Stixen92

Salut @oracle7 J'ai enfin réussi le déploiement de mon certificat via la console SSH. C'est la connexion en HTTPS qui posait problème...En HTTP, le déploiement se fait sans problème. Merci à toi et @bruno78 pour votre travail. Cependant, il me reste quelques questions: 1) J'ai lancé manuellement le script "ACME_RENEW.PY" via la console SSH (WinSCP). J'ai utilisé le paramètre -f pour forcer le renouvellement du certificat. Tout se passe bien (création du certificat, etc..) sauf qu'à la fin, au moment du déploiement du certificat, j'ai une drôle d'erreur: [Wed Jan 27 17:15:03 CET 2021] _ret='0' [Wed Jan 27 17:15:03 CET 2021] Return code: 0 [Wed Jan 27 17:15:03 CET 2021] _error_level='2' [Wed Jan 27 17:15:04 CET 2021] _set_level='2' [Wed Jan 27 17:15:04 CET 2021] The NOTIFY_HOOK is empty, just return. --- Fin de la procedure [Wed Jan 27 17:15:03 CET 2021] http services were NOT restarted [Wed Jan 27 17:15:03 CET 2021] Success [Wed Jan 27 17:15:04 CET 2021] ===End cron=== Puis j'obtiens le message : "Le certificat n'a pas été renouvelé." Pourtant le nouveau certificat a bien été crée... C’est au niveau du déploiement que ça coince? Pourtant si je fais le déploiement via le script ACME, tout passe normalement... Ces codes erreur te disent quelque chose? 2) Concernant la date d'expiration du cookie DID (double authentification), vu que la modification de la date se fait depuis la navigateur Firefox et que le cookie en question reste dans Firefox, comment le NAS fait pour avoir connaissance de la nouvelle d'expiration du cookie? 3) Les valeurs "OVH_AK" (application key) et "OVH_AS" (application secret) se trouvent dans le fichier account.conf situé dans "/usr/local/share/acme.sh" Mais je ne vois pas dans ce fichier la valeur "OVH CK" (consumer key)... Est-ce normal? Si oui, dans quel fichier se trouve la valeur "OVH CK"?

@oracle7 Salut, J'ai récupérer, à la main, via l'interface graphique de WinSCP, les fichiers de mon certificats et je les ai installés manuellement dans le menu "certificats" de DSM. Mais bon, je suis déçu de ne pas avoir réussi intégralement la manipulation. Surtout que je souhaite bénéficier du renouvellement automatique... Donc je continue: 1) Justement, dans le fichier "votre-domaine.tld.conf" les infos du DID n'étaient pas présentes malgré que j'ai utilisé à plusieurs reprises la commande "export SYNO_DID=xxxxxxxxxxxxxxxValeur_du_DIDxxxxxxxxxxxxxxxxx" Bizarre, non? D'ailleurs, aucune des manipulations ne semble modifier ce fichier... Du coup, vu que j'ai quitté la console SSH et WinSCP, à partir de quelle étape dois-je reprendre?

Bonjour, J'ai une erreur au moment du déploiement du certificat... J'obtiens le message d'erreur suivant: [Tue Jan 26 10:54:17 CET 2021] Unable to authenticate to 192.168.XX.XX:5XXX using https. [Tue Jan 26 10:54:17 CET 2021] Check your username and password. [Tue Jan 26 10:54:17 CET 2021] Error deploy for domain: mondomaine.fr [Tue Jan 26 10:54:17 CET 2021] Deploy error. Pourtant mon nom d'utilisateur et mon mot de passe sont bons... Cela a à voir avec la double authentification? Pourtant, j'ai bien copié la valeur du DID comme indiqué sur le tuto... Si quelqu'un peut m'aider... EDIT: Malgré plusieurs tentatives, impossible de déployer le certificat via la console SSH... J'ai donc quitté celle-ci... Si une âme charitable veut bien m'aider...

Bonjour, Je souhaiterais partager un dossier avec un ami depuis mon NAS SYNOLOGY. Il y aura accès à distance, avec un nom d'utilisateur limité à ce seul dossier sur mon NAS. Je pense à deux solutions: 1) Partager le dossier via File Station (HTTPS): Mon ami y aura accès depuis son navigateur en tapant une adresse du type "https://filestation.nomdedomaine.fr" OU 2) Partager le dossier via le protocole FTPS (SSL): Mon ami se connectera depuis une appli du type WinSCP ou FileZilla Les 2 accès se feront sans passer par le service/paquet VPN Server. En terme de sécurité, quel est le meilleur choix? Merci d'avance.

Salut, Oui, j'ai déjà vu ces tutos mais honnêtement, je suis perdu. Je n'ai pas le niveau nécessaire pour faire les manipulations. Et je ne sais même pas ce qu'est Docker...

Bonjour, Mauvaise nouvelle...Les certificats SSL wildcard (3 mois) gratuits, c'est désormais fini chez https://freessl.org Quelqu'un a une bonne adresse pour en obtenir, gratuitement?

Bon, j'ai réussi. J'obtiens un fichier .pem mais pas de certificat intermédiaire... Pas grave? EDIT: Sans certificat intermédiaire, impossible d'action OpenVPN pour le VPN Server du NAS. Voir message d'erreur ci-dessous: Comment régler ça?

Bonjour, J'ai constaté comme vous la fin du certificat SSL wildard gratuit chez SSLforFree Je suis allé sur FreeSSL.org mais impossible de passer l'étape de vérification DNS...Je suis chez OVH, j'ai bien configurer les DNS en TXT, avec _acme-challenge.ndd.com, le texte à insérer et TTL =60 mais cela ne passe pas... En plus le site de vérification est en chinois... Même avec Google traduction, cela n'est pas clair... Chez SSLforFree, je passais cette étape en moins de 2 minutes... Des idées pour que je puisse enfin obtenir mon certificat? Car là je sèche... EDIT: Si j'essaie de télécharger le fichier sans passer l'étape de vérification, j'obtiens un fichier .PEM.... Normal? Comment obtenir mon certificat?

Bon, j'ai vérifié tous les réglages de DSM et de mon routeur mais impossible de savoir pourquoi en tapant l'adresse http://mon-nas.quickconnect.to/ celle-ci se transforme en https://192.168.X.X:PORTDSM C'est un mystère...

@DaffY J'ai activé tout QuickConnect. En tapant l'adresse http://mon-nas.quickconnect.to/ : > Celle-ci se transforme en https://192.168.X.X:PORTDSM si je tente de me connecter depuis mon PC, via un VPN (non Synology). > J'obtiens le message d'erreur "Impossible de se connecter à MON-NAS" si je tente de me connecter depuis mon smartphone via ma connexion 4G (IP externe). Je n'ai pas mis en place de reverse proxy.

Bonjour @DaffY J'ai suivi toutes les étapes que tu as indiquées mais ça ne marche pas... > Si je tente d'ouvrir le lien de partage depuis mon PC, connecté à un VPN (autre que celui de Synology) le lien https://gofile.me/sharing/XYZ se transforme en https://192.168.X.X:PORTDSM/sharing/XYZ Donc ce n'est pas bon.. > Si je tente d'ouvrir le lien de partage depuis mon smartphone, connecté sur une IP externe (connexion 4G), cela charge puis j’obtiens le message d'erreur suivant: "Impossible de télécharger le(s) fichier(s)"... Pas bon non plus.... Qu'est ce qui coince? PS: J'ai crée le lien de partage en me connectant en local à File Station.

Salut @DaffY Si j'active QuickConnect uniquement pour le partage de liens: 1) Le NAS ouvrira certains ports sensibles pour le partage? 2) Pas de risque de me faire pirater? 3) A quoi correspondent ces 2 fonctions? Oui, j'ai déjà activé la notification par e-mail pour "failed to log" 😉 EDIT: QuickConnect ne fonctionne pas, je dois ouvrir les ports de DSM dans ma box et dans le pare-feu DSM? EDIT2: QuickConnect fonctionne pour le partage de fichiers mais malheureusement le lien de partage "https://gofile.me/sharing/XYZ1" se transforme immédiatement en "https://files.ndd.com/sharing/XYZ1" (Pour rappel, dans "Accès externe" puis "Avancé", j'ai entre le nom de mon sous-domaine "files.ndd.com" et le port 443. De plus, "files.ndd.com" dirige vers File Station). Vu que l'on voit mon nom de domaine, c'est donc inutile... De plus, je ne comprends pas pourquoi je dois rediriger un nom de domaine vers File Station pour que le partage de liens via QuickConnect fonctionne... Je pensais que QuickConnect gérait tout tout seul...

Mais j'avais lu, sur ce forum, qu'il était déconseillé de laisser QuickConnect activé et cela pour des raisons de sécurité. -

@DaffY Salut, Oui, je partage déjà, depuis un moment, des fichiers via un dossier web de mon NAS. Le fichier est protégé par identifiant et un mot de passe encrypté dans un fichier. Mais ce n'est pas aussi convivial que la fonction "Partage de liens" car, comme tu l'as dit, pas possible de voir qui accède au fichier et pas de limitation dans le temps de la validité des liens

Salut @.Shad. Comment mettre, dans le profil de contrôle d'accès crée, l'ensemble des IP que je veux autoriser? (mes IP locales et mes IP du serveur VPN intégré)? Je n'ai pas réussi à le faire car pas possible de mettre une plage d'IP ou un masque réseau. Le problème de cette méthode, c'est que les liens de partage ne fonctionnent plus pour les personnes en dehors de mon réseau local... Moi, je veux juste interdire l'accès à la page de connexion de File Station depuis l'extérieur...

Hein? Non, en fait je souhaiterais qu'une page d'erreur ou qu'une page blanche apparaisse lorsque la personne va sur https://files.ndd.com Vu que j'accède à mon NAS, depuis l'extérieur, en passant par le serveur VPN intégré, je n'ai pas besoin d'accéder à File Station via https://files.ndd.com J'ai juste besoin de ce nom de domaine / lien pour partager des fichiers...

1) D'accord, c'est étrange que le créateur de liens de partage ne fasse pas le lien tout seul avec le sous-domaine (files.ndd.com) qui pointe vers File Station... 2) Dommage qu'il n'y ait pas de moyen d'empêcher l'affichage de la page... Oui j'ai bien suivi le tuto de @Fenrir Je n'ai pas de souci pour accéder, depuis l'extérieur, à File Station depuis https://files.ndd.com Mais je me posais les 2 questions postées dans mon message initial. -

21 vues et pas de réponse... 🙁

Bonjour, Je dispose d'un DS216j et j'ai quelques questions concernant le partage de fichiers avec File Station. > Je possède un nom de domaine acheté (nas.ndd.com). > L'adresse "nas.ndd.com" pointe sur mon IP publique. > Mon Nas est accessible, depuis l'extérieur, uniquement en passant par le serveur VPN intégré (merci à @Fenrir pour son tuto). Dans le "Portail des applications", j'ai configuré un sous-domaine (files.ndd.com) pour qu'il pointe directement sur l'appli File Station. Du coup, en tapant https://files.ndd.com, depuis l'extérieur, je tombe directement sur la page de connexion de File Station. Mais lorsque je veux partager un fichier depuis l'appli File Station, j'obtiens un lien du type: "https://nas.ndd.com:PortDSM/sharing/xyxyxyx". Ce qui est totalement incorrect... Normalement, c'est l'adresse qui pointe vers File Station qui devrait apparaître (files.ndd.com) et non celle qui pointe vers mon IP publique... Du coup, je suis allé dans "Accès externe" puis "Avancé" et j'ai entre le nom de mon sous-domaine "files.ndd.com" et le port 443. Désormais, lorsque je partage un fichier, j'obtiens un lien du type: "https://files.ndd.com/sharing/xyxyxyx" 1) Pourquoi suis-je obligé de rentrer le nom du sous-domaine qui pointe vers l'appli File Station dans le menu "Accès externe/ Avancé" pour que mes liens soient corrects? Normalement, l'appli File Station sachant que j'ai un sous-domaine qui pointe vers elle, aurait dû faire automatiquement le lien, non? 2) Lorsque je partage un lien du type "https://files.ndd.com/sharing/xyxyxyx", un petit malin peut raccourcir le lien et se connecter à File Station en utilisant le lien "https://files.ndd.com". Y a t-il un moyen d'éviter cela? Dans l'attente de vos réponses. Merci d'avance.

@Fenrir Salut, Mais au final, tu me préconises d'activer persist-tun ou pas?

@Fenrir Merci. En terme de sécurité c'est une bonne chose ou pas d'activer cette option?

@Fenrir J'ai déjà lu ça, mais pour moi c'est du charabia,lol. Pour ça que je t'ai posé la question. Mais apparemment cela te gêne de m'expliquer.

@Fenrir Salut, D'accord, merci pour les explications. Sinon, tu connais la fonction persist-tun? C'est une sorte de KillSwitch? Cela empêche que le client se connecte à Internet en dehors du tunnel si jamais le VPN ne fonctionne pas ou est déconnecté, c'est ça?

Lol, oui mais je m'attendais à plus de détails... De gros ennemis? Pas compris... Si je passe en SHA512, je vais perdre beaucoup en débit. Mais en terme de sécurité, serais-je vraiment gagnant comparé au SHA256?

@Fenrir Salut, J'ai ajouté l'option dans le fichier de configuration .ovpn mais cela n'a rien changé, j'ai toujours ce message d'erreur... Sinon, toujours concernant OpenVPN, j'utilise ces paramètres pour la sécurité: Chiffrement: AES-256-CBC Authentification: SHA256 - Quelle est la différence entre les 2? - Si je passe, pour l'authentification, en SHA512, je vais beaucoup perdre en terme dé débit? - Niveau sécurité, y aura t-il un gain considérable? Merci.