes utilisateurs locaux) prends l'habitude de déroger aux alertes de sécurité de ton navigateur Web et tôt ou tard tu feras de même sur la toile avec un site non sécurisé et là tu prends de gros risques. Maintenant ce que j'en dis , c'est toi qui voit ... Cordialement oracle7😉

Une alternative à l'utilisation de l'IP locale c'est de créer une zone locale avec DNS serveur (voir le tuto) et là tu peux créer une ressource A qui fait pointer ton nom de domaine vers ton nas et là tu ne devrais plus avoir d'erreur de certificat.

@Einsteinium Merci beaucoup pour ton tuto, je me lance enfin à configurer l'IPTV sur Plex. Dans un premier temps je suis en testing pour voir comment ça fonctionne de manière générale, par ailleurs si vous avez des liens avec des listes IPTV gratuites (M3U et EPG) qui fonctionne (je me fous que ça soit la télévision croate ou encore colombienne) je veux simplement voir si j'arrive à faire fonctionner mon setup, on verra plus tard si je décide d'aller vers un service payant ! (mais je n'y suis pas encore)certes... Actuellement mon problème est le suivant, j'ai essayé de trouver une liste M3U, mais sans EPG mais je reste bloqué dans Plex (configuration du Tuner), dans celui-ci, il me demande le pays (pour le catalogue EPG), mais ça bloque, un conseil que je pourrais suivre ? En attendant de vous lire, Belle journée

J'avais pourtant écrit : Quand tu te connectes en HTTPS avec une adresse IP locale, le nom de domaine n'y figure pas donc cet avertissement est normal. Je te conseille vivement de relire le tuto "Pourquoi et comment utiliser un nom de domaine" et de revenir sur le forum si des choses t'échappent.

Bonjour, En complément de la remarque de @Jeff777 j'ajoute qu'un certificat est toujours associé à un nom de domaine et jamais à une adresse IP en dur. Je te recommande de lire [TUTO] Pourquoi et comment utiliser un nom de domaine ?

Bonjour, Non seulement ce n'est pas nécessaire mais en plus ce n'est pas possible. Même chose pour 10.8.0.1

Oui @MilesTEG1 me l'avait fait remarquer mais j'avais oublié, je vais modifier ça. Pendant longtemps j'ai préféré utilisé docker-compose via SSH, et Portainer uniquement pour la supervision et la manipulation des conteneurs, images, volumes, etc... Depuis peu, j'ai migré tous les fichiers compose sur Github, et Portainer s'occupe de déployer les images depuis Github. Il surveille également en cas de mise à jour des fichiers et recrée les conteneurs au besoin. 2 mois que je fonctionne ainsi, rien à signaler de négatif pour l'instant. Je deconseillerais de l'exposer directement. C'est assez critique comme application. Soit tu y accèdes en passant par un serveur VPN sur ton NAS ou autre équipement de ton réseau local, soit tu passes par un serveur d'authentification tiers, oAuth (je crois que Portainer le prévoit ?) ou celui que je développe dans mon tutoriel Authelia (qui est plus facile à mettre en place si tu utilises SWAG en proxy inversé).