MilesTEG1

Ho ça va hein 🤣 Je comprends vite, faut juste m'expliquer beauuucoup et longtemps 😛 N'empèche j'ai appris des choses ^^ Je te proposerais à l'occasion quelques raffinements pour les scripts 😉 À toi de voir à ce moment là si tu veux garder ou pas 😇

Note pour plus tard : Bien pensez à affecter le nouveau certificat aux différents services déclarés dans le reverse-proxy ! (j'ai bataillé bien 10 min à chercher pourquoi j'avais une erreur "canot fetch" sur mon Vaultwarden 😅) Sinon : Tout fonctionne !!! Génial 😄

Bon dernière commande §3B , erreur : Je précise que j'ai modifié le port de DSM, donc 12000. Qu'est-ce que j'ai mal fait ? Bon j'avais édité le fichier sur le NAS directement pour modifier le teste de la variable SAVED_SYNO_Certificate, mais la sauvegarde ne modifiait pas le fichier... J'ai re-uploadé le fichier modifié, et hop plus d'erreur 😄 Mais du coup, je me dis qu'avoir mis comme propriétaire du dossier Acme/ et de ses fils, l'utilisateur Acme_User créé pour n'était peut être pas utile... Vu que le script s'éxécute en root... J'ai repassé l'utilisateur propriétaire sur mon admin-perso, comme ça une modification sera bien enregistrée 😅 Du coup, rdv demain matin à 5h pour voir si tout s'est bien exécuté comme prévu 😄

C'est-à-dire ? Je relance la commande du §2D ? Ha oui, je l'ai relancé et j'ai obtenu un bien gros pavé 😄 qui est la clé je pense 😄 pas d'erreur visible 😉 Aller, je continue 😛 merci

🥰🥰 Merci pour les précisions. Bon j'ai une erreur avec la commande du §2B : Voilà le log qui est présent dans mon terminal : Voilà la partie de log dont je pense correspond à cette erreur : Est-ce que cette erreur est bloquante ? Comment l'éviter/corriger ? J'ai un fichier http.header qui a été créé, un dossier mondomaine.com et un autre ca. Dans le dossier mondomaine.com, il y a 4 fichiers : mondomaine.com.conf mondomaine.com.csr mondomaine.com.conf mondomaine.com.key Dans le dossier ca, j'ai : acme-v02.api.letsencrypt.org/ account.json account.key ca.conf Est-ce que je peux considérer que tout est OK ?

@Einsteinium J'ai quelque messages d'erreurs dans le premier script. C'est en soit normal vu que le conteneur n'existait pas encore. Mais c'est jamais très propre de voir ces erreurs. Quand j'aurais quelque chose de fonctionnel, je ferais une modif du script pour que l'erreur n'en soit plus une avec un test d'existence ou autre.

Pour changer, ou pas, j'ai une autre question : Dans le script à lancer périodiquement, la ligne du docker pull : docker pull neilpang/acme.sh:latest # Récupération de la dernière version de l'image acme.sh Si il y a eu une MAJ de l'image, elle est récupérée et l'ancienne est supprimée avec : docker image prune -f # Suppression des images non utilisées (-f : sans confirmation) J'ai raison là ? (c'est pour savoir si je dois me farcir une conversion en docker-compose ou pas 😄 car ça semble chiantos à faire ^^ Et dernière question, le conteneur créé par la procédure, il apparait dans Portainer ou pas ?

Oui c'est sur que ça aide à rester tranquille 😄 Cela dit, quand on m'a conseillé fortement cette stratégie, j'ai réfléchi sur : est-ce que j'ai réellement besoin d'un accès permanent via le NET et le nom de domaine à DSM ? Et en y réfléchissant attentivement, je me suis rendu compte que ce n'était pas le cas. Et que quand j'ai besoin d'accéder à DSM à distance, je peux le faire depuis le serveur VPN du routeur 😄

J'irais pas jusqu'à dire qu'il y a tout sur ce forum, mais pas loin 😄

Juste une petite appartée concernant l'ouverture de DSM via le reverse-proxy : il y a pas mal d'attaque en ce moment via les ports 80 et 443 (j'ai pu le constater avec mon routeur synology et son paquet Threat Prevention), donc faut bien blinder le parefeu du NAS, voir ne pas ouvrir DSM au net via le reverse proxy, mais plutôt mettre en place le serveur VPN du NAS pour se connecter à distance à DSM. C'est ce qui m'a été fortement conseillé, et que j'ai finalement accepter de faire (pas pour le VPN qui était déjà mis en place), mais renoncer à l'accès facile à DSM via le net. Après chacun voit ce qu'il veut faire, doit impérativement avoir et quels compromis peuvent être fait ^^

Ok, merci pour ta réponse, j'aurais d'autres questions là dessus, mais du coup, je ferais un nouveau sujet pour ça ^^ (où le mettre par contre... ?) Nickel pour le fichier de conf. Et cool, je peux faire un dossier certf_a_exporter dans le dossier .../docker/Acme/ pour récupérer ces fichiers. Et tu peux me confirmer qu'une fois ces fichiers exportés là, donc les .pem et .key, je les récupère sur mon ordi, et je les envoi là : Merci bien pour tes réponse 🙂

Nouvelle question @Einsteinium vu que je suis en train de planifier le déploiement 😉 Le fichier de configuration account.conf, peut-il contenir dès le début les éléments que tu fais ajouter au point 3B ? SAVED_SYNO_Scheme='http' SAVED_SYNO_Hostname='172.17.0.1' SAVED_SYNO_Port='5000' SAVED_SYNO_Username='nom utilisateur' SAVED_SYNO_Password='le password' SAVED_SYNO_DID='' SAVED_SYNO_Certificate='description du certificat mise dans le DSM' C'est histoire de rendre plus pratique l'exécution des scripts que je crée. Dans le §3.A je ne comprends pas par quoi remplacer DOSSIEREXPORT : Il y a une valeur particulière à déterminer ?? pourquoi ne pas laisser dans le dossier docker ?

Ton PC pourrait largement faire tourner plusieurs conteneur avec l'image officielle. Donc tu peux très très largement suivre mon tuto Vaultwarden 😉 Ce n'est pas parce que Vaultwarden est tagué "image allégée" que ce n'est réservé qu'aux petites machines 😉 Par contre, faut que ton PC soit tout le temps allumé pour garder le bénéfice du serveur 🙂

Et question subsidiaire (oui encore une 😛 ) : J'ai testé le domaine blabla.miles.tld (blabla n'étant pas une redirection que j'ai créé coté OVH), j'abouti à cette page après un message concernant la sécurité car pas de certificat encore créé... Y a moyen de faire en sorte que tout ce qui n'est pas mis dans le reverse-proxy aboutisse à une erreur 404 ou autre ? Voir sur une page comme ça :

J'ai testé le DynHost avec rien devant le point. Il a fallu que je modifie le sous-domaine de l'identifiant aussi : Et ça semble fonctionner 😉 Autre question du coup : j'ai un nom de domaine chez Synology aussi. Lorsque j'aurais créé le certificat wildcard avec le script pour mon domaine *.miles.tld, ce certificat remplacera-t-il celui pour le synology.me partout ? Et si c'est le cas, je devrais pouvoir remettre celui de synology là où il faut, mais lors du renouvellement automatique, faudra-t-il que je le refasse manuellement de remettre celui de synology ? N'y aurait-il pas moyen de dire au script sur quels services je veux le wildcard pour *.miles.tld ? C'est pour vérifier les certificats ça ? J'ai tendance à faire pareil 😉 Oh purée, y a tout l'historique de mes certificats (existants, passés...) ! 😱 Donc de tous les domaines qui aboutissent chez moi 😰 Ça conforte ma volonté de tout changer et de ne faire que du wildcards !!

Donc je peux laisser le champ de saisi vide dans la fenêtre en capture sans soucis ? Le point qui est présent ensuite n'est pas gênant ? Le soucis c'est que je ne sais pas où sont ces enregistrements txt chez ovh... Ils sont peut-être sur le NAS ? 😅 Ça marche 🙂 Pour les ports, c'est bien pour ça que je vais suivre ce tuto 😄 Pour les notifications, je n'utilise pas ifttt, ni gotify ou autre. Je compte passer par l'email. C'est faisable sans trop galérer ? Ouf 😄 ça me rassure, je vais pouvoir mettre ça en place pendant le badblocks ^^ Ok, je vais tenter avec ce que tu m'as dit précédemment. Mais si je ne faisais pas comme ça, mais plutôt comme j'ai l'habitude de faire actuellement c'est-à-dire créer des redirections à la main, le script fonctionnera quand même ?

Je crois que je lançais Firefox. Ou que je sortais de veille l'ordi. J'ai tenté le redémarrage du navigateur, mais ça n'a pas générer d'autres alertes... À voir sur les prochains jours 🙂

Hello @Einsteinium Bon j'ai fini me créer mon nouveau nom de domaine (un peu plus simple pour la gestion), appelons-le : miles.tld Comme je n'ai pas d'IP fixe, j'ai créé un DynHost (avec ID de connexion) pour : nas.miles.tld Car je ne sais pas comment faire pour que ce soit directement sur miles.tld car lors de la création du DynHost, il y a obligatoirement le point avant le ndd. J'ai créer ensuite mes redirection CNAME de mes "sous-domaines" sur le domaine nas.miles.tld : service1.miles.tld service2.miles.tld service3.miles.tld ... En parcourant les premières page (me suis arrêté à la p.5 et la dernière 😅), j'ai pu voir ce message : Est-ce que ce genre de redirection est obligatoire pour que le script ACME fonctionne ? Si oui, est-ce que je peux faire le même genre de redirection sachant que mon DynHost est nas.miles.tld ? Cette variable est-elle encore à exporter ? Ou bien celle présente dans le fichier de config suffie ? Ça arrive souvent ce genre d'erreurs ? Car je ne saurais pas résoudre ça... C'est quand même possible d'utiliser le label de watchtower ? Et corolaire : peut-on utiliser un fichier docker-compose.yml pour créer le conteneur ? (dans lequel je pourrais mettre le label de watchtower). Sinon, tu me confirmes que le renouvellement du certificat wildcard se fera automatiquement à la date prévue pour ? Est-il possible d'avoir une alerte email en cas de soucis de renouvellement ? Ou bien LE m'en avertira comme il le fait déjà pour mes certificats actuels quand la date approche et que le certificat n'a pas pu se renouveler automatiquement à cause de la restriction des ports sur les pare-feu du NAS et du routeur 😉 Autre question : est-ce qu'il faut redémarrer le NAS à un moment donné de la procédure ? Je n'ai pas vu de mention là dessus, donc je suppose que non, mais je préfère être sûr ^^ là il ne peut pas redémarrer pour encore plusieurs jours 🙂 Dernière question (je pense pour le moment 😛 car tu as dû voir que je pouvais être un moulin à questions 🤣) : on ne peut pas via ce script et l'API OVH générer de sous-domaines avec les redirections adéquates vers le nom de domaine principal ? (ce serait un bonus, mais pas indispensable pour moi ^^) Voilà voilà Merci d'avance 😇

C'était pas une critique envers ta réponse hein 😉

Merci 🙂 Ça répond pas vraiment à la question de si c'est OK ou pas 😅 Du coup je laisse comme ça sans bloquer...

Effectivement j'ai moi aussi vraiment beaucoup moins d'alertes depuis que j'ai mis une restriction forte sur les IP externes autorisées. Sinon, j'ai eu cette alerte tout à l'heure, et comme ça venait de mon mac sur lequel j'ai LittleSnitch, j'ai pu identifier d'où ça venait : Il s'avère que c'est firefox qui fait cette requête qui a été neutralisée : Mais du coup, faux positif ? ou vrai positif ?

Salut 😉 J'ai une nouvelle question 😄 Le Threat Prevention se situe où par rapport au parefeu ? En gros, il agit avant ou après le parefeu ? C'est pour savoir comment is se comporte ^^

Ok 🙂 j'ai rien sur la clé de 16Go, donc je peux aussi mettre davantage. Mais est-ce que ça a un intérêt particulier d'avoir autant ?

@Einsteinium @Diabolomagic Vous mettez combien de Mo pour les journaux de Threats Prevention ?

Je suis bien d'accord 🙂 Pour le splitter, je n'y ai pas pensé quand j'ai câblé mon garage pour tirer deux câbles ethernet vers l'emplacement de mes deux caméras de jardin et de terrasse. Ça aurait été plus simple avec 😄 par contre, QUID du PoE avec un splitter ?