oracle7

@Jeff777 Bonjour, J'ai moi aussi reçu ce mail de SSLforFree, comme je suis "joueur" j'ai essayé la création d'un certificat wilcard sur mon domaine. er constat : tout est fait pour que tu utilises l'abonnement Premium à 50$ par mois. IL faut bien faire attention où tu cliques. Pas cool .... ème constat : impossible de créer un certificat wilcard comme avant. Cela te revoie et t'impose de prendre du Premium. Donc pour du gratuit initialement : eh bien pas totalement au final ! Cela passe à 10$ par mois en version Basic. Finalement, je vais laisser tomber cette solution SSLforFree dès l'expiration de mon certificat actuel, pour en créer un, le moment venu avec la méthode acme avec un chargement manuel sur NAS et Routeur. Du coup cela me renforce dans l'idée de reprendre et adapter si besoin la méthode d'automatisation du renouvellement initiée et décrite ci-avant dans le Tuto par @unPixel et @PPJP. Cordialement oracle7😉

@Kramlech Bonjour, Merci de ton complément de réponse. Du coup, je comprends mais c'est pourtant ce que j'ai fait (installé mon certificat wilcard LE), notamment pour mon smartphone et de fait, je n'ai plus de messages d'alerte de sécurité. C'est pas bon alors ? Cordialement oracle7😉

@Jeff777 Bonjour, Effectivement, depuis ton dernier passage, le sujet a quelque peu dérivé. la cause en est un changement de portage de ma part quant à la configuration de mon installation. Je suis passé avec l'aide généreuse de @GrOoT64 , d'une configuration Serveur DNS et Serveur VPN installés sur le NAS (client du routeur) à une configuration Serveur DNS et Serveur VPN installés tous les deux directement sur le Routeur, ce qui en soit est plus "naturel", enfin je le crois. Avec le recul, je puis dire maintenant qu'il ne faut pas chercher à en faire faire trop à un NAS et qu'il faire simple tout simplement quand la configuration matérielle le permet bien sûr. Depuis cela, ce qui me conforte dans nouveau choix c'est que je ne constate plus les comportements étatiques (entre serveurs DNS et VPN) que j'avais précédemment, avec au passage les mêmes constats relevés chez @TuringFan qui avait une configuration similaire à la mienne et qui lui aussi, est passé avec succès me semble-t-il à la nouvelle configuration sus-citée. Au final, cela marche parfaitement, j'accède à tous mes périphériques (NAS, Routeur, Caméras, etc ..) comme je le souhaitais aussi bien en local que de l'extérieur en tapant un simple "xxxxx.ndd.tld" dans un navigateur. Ce qui est extrêmement souple. De plus, grâce à une astuce de @GrOoT64 liée au profil d'accès dans le reverse proxy, personne ne peut utiliser mes "xxxxx.ndd.tld" de l'extérieur car ils sont "filtrés" (même si ne n'est pas tout à fait le bon terme) pour une connexion uniquement en local ou initiée sous VPN de l'extérieur par moi seul. C'est pour moi un top du point de vue sécurité ! Cela dit, je te remercie pour l'aide apportée pour essayer de résoudre mes problèmes rencontrés avec la première configuration. Cordialement oracle7😉

@TuringFan Bonjour, C'est exactement la même chose que tu utilises un PC/Mac client ou ou un Smartphone/iPhone, sans certificat installé sur ces clients lorsque tu te connectes en HTTPS via un navigateur en saisissant une URL liée à ton domaine, automatiquement tu récupères une alerte de sécurité (qui reste cependant non bloquante car tu peux passer outre en acceptant les risques inhérents). Fais le test tu verras ... Cordialement oracle7😉

@GrOoT64 Bonjour, C'est tout à fait vrai et je me permettrais d'ajouter une petite précision complémentaire si tu veux bien à propos de cette redirection automatique des connexions HTTP vers HTTPS. cette précision est juste issue du Tuto sur la sécurisation des accès. Je cite : Donc cette case n'est à cocher que si on n'utilise pas le "reverse proxy". Cordialement oracle7😉

@Kramlech Bonjour, Merci beaucoup pour ces précisions qui viennent fort à propos compléter et/ou corriger mon information sur certains points. Comme quoi les échanges ont du bon ... Cordialement oracle7😉

@GrOoT64 Tout à fait d'accord. Cordialement oracle7😉

@Juan luis Bonjour, Merci du tuyau et pardonnes mon ignorance, mais comment une prise programmable peut "rebooter" ma LB et mon routeur ? La prise envoie un signal compris par la LB ? Ok, avec une coupure de courant la LB "reboot" seule et sachant qu'une coupure brutale de courant n'est jamais indolore pour l'électronique. Mais alors quid de l'onduleur sur lequel elle branchée justement pour assurer sa protection ? J'avoue ne pas trop comprendre là ... Cordialement oracle7😉

@GrOoT64 Bonjour, Certes, tu as tout à fait raison mais il suffit alors de se déconnecter physiquement du réseau local et d'utiliser un smartphone comme point d'accès 4G. Cordialement oracle7😉

@TuringFan Un certificat s'applique à un domaine uniquement. Comme son nom l'indique il est "une preuve" que tu maîtrises le domaine concerné, il est en quelque sorte, l’équivalent d’une carte d’identité numérique. Il est délivré par une autorité de certification au près de la quelle tu auras fournis une clé publique (liée à ta clé privée) qui permet d'authentifier explicitement ton domaine et donc son propriétaire. Ainsi, par la suite avec ce certificat, les navigateurs te reconnaitront de façon transparente, et tu pourras mettre en place une connexion HTTPS de confiance, ce devient aujourd'hui la norme pour naviguer sur les sites WEB sécurisés. Le certificat ainsi installé, permet notamment aux navigateurs de contrôler l’intégrité des données transmises. Il est ainsi impossible pour un pirate de substituer un message pendant son acheminement. Je voudrais pas trop m'avancer, mais je crois que l'on peut assimiler et ce par abus de langage, le NAS et/ou le Routeur à un site WEB par le fait qu'ils hébergent entre autres un serveur DNS mais pas seulement. D'où la nécessité de leur installer un certificat (idem sur ton smartphone/iphone et tout périphérique par le biais du quel tu établis une connexion de type HTTPS pour naviguer de façon sécurisée). En ce qui concerne la LB, là je suis plus "sec". Je ne pense pas qu'elle soit "assimilable" à un site WEB, pour moi ce n'est qu'un simple modem/routeur qui véhicule et retransmet des données elles mêmes déjà "sécurisées" de par le protocole de transport utilisé. Voilà une explication simpliste qui vaut ce qu'elle vaut, et qui n'engage que moi ... Mais si tu veux aller plus loin dans cette connaissance des certificats, je t'invite à fouiller la toile .... Cordialement oracle7😉

@Juan luis Bonjour, Oui, si tu as pris la précaution d'ajouter dans ta Zone DNS chez OVH les lignes MX adéquats vers les serveurs mail d'OVH avec une priorité inférieure à celle donnée pour ton domaine personnel. Ainsi ces serveurs prennent le relais au cas où ton serveur tombe ou que tu l'arrête volontairement. De toutes façons, sans ce dispositif je te cites ce que m'avais dit @Thierry94 : Cordialement oracle7😉

@TuringFan Bah pour un coup de bol, c'est un coup de bol. Ce port ne semble pas être utilisé, voir ici. Il est habituellement de bon ton (en fait recommandé) de choisir ses ports privés (ou dits éphémères) dans la plage supérieure à 49152. Maintenant le port 4443 risque un jour d'être réservé et utilisé par une application tierce. Mais ne t'inquiètes pas il n'y a rien de grave, c'est juste pour ton information. Cordialement oacle7😉

@TuringFan Rien vu dans la LB qui permette ce genre de chose. En plus ta LB est en DMZ quel en serait alors l'intérêt ? Drôle d'idée que tu as là 🤭 Cordialement oracle7😉

@TuringFan Installation de quoi ? je ne te comprends pas ,désolé. Pour ce qui est de la connexion avec un client WIN en externe, c'est un truc que je n'ai pas pu tester faute de moyens matériels. Je n'ai qu'un PC sur mon réseau local. Aussi je ne te serais pas d'une grande aide. J'en suis sûr il y aura bien quelqu'un ici pour donner la solution. Peut-être qu'il faut installer "OpenSSL" sur le PC. Piste à voir//suivre ? Personnellement, je l'utilise à d'autres fins : convertir les fichiers .pem des certificats en .p12 pour pouvoir charger ces certificats sur smartphone Android. A mon humble avis, le protocole SSL VPN est un protocole de communication propriétaire développé par Synology semblable à OpenVPN (qui lui, est open source et est aussi basé sur SSL). Il ne fait qu'utiliser une méthode d'authentification différente et qui lui est propre pour s'accorder plus facilement à l'environnement DSM/SRM. Pour le cryptage c'est et reste du SSLv3 standard. Il faut bien voir (pour faire simple) que ce n'est qu'un protocole donc une manière particulière de permettre à des pairs de s'authentifier entre eux à l'aide d'une clé privée partagée à l'avance, de certificats électroniques ou de couples de noms d'utilisateur/mot de passe. J'espère ne pas me tromper en disant que le serveur VPN sur le RT a lui, pour rôle de "tunneliser", de manière sécurisée et directe, des données sur un seul port TCP/UDP à travers un réseau non sûr comme Internet vers le client qui se connecte à ce serveur. Certes, il est évident que la liaison passe par des serveurs tiers mais ceux-ci ne voient que des données cryptées de bout en bout qui transitent "sous leurs yeux" et heureusement ils n'en voient pas plus. Par ailleurs, tout comme OpenVPN utilise une interface de connexion qui lui est propre, Synology a la sienne qui à mon avis est extrêmement simple et efficace. Voilà ma vision sur cet aspect sécurité du protocole et qui n'engage que moi ... Cordialement oracle7😉

@TuringFan Là il faut que tu soit plus explicite pour comprendre et répondre à ta demande : c'est quoi comme périphérique ton "monMACHINBOX" ????? Avec ma petite connaissance, à part un NAS ou un Routeur, d'une je vois pas et de deux je suis pas compétent pour te répondre sur ce coup là, désolé. Cordialement oracle7😉

@CyberFr Bonjour, Aucun problème. Il suffit de disposer d'un nom de domaine "ndd.tld" personnel que tu obtiens par exemple chez OVH pour un dizaine d'euros par an. A partir de là, toujours chez OVH, tu vas pouvoir créer un DynHost (Dynamic Host). Ce DynHost associé à ton ndd.tld va se charger de mettre à jour automatiquement ton ndd.tld avec ton @IP externe (celle de la LiveBox) à chaque fois que celle-ci change. Ainsi ton ndd.tld pointe toujours sur la bonne @IP. Cette "astuce" si je puis dire, fait en quelque sorte, croire à ton NAS (et ou routeur) que tu as une @IP externe fixe alors qu'elle ne l'est pas dans les faits. Du coup, toujours chez OVH, tu peux alors configurer la zone DNS associée à ton ndd.tld pour que notamment tes domaines de second niveau (au passage, on ne parle pas sous-domaines même si c'est tentant, car cela n'existe pas ! mais de domaines de second niveau et ainsi de suite dans la hiérarchie du domaine) pointent sur ton domaine ndd.tld avec la bonne @IP. En espérant ne pas avoir été trop confus dans mon explication ... @alan.dub Effectivement lors de la mise en place du serveur Mail, mon @IP a été blacklistée une fois. Comme tu le précises, il faut aller sur le site en question et se déblacklister. Rien de bien compliquer à faire. La preuve, j'y suis arrivé 🤪. Sinon attention même si MailServeur te permet de disposer de cinq @Mail gratuites, personnellement j'ai été bloqué par mon abonnement de base chez OVH qui n'offre qu'une et une seule @Mail gratuite. Pour moi pas de problème car j'utilise cette @Mail unquement pour échanger à propos des données stockées sur le NAS support du serveur Mail Synology. Libre à toi d'obtenir plus d'@Mail au près d'OVH pour satisfaire tes besoins. Cordialement oracle7😉

@TuringFan Bonne initiative 😀 Si tu lis bien AVANT tous les échanges, il y a toutes les pistes pour y arriver J'ai fais dans la simplicité en configurant le protocole Synology VPN "SSL VPN". Pour mes besoin cela me paraît suffisant. Adieu les L2TP/IPsec, OpenVPN and co ... Cordialement oracle7😉

@Outimeme Bonjour, Il est d'usage pour les nouveau membre de passer par la case Pésentation dans la rubrique adéquate, certains ici y sont sensibles. Rassures-toi il n'est pas trop tard pour bien faire ... Pour ce qui de ton problème : Ne mélangeons pas les choses. - Le certificat LE te permet notamment d'éviter de recevoir des avertissements de connexion non sécurisée. - La double authentification, sécurise elle, l'accès à ton NAS lors de la connexion à celui-ci. C'est juste un plus dans la sécurisation des accès au NAS. Pour accéder de l'extérieur sans utiliser Quickconnect (passoire de sécurité), il est fortement recommandé (c'est toi qui vois !) d'utiliser ton propre nom de domaine que tu peux obtenir pour environ 10€ d'abonnement par an chez OVH (c'est pas la mer à boire ...). Ensuite quand tu as ce nom de domaine "ndd.tld" personnel, tu peux créer un certificat LE pour ce ndd.tld et l'installer sur ton NAS et les autres périphériques que tu utilises pour te connecter au NAS depuis l'extérieur (smartphone, iPhone, etc ...). Relis bien tout de même le présent Tuto, pour bien appréhender tous les tenants et aboutissants. Cordialement oracle7😉

@TuringFan Pour compléter ce que t'a dit @Kramlech, je dirais que tu peux installer le même certificat LE sur le NAS et le RT. Attention toutefois, sur le RT on ne peux mettre qu'un seul certificat donc sauvegarde avant (pour le cas où) celui qui est présent. SInon, je t'invite à créé un certificat wilcard "*.ndd.tld" chez SSL For Free ça simplifie la vie ... Fait en moins de cinq minutes ... Regardes le Tuto c'est facile. Cordialement oracle7😉

@TuringFan Bonjour, Je crois que tu as raison sachant que ce problème de cohabitation me semble maintenant inhérent au NAS seul. Du coup face à cela, j'ai en quelque sorte changé mon fusil d'épaule. Avec l'aide de @GrOoT64 que je remercie encore ici (voir les échanges dans ce post), j'ai retiré du NAS le serveur DNS ainsi que le serveur VPN et je les ai respectivement installés directement sur le RT. Au final, à priori (je reste prudent car c'est tout nouveau) cela fonctionne sans problèmes. Avec le VPN actif via "VPN Plus" installé sur mon smartphone (qui existe aussi sur iPhone), j'ai bien accès avec des "xxxxx.ndd.tld", à mes deux NAS (dont est considéré comme principal car portant le reverse proxy) et autres périphériques du réseau local et aussi ainsi qu'à Internet en même temps. En plus, du point ce vue sécurité, j'ai pu verrouiller l'usage des "xxxxx.ndd.tld" à uniquement lorsque je suis sur le réseau local ou lorsque je suis avec une connexion VPN active pour un accès depuis l'extérieur. Dans tout autre cas depuis l'extérieur, rien abouti, donc la sécurité est assurée. Personnellement, cela me convient très bien comme cela. Voilà mon retour d'expérience. Il vaut ce qu'il vaut ... Mais pour l'instant cela marche correctement alors que demander de plus ? Cordialement oracle7🤭

@GrOoT64 Bonjour, Un second p'tit retour. Installation du serveur VPN Plus sur le RT avec configuration de "SSL VPN" : cela n'a pas été sans mal mais j'y suis arrivé en changeant de port car via le port 443 : pas de connexion possible. Avec le VPN actif via "VPN Plus" installé sur mon smartphone, j'ai bien accès à tous mes NAS et ainsi qu'à Internet. Parfait de ce coté là. Je te confirme aussi qu'il faut bien avoir décocher dans "Panneau de configuration / Réseau / Paramètres de DSM" la case "Activer un domaine personnalisé" sinon cela bloque. A part cela, génial le coup d'appliquer un profil de contrôle d'accès sur certaines redirections. C'est vraiment un plus dans la sécurité. Pas d'accès hors VPN actif et c'est très bien comme cela. En tout cas pour moi ! Enfin, j'ai activé aussi le split tunneling. Au final un grand MERCI à toi pour tes indications à suivre. Cordialement oracle7🤭

@GrOoT64 Merci de ta réponse rapide, j'étais justement en train de configurer "SSL VPN" pour voir. Sauf qu'il me demande d'importer un certificat intermédiaire alors que je l'avais déjà fait dans SRM (lors de l'installation du RT) en important le certificat wilcard LE issu du NAS1. J'ai donc essayé de réimporter ce certificat wilcard mais maintenant il me dit que le certificat intermédiaire est illégal !!! Dur dur ... TU crois qu'il faille que je recrée un nouveau certificat wilcard LE ou que j'essaie d'importer le certificat LE genéré par Synology depuis le NAS 1 ? Cordialement oracle7🤭

@GrOoT64 Au secours !!! 🤭 Je comprends mieux maintenant ton "Bonne chance 😛" !!!! A peine, le paquet VPN Plus installé, je bloque pour configurer OpenVPN. Pour commencer, il ne me donne pas le choix de la plage d'@IP du client : Il n'y a que "OpenVPN" càd "172.20.0.0/24" de disponible et donc impossible d'affecter la plage d'@IP de mon LAN. Qu'à cela ne tienne, je vais dans "Objets" et je modifie l'objet "OpenVPN" en lui donnant la plage d'@IP de mon LAN. Pas de bol encore, impossible à valider car j'ai un message qui me dit que "Les sous-réseaux OpenVPN et Local Network se recouvrent". OK c'est normal vu qu'il existe un objet "Local Network" qui utilise déjà la plage en question. D'où ma question, comment as-tu fais pour affecter ton réseau LAN ? en supposant que tu ais configuré aussi OpenVPN. Cordialement oracle7😉

@GrOoT64 Un premier p'tit retour. Installation du serveur DNS sur le RT : pas de problèmes particuliers à part juste un truc que ne n'ai pas encore compris pourquoi. J'avais un blocage avec "nom-du-nas2.ndd.tld" qui n'aboutissait pas aussi bien en local que de l'extérieur. En fait, il a suffit sur le NAS2 de décocher dans "Panneau de configuration / Réseau / Paramètres de DSM" de décocher la case "Activer un domaine personnalisé". C'est bizarre ce comportement, car sur le NAS1, cette case est cochée et un nom de domaine est renseigné. En l'occurrence "nom-du-nas1.ndd.tld" et c'est opérationnel en local et de l'extérieur. Ton avis STP ? Sinon maintenant, je passe à la seconde phase : configuration de VPN Plus sur le RT. Je te tiens au courant. A++ Cordialement oracle7😉

@Jibe75 Bonjour, EN premier lieu, sais-tu qu'un petit passage par la rubrique Présentation de ce forum est appréciée et certains ici y sont même sensibles ? Mais saches qu'il n'est pas trop tard pour ce faire ... Pour ton problème, si tu est sous WIN, alors essaies ce qui suit : Touche WIN + R et taper gpedit.msc Dans la partie gauche de la fenêtre, développer successivement les niveaux : Stratégie Locale Ordinateur – Configuration Ordinateur – Modèles d’administration – Système −Système de fichiers. Dans la partie droite de la fenêtre, 2xClic sur : « Activer les noms de chemin d’accès Win32 longs » Dans la fenêtre, sélectionner : « Activer » Cliquer sur : « OK » Dans la partie droite de la fenêtre, 2xClic sur : « Activer l’évaluation d’un lien symbolique » Dans la fenêtre, sélectionner : « Activer » et cocher la case : « Lien local à une cible locale » Cliquer sur : « OK » Après cela tu n'auras plus de problèmes de chemins trop longs. Cela dit je t'invites tout de même à revoir ton arborescence de fichiers pour éviter ces désagréments. Cordialement oracle7😉