Audio

Je reviendrais plus tard sur cette question SSL et les fonctionnalités Thunderbird (sous Win10), pour l'instant j'ai désinstallé le paquet Synology Calendar. Lors de l'essai précédent il semble en effet que mon certificat wildcard LE était pris en compte. Bonne soirée

Bonjour, La pluie de mises à jour n'est effectivement pas très heureuse pour l'utilisation de CalDav depuis l'application WebDav. Si la méthode de migration indiquée par Synology vers l'appli Synology Calendar fonctionne, j'ai remarqué qu'il y a des manques: 1) Il semble que Synology Calendar ne supporte ni SSL ni Kerberos (c'est ce qui est dit dans les tuto de Synology), donc côté sécurité serveur c'est pas terrible, 2) Pour les utilisateurs de Thunderbird (version 78.9.0), dont je fais partie, lorsqu'on migre le fichier ICS global obtenu à partir de Thunderbird les Tâches Thunderbird ne sont pas reprises dans Synology Calendar lors de l'importation. De plus les tâches rentrées manuellement dans Synology Calendar ne sont pas compatibles avec Thunderbird qui ne les voit pas Résultat: je n'ai plus de serveur calendriers+taches. Merci Synology 😡 Si vous avez une solution de remplacement, je serais heureux de l'essayer. Si vous avez les mêmes ennuis que moi on peut aussi les partager! cordialement Audio

Bonsoir, @oracle7, peux-tu confirmer que l'enregistrement du DID doit être faite dans le le fichier /usr/local/share/acme.sh/account.conf ? Il me semble que dans la mise à jour du Tuto (Edit 10/01/2021) tu parles de l'enregistrer dans /volume1/Certs/votre-domaine.tld/votre-domaine.tld.conf. J'ai effectivement expérimenté la "réinitialisation"du DID avec la MAJ de Firefox, c'est pas la panacée. Il faut faire une petite vérification/correction un peu avant que le script ne lance le renouvellement à moins de 60 jours (à marquer dans son agenda!!) pour ne pas se faire surprendre. Cordialement Audio

Bonjour, J'ai aussi une config secours chez OVH (mêmes adresses, ID et PWD que les comptes sur Mail Server Plus avec les priorités 100 et 10 pour les MX3 et MX1 OVH et une priorité 1 sur le MX de mon domaine) et il arrive parfois, assez rarement quand même, qu'un mail soit récupéré par OVH avant Mai Server Plus. Je le vois sur Thunderbird où j'ai configuré tous les comptes mail actifs. Cordialement

Bonjour @Jeff777, Effectivement en choisissant "remplacer" on devrait pas être obligé de redémarrer le serveur web et de détruire l'ancien certificat. J'avais pas intuité ! Cordialement

Merci @Einsteinium, je comprends maintenant pourquoi le HTTPS ne fonctionnait pas. Cordialement

Bonjour, Il s'agit des commandes accessibles sur la page Panneau de configuration>Sécurité>Certificat pour manipuler les certificats. Sur le serveur qui a servi à la génération du certificat j'ai utilisé la commande "Exporter le certificat": cela génère un zip avec les 3 fichiers .pem: cert, chain et publickey. Sur les 2 autres serveur j'ai utilisé la commande "ajouter" et choisi l'option "Ajouter un nouveau certificat" qui permet de désigner les 3 fichiers .pem à importer. Une fois l'importation faite, il suffit de désigner le certificat LE Wildcard comme le certificat par défaut et soit de supprimer le ou les anciens certificats ou simplement de redémarrer le serveur Web. Cordialement

Pour information j'ai pu exporter le certificat Wildcard LE du serveur sur lequel il a été généré et l'importer sur deux autres serveurs Synology sans problème. J'ai utilisé les procédures sur DSM, sans avoir recours à une console. Il faut juste redémarrer le serveur web ou supprimer l'ancien certificat pour que le nouveau soit pris en compte. Le nom de ces serveurs (sousdomaine.ndd.tld) étaient déclarés sur le premier serveur dans le proxy et faisaient donc partie de la lise couverte par le certificat LE. J'ai trouvé ça top! une seule manip de génération et 3 serveurs "servis".

Bonjour, J'ai eu les mêmes ennuis que @TuringFanpour renouveler mon certificat arrivé à moins de 60 jours de l'échéance. La version 1.44 du script Python est au poil pour les log merci @bruno78 et @oracle7. 1 - Les Application, Secret et Consumer Keys n'étaient pas sauvegardées dans le fichier account.conf: vite réparé tout était bien sauvegardé sur le PC. 2 - Il m'a fallu reprendre tout la procédure du Tuto sauf la génération des clefs DNS OVH et j'ai eu le même message d'erreur que @TuringFanlors du téléchargement du master.tar.gz. Cela n'a pas semble-t-il affecté la suite car la génération du nouveau certificat a fonctionné tout de suite. 3 - Le PWD de connexion à DSM contenait des caractères spéciaux et bien que j'avais mis des simples quote pour les escaper (comme dit dans le tuto) ça ne marchait pas, acme.sh ne parvenait pas à se connecter à la machine pour déployer le certificat: j'ai modifié le pwd (sans caractères spéciaux ce coup-ci), refait le DID car j'utilise la double authentification et le déploiement du certificat a fonctionné tout de suite! Donc éviter les caractères spéciaux dans les PWD comme souvent conseillé. 3 - Je confirme qu'il vaut mieux utiliser le schéma HTTP plutôt que le schéma HTTPS, ça n'a pas marché pour moi avec ce dernier, peut-être une mauvaise interaction avec le proxy server de DSM. de toute manière je n'ai pas de prédateur sur mon réseau local....! Quant à l'utilité de ce tuto, je peux confirmer à @cadkeyque c'est hyper pratique quand on a une dizaine de sous-domaines déclaré dans le DNS de son domaine et que le wilcard LE s'applique automatiquement à tous! Merci à tous

Bonjour, Comme déjà dit en juillet dernier, j'avais l'intention de me lancer dans le déploiement de MailPlus Server. J'ai donc fait quelques essais...Après deux tâtonnements infructueux, un ne fonctionnait pas du tout et l'autre m'a valu une note de cancre 2/10)chez mail-tester.com, j'ai enfin réussi à obtenir quelque chose de fonctionnel avec une note avouable 9,8/10 (8.5/10 si je colle une image dans le texte du mail d'envoi à mail-tester). Merci @oracle7 pour le Tuto. Etant en IP fixe Free, j'utilise le SMTP de MPS avec "en secours" les serveurs OVH chez qui j'ai un MX PLAN couvrant les adresses des comptes utilisés sur MPS. Je n'ai pas personnalisé mon rDNS, j'ai laissé celui originel en xx-xx-xx-xx.subs.proxad.net (avec des tirets bien sûr pour l'IP, ça se passe comme ça chez Free!) Je vous soumet une bizarrerie notée dans MPS: J'ai paramétré une clé publique DKIM de 2048 bits et tous les tests (voir image) et les tests (dmarc analyzer et mail-test.com) y décèlent une clé de seulement 1024 bits. Mail-Tester renvoie: "Votre clé publique est : "v=DKIM1; q=dns; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDs4db8j2H3pesE5RJue0EZfLR8tnv80Yujka787e3kV3PESVMS+j+Ec+nQKxpRdvyL6S0qEyaskTMC2PbAM8Cdgebz8TR0ySYh6F2TCLsBMWbCqP/lCjXCS9giEWXYHqsCdi+2XTmo0OEdL+4rb7dtdeh37ABgvJ22NL28c4RhjQIDAQAB" Longueur de la clé : 1024bits" J'ai pourtant répété l'opération trois fois, pensant m'être trompé. Cdlt Audio

Je comprends le débat et je me sens un peu fautif de l'avoir provoqué car j'ai bien du faire une bourde (oubli de la variable CERT_HOME) lors de la génération initiale du certificat. Même si ça parait compliqué je suis content de ne plus: - Me prendre la tête avec la demande de renouvellement de certificat LE tous les 3 mois à partir de DSM avec les manips afférentes, - Devoir payer tous les ans un certificat SSL à G...car c'est ce que j'avais fini par faire. errare humanum est, perseverare diabolicum ! Je n'aime pas rester sur une bourde et savoir qu'à terme mon NAS et pourra pas renouveler seul son certificat. Donc j'ai tout repris, comme conseillé par @oracle7 . Maintenant j'ai bien les différents répertoires en place et le script Python me donne en sortie: Tâche : RenewCertif_W_LE Heure de début : Mon, 10 Aug 2020 16:14:12 GMT Heure d’arrêt : Mon, 10 Aug 2020 16:14:12 GMT État actuel : 1 (Interrompu) Sortie standard/erreur : -- SYNOCERT : /usr/syno/etc/certificate -- LOCALCERT : /usr/local/etc/certificate -- ACMECERTS : /volume1/Certs -- ndd.tld : xxxxxxx.fr -- certtype : RSA -- scriptdir : /volume1/Certs/Acme_renew -- log : True -- test : False -- clean : False -- Ancien certificat par DEFAULT, a renouveller : IGkOxz -- Fichier de configuration du ndd.tld : /volume1/Certs/xxxxxxx.fr/xxxxxxx.fr.conf -- Date de renouvellement autorisee (T0+60 jours par defaut) : Fri Oct 9 13:39:49 UTC 2020 --- La date de renouvellement du certificat ( Fri Oct 9 13:39:49 UTC 2020 ) n'est pas atteinte --- Inutile de renouveller le certificat -> fin du script Donc pas de souci pour @bruno78 le script fonctionne! Le détail apporté au Tuto aide à reprendre les opérations quand on s'est trompé, surtout quand on est novice et qu'il y a des notions qu'on ne soupçonne même pas quand on suit pas à pas un tuto. J'ai encore beaucoup de choses à apprendre et j'ai donc besoin de beaucoup de Tuto... Cordialement Audio

C'est encore pire que ce que je pensais, je n'ai pas trouvé de répertoire /volume1/.acme.sh. J'ai bien un répertoire acme.sh-master mais c'est je pense que c'est simplement l'installation du script acme. Je vais suivre ton conseil @Oracle7 en menant une nouvelle procédure en mode annule et remplace. J'ai bien sauvegardé les clefs API OVH ce sera déjà ça de fait. Encore merci @bruno78 et @oracle7 Cordialement

Bien c'est pas gagné ! J'ai bien un répertoire /volume1/Certs mais dedans je n'y trouve qu'un répertoire acme_install. J'ai fait une recherche de fichier domain.conf dans tout le volume 1 et rien! Je ne sais pas ce qui s'est passé depuis la génération du certificat Wildcard LE la semaine dernière. Bon le certificat étant valide jusqu'en novembre, ça laisse le temps d'investiguer..mais quand même! Cordialement Audio

Bon, avec l'ajout de la ligne CERT_HOME='/volume1/Certs' dans le fichier account.conf et un démarrage manuel (WinSCP) du script avec la commande python /volume1/Scripts/acme_renew.py -l mondomaine.fr je n'ai plus l'erreur précédente mais une nouvelle: -- Le nom de domaine (ndd.tld) est errone ou mal configure avec acme.sh. -- Arret du script de renouvellement du certificat Mon nom de domaine est bien correct dans la commande, il a servi à la génération du certificat. Le process avait bien fonctionné et mon certificat LE fonctionne nominalement. Cdt, Audio

Bonjour voici le contenu du fichier account.conf tel que je viens de le trouver: #LOG_FILE="/usr/local/share/acme.sh/acme.sh.log" #LOG_LEVEL=1 AUTO_UPGRADE='1' #NO_TIMESTAMP=1 ACCOUNT_EMAIL='xxx.yyyy@zzzz.fr' UPGRADE_HASH='xxxxxxxxx-xxxxxxxxxx' SAVED_OVH_AK='yyyyy-yyyyyy' SAVED_OVH_AS='zzzzzzzz-zzzzzzz' USER_PATH='/sbin:/bin:/usr/sbin:/usr/bin:/usr/syno/sbin:/usr/syno/bin:/usr/local/sbin:/usr/local/bin' Visiblement la ligne CERT_HOME='/volume1/Certs n'y est pas. Je l'ajoute après la ligne USER_PATH et je reviens vers toi. Cordialement, Audio

Bonjour, A propos du script python mis en place par @bruno78 et @oracle7 ce matin mon NAS a exécuté pour la 1ère fois la tache planifiée et le système m'a renvoyé le message suivant: Cher utilisateur, Le planificateur de tâches à terminé une tâche planifiée. Tâche : RenewCertif_W_LE Heure de début : Mon, 10 Aug 2020 00:15:02 GMT Heure d’arrêt : Mon, 10 Aug 2020 00:15:03 GMT État actuel : 1 (Interrompu) Sortie standard/erreur : Traceback (most recent call last): File "/volume1/Scripts/acme_renew.py", line 41, in <module> scriptdir = ACMECERTS + "/Acme_renew" NameError: name 'ACMECERTS' is not defined J'ai édité le script mais hormis trouver la ligne 41 (scriptdir = ACMECERTS + "/Acme_renew") et constater le commentaire ligne 31 (# ACMECERTS a aller chercher dans /usr/local/share/acme.sh/account.conf CERT_HOME='/volume1/Certs') je ne ne peux rien faire de plus, je ne suis pas programmeur et ma connaissance des lignes de code est plus que succincte 😟 Merci pour votre aide. Audio

Merci @PiwiLAbruti. Je note l'idée de la zone DNS inverse à créer dans DNS server. Cordialement

Bonjour, Merci Fenrir pour le tuto DNS. J'ai déployé jusqu'à la zone Master et fait les redirections de mes divers éléments réseaux un peu comme dans mon reverse proxy. L'ensemble semble bien fonctionner. Je pense que le fait d'avoir la plage IP du DHCP en 192.168.10.X. ne change rien, je pense que c'est inclus dans les listes d'IP source en 192.168.1.0.0/255.255.0.0. J'accède à mes éléments sans pb, de l'intérieur comme de l'extérieur. Première question Les commandes nslookup passées avec le cmd de Win10 me renvoie toujours en première partie de réponse "Server : Unknown" - Exemple: nslookup figaro.fr Serveur : UnKnown Address: 192.168.10.3 Réponse ne faisant pas autorité : Nom : figaro.fr Address: 212.95.67.222 Si je passe en console avec Putty la première ligne de la réponse me renvoie bien l'adresse IP du NAS ~$ nslookup figaro.fr Server: 192.168.10.3 Address: 192.168.10.3#53 Non-authoritative answer: Name: figaro.fr Address: 212.95.67.222 Est-ce normal? Deuxième question: Si je déploie MailPlus Server avec l'ajout dans le DNS server du NAS de entrée A mail.ndd.tld pointant vers l'IP locale du NAS entrée MX mail.ndd.tld priorité 10 n'y a-t-il pas risque de confusion pour le client Thunderbird fonctionnant en local avec les entrées DNS à ajouter/modifier chez OVH qui héberge mon domaine? Je me réfère aux différents Tuto MailPlus en particulier celui d'Oracle7 (excellent Tuto par ailleurs!). Merci pour tes réponses Cordialement, Audio

Bonjour @bruno78 Mon entrée dans le Reverse Proxy était identique à la tienne à savoir https://photo.ndd.tld ==> http://localhost (il était impossible d'entrer un port). Le DNS Server Synology est installé sur le NAS avec les service de résolution activé mais il n'y a aucune zone définie, juste des redirections vers les DNS de FDN. Dans la configuration Réseau de DSM le DNS Préféré pointe sur l'IP du NAS avec une IP de DNS de FDN en tant que DNS de remplacement. Je confirme n'avoir plus d'entrée https://photo.ndd.tld dans le reverse proxy. Les entrées présentes sont: https://audio.ndd.tld https://video.ndd.tld https://file.ndd.tld https://mon-secondNAS.ndd.tld https://onduleur1-panneauxsolaires.ndd.tld (pointe sur l'IP fixe de l'onduleur1) https://onduleur2-panneauxsolaires.ndd.tld (pointe sur l'IP fixe de l'onduleur2) Toujours est-il que en tapant photo.ndd.tld ou http://photo.ndd.tld ou https://photo.ndd.tld ça fonctionne. L'URL renvoyée est https://photo.ndd.tld/photo/#!Albums cordialement Audio

Bonjour à tous et merci pour vos contributions, Après avoir appliqué le Tuto Reverse Proxy je suis aussi resté sur ma faim avec l'application Photo Station que je voulais aussi atteindre avec une URL du type photo.mondomaine.tld comme les autres applications. J'ai donc ajouté l'entrée DNS photo.mondomaine.tld qui ponte vers mondomaine.tld, ajouté l'entrée dans le reverse proxy et ajouté la redirection dans le fichier .htaccess qui existait déjà pour l'application des tuto Reverse Proxy et Securisation NAS. Déception ça ne fonctionne pas, j'obtiens un message de mauvaise redirection dans le navigateur Firefox. Je me suis demandé si les 2 modifs (ajout de l'entrée Reverse Proxy et redirection photo.mondomaine.tld/photo du fichier .htaccess) ne se marchaient pas sur les pieds. J'ai donc fait un essai en supprimant l'entrée du reverse proxy et...Bingo ça fonctionne très bien pour moi 😋. Pour résumer: 1 - entrée DNS (OVH): photo.mondomaine.tld. 0 CNAME mondomaine.tld. 2 - fichier .htaccess: RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} RewriteCond %{HTTP_HOST} ^photo.mondomaine.tld$ RewriteRule ^$ https://photo.mondomaine.tld/photo [L,R=301] Bien sûr je ne sais pas très bien le pourquoi du comment ça fonctionne, je suis assez novice, mais si ça aide quelqu'un ce sera déjà très bien. Encore merci à tous, cordialement Audio

Super TUTO, en plus mis à jour avec soin! Merci @oracle7 et @bruno78 J'ai suivi à la lettre le tuto à la lettre jusqu'à l'installation du script python et la programmation de la tache de renouvellement. Tout est OK, la clef wildcard générée et déployée, bref que du bonheur! J'avais encore rien fait de plus complexe en ligne de commande. Rendez-vous dans trois mois environ pour le renouvellement. D'ici là je me tiens au courant des nouvelles sur le présent topic. Cordialement Audio

Bonjour aux contributeurs et merci @Fenrir pour son tuto VPN. J'utilisais le VPN de mon entreprise (LT2P) il y a encore quelques mois, et j'ai suivi à la lettre le tuto de Fenrir. Je n'ai installé que le serveur LT2P pour accès à mon DS 415+. Fonctionnement au poil! 👌 Au passage j'ai fait un tour sur le tuto Sécuriser son NAS (merci @Fenrir) ça mange pas de pain! Cordialement Audio

Bonjour, Merci pour les réponses de @Thierry94 et d'@oracle7 pour les DNS. Je reste toujours intéressé par avoir les mêmes URL en LAN qu'en WAN et j'ai attentivement regardé le Tuto de @Kawamashiainsi que les commentaires associés sur la mise en oeuvre du Reverse Proxy. En ce qui concerne la recommandation d' @oracle7pour avoir un routeur séparé de la box pour ne plus en subir les limitations, c'est effectivement à considérer. Je verrai une fois ma Freebox POP en place. On est jamais à l'abri d'une déception 🙄 quant aux possibilités de configuration ) Cordialement

Bonjour, Merci @oracle7 pour ce très bon tuto, bien détaillé et explicatif. J'envisage l'installation de MailPlus Server prochainement, une fois que je serai sorti de l'IP dynamique d'Orange et que je serai de nouveau chez Free (où il me faudra demander une IP full stack si je veux pouvoir faire des redirections sur toute la plage des ports). Je suivrai les recommandations pour la configuration du service mail de secours par un MX PLAN chez OVH. J'aimerai savoir s'il est absolument nécessaire, ou simplement recommandé, d'avoir son propre DNS configuré sur son NAS pour utiliser MailPlus Server sans se faire blacklister. Je comprends par ailleurs les autres avantages du DNS personnel, merci pour le tuto DNS très incitatif de @Fenrir. J'ai fait un essai de server DNS mais pour l'instant avec ma livebox 4 Fibre, il est impossible de modifier le DNS dans la box. Je n'ai pas de routeur séparé entre ma box et les NAS. Cordialement @Audio

Pour répondre à Fenrir, il est vrai qu'en temps qu'abonné Free je constate depuis plus d'un semaine une baisse de débit descendant. Ils ont peut-être des ennuis sur leur réseau ou sur leurs serveurs DNS. Audio