Double Jo

Bon je décris ce que j'ai fait si ça peut aider des gens. Je suis allé vérifier si mes clés OVH étaient expirées (dans mon souvenir je n'avais pas mis de date d'expiration) L'API OVH me confirme qu'il n'y a pas de date: oracle7 m'a dit que les 3 clés OVH étaient stockées dans le fichier /usr/local/share/acme.sh/account.conf Or je n'avais que SAVED_OVH_AK et SAVED_OVH_AS. Pas de OVH_CK donc. Dans le code source du script ACME pour OVH, ici: https://github.com/acmesh-official/acme.sh/blob/15c68c95940620f1db1b9b5704e730f681ad2f9c/dnsapi/dns_ovh.sh#L95 On voit qu'il supprime la variable OVH_CK s'il détecte un changement de clé. Ça expliquerait l'absence de valeur de mon côté. Je l'ai simplement remise, j'ai relancé et c'est reparti. Je n'explique pas sa suppression.

Merci, je pense que tu as raison 🙂 Je viens de me connecter en ssh, via le compte root et je m'étonne que quand je fais un "env", je ne vois pas les 4 variables d'environnement OVH dans la liste (OVH_AK, OVH_CK, ...) Pourtant lors du tuto on a bien fait un "export" des ces 4 variables. Tu sais où elles atterrissent?

Bonjour. Vous aussi du jour au lendemain vous avez eu ce genre d'erreur (je suis chez OVH)? [Sun Feb 20 01:00:17 CET 2022] error {"message":"This credential is not valid","httpCode":"403 Forbidden","errorCode":"INVALID_CREDENTIAL"} [Sun Feb 20 01:00:17 CET 2022] The consumer key is invalid: tUg4erO1sSTK3ye7itSwoYbsLhYwYPyL [Sun Feb 20 01:00:17 CET 2022] Please retry to create a new one.

Merci mais j'ai dû mal m'exprimer. J'ai fais tout ce que tu décris @oracle7. Pour être plus précis j'ai un conteneur docker qui tourne avec une API Python qui écoute. J'ai envie de limiter l'accès aux requêtes dont l'ip source est mon ip publique. Aujourd'hui, j'arrive à faire ça en changeant à la main la rule dans le "profil de contrôle d'accès". J'ai juste envie d'automatiser le truc en le scriptant d'où ma demande pour savoir s'il y a une commande qui fait ça!

Salut. Savez-vous s'il est possible de modifier un profil de contrôle d'accès en ligne de commande? J'ai cru voir l'outil synoacltool mais pas sûr que ça fasse le taf. Pour donner du contexte, j'y ai mis mon ip publique et j'aimerais la mettre à jour automatiquement lorsqu'elle change.

Je pense que c'est bon finalement. En fait j'ai précisé 3 domaines lors du "issue". Les 2 premiers étant mon domaine1 et sa wildcard. Le 3ème paramètre est donc mon domaine2. Lors du deploy, il m'a fallu absolument mettre la variable export SYNO_Create=1 Car en fait il va créer un second certificat (dans la fenêtre des certificats du panneau de config Syno) avec comme description mon domaine2. Là du coup c'est passé. Dans le panneau de config donc, je me retrouve avec 2 certifs visibles, qui ont le même nom. Le premier a une description vide (certif par défaut) Le second a comme description mon second ndd. Je lui ai ensuite associé le service web qui doit utiliser ce certificat. J'avoue que je suis étonné, je m'attendais à ne voir qu'un certif dans le panneau de config. J'ai un doute quand même... Je me demande si ce comportement n'est pas un effet secondaire de tous mes tests. Parce que la description de ce "second" certifcat n'est pas "mondomaine2.com", mais juste "Mondomaine2" C'est à dire sans le ".com" et avec une majuscule. Et c'est exactement la description que j'avais mis lorsque j'ai essayé de déployer mon autre certificat quand je voulais en créer plusieurs.

Je me répond à moi même et oui ce n'est pas la bonne méthode. Je pense qu'il faut plutôt ajouter un paramètre "-d" lors du "issue": ./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" -d "$CERT_OTHER_DOMAIN" --dns "$CERT_DNS" Il devrait alors créer un certificat valable pour tout les ndd précisés en paramètre. Par contre je galère pour les déployer ensuite.

Merci pour tout ça marche nickel! Je suis sous DSM 7 et au niveau de la tâche planifiée j'ai fait ce que tu as écrit dans la conversation, c'est à dire ne pas utiliser python et mettre direct: bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/ Question: J'ai 2 ndd à renouveler. Les 2 sont chez OVH et les clés OVH que j'ai généré sont valables poru tous les ndd. Je me suis dit qu'il suffisait que je crée 2 tâches planifiées qui ressembleront à ça: export CERT_DOMAIN="votre-domaine.tld" export CERT_WDOMAIN="*.votre-domaine.tld" export SYNO_Certificate="" bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/ export CERT_DOMAIN="votre-domaine2.tld" export CERT_WDOMAIN="*.votre-domaine2.tld" export SYNO_Certificate="Autre certif" bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/ Mais le second certificat a le nom du premier donc mes "export" semblent pas suffisant. Même si pourtant le second certificat a bien la description "Autre certif"... Qu'en penses-tu?

Ah ok tout simplement... Merci !

Ah oui mon exemple est le même concernant les DS420+ et DS920+ effectivement. Donc si je comprends bien, le DS920+ propose la possibilité de mettre une extension, mais surtout de la puissance supplémentaire. Il se trouve que je me sers beaucoup de docker, mais j'ai pas tellement besoin d'espace. Et d'ailleurs j'hésite à prendre un "vrai" serveur, pas un NAS. Voir partir dans le cloud. Qu'en pensez-vous?

Bonjour! J'ai actuellement le DS218+ et j'en suis ravi. Je souhaite passer sur un 4 baies et j'ai été étonné de voir qu'au delà du DS418+, il existe des NAS avec possibilité d'extension, le DS918+ par exemple. Je ne comprends pas ce que ça apporte. Si j'ai besoin de plus d'espace, pourquoi ne pas se contenter du DS418+ avec des disques durs plus gros?

Salut. Petit à petit je m'en sors avec la conf de mes domaines. J'ai deux domaines chez OVH et chacun d'eux me redirige vers mon NAS avec la conf DDNS. OVH Côté OVH, pour les 2 domaines, j'ai un truc comme ça: *.mondomaine1.fr. CNAME mondomaine1.fr. www.mondomaine1.fr. CNAME mondomaine1.fr. Parfait. NAS Côté NAS, j'ai à la fois le reverse proxy, et des virtual hosts. Reverse proxy Pour le reverse proxy j'ai quelques entrées pour des sous domaines particuliers, du genre: calendar.mondomaine1.fr drive.mondomaine1.fr mondomaine1.fr qui redirige vers le port 5000 pour le DSM ... Et rien concernant mondomaine2 ici Virtual hosts Et pour les virtual hosts, j'en ai 2: truc.mondomaine1.fr qui mène au sous dossier mondomaine1 mondomaine2.fr qui mène au sous dossier mondomaine2 Et donc le répertoire root "web" n'est pas censé être utilisé car rien ne redirige vers lui. Le problème Pour les 2 domaines, quand je saisi une adresse avec un sous domaine, n'importe lequel qui n'est pas traité par le reverse proxy, par exemple: https://sdjhfrjkdfhdjkh.mondomaine1.fr https://toto.mondomaine2.fr Je suis redirigé vers le dossier "web" de web station. Ce que je souhaite: Ça me paraîtrait logique de tomber sur une 404 à la place. On ne peut pas désactiver le dossier web pour ne laisser que les virtual hosts? Merci!

Ok fausse alerte, il fallait mettre un "/" à la fin de ma route...

J'ai eu une réponse sur StackOverflow. Le mec disait que je devrais plutôt utiliser le reverse proxy (qui lui bénéficie du certificat facilement) afin de rediriger les requêtes du front vers l'api. Les appels à l'api seraient donc uniquement en local et n'ont pas besoin d'être en https. J'ai donc créé une nouvelle entrée dans le reverse proxy, comme ceci (pj) Mais je tombe sur une 404 Le port 9071 est bien celui sur lequel je dois taper, car ça fonctionne quand j'indique l'adresse ip du NAS suivie du port. Pour info, la 404 que j'ai est au "style" Synology. Alors que quand je fais une erreur volontaire dans l'url, j'ai une 404 au style plus classique (voir pj) Qu'en pensez-vous? Style Synology: Style "classique":

Salut! Il s'agit d'un problème à mi-chemin entre le développement et la gestion de notre NAS, j'espère que je poste au bon endroit. J'ai développé une petite API python qui tourne dans un container docker sur le nas. Cette API fait des requêtes sur une base mariadb, également sur le nas. Mais (et c'est là l'intéressant) j'ai également fais une page web (vue-js) qui interroge l'api python. Tout ça marche bien, mais je souhaite appliquer du HTTPS. Voici (en pj) le schéma de ma situation. J'ai un certificat LE, je m'en sers déjà pour sécuriser l'accès au DSM par exemple. J'ai réussi à l'utiliser pour avoir du HTTPS sur mon appli vue-js. Le problème c'est qu'il faut également du HTTPS entre l'appli vue-js, et l'api python maintenant, et là je galère. Puis-je utiliser le même certificat? Comment je le "donne" à l'api? Pour info, l'api est en python donc. C'est une appli Flask et le serveur est gunicorn. J'ai réussi à mettre le https pour les test en local, en ajoutant ssl_context = 'adhoc': def main(): app.run(host='0.0.0.0', ssl_context='adhoc') Mais une fois livré dans docker ça ne fonctionne plus: time out. Je suis un peu perdu.

Bon j'ai ma réponse pour interdire l'accès extérieur à certains sites, je vais simplement y mettre un fichier .htaccess avec un truc du genre: Order Deny,Allow Deny from all Allow from 192.168.1.1/24 Pour mon second problème, l'accès en HTTPS, c'est toujours pas ça. Je viens de rajouter le sous domaine site1.web.mondomaine.fr à la liste des autres noms de mon certificat mais lorsque j'accède au site le navigateur me dit que la connexion n'est pas privée. Et que le certificat semble ne pas être bon car il vient provient du domaine mondomaine.fr Je sèche... 🤨

Bonjour à vous! J'utilise Web Station pour héberger 2 sites et je suis un peu paumé. Je n'utilise pas les Virtual Hosts (c'est peut être un tort, mais je ne comprends pas bien à quoi ça sert). J'ai 2 dossiers (site1, site2) dans le répertoire "web" qui correspondent à mes 2 sites et j'accède à celui que je veux avec des urls du genre: https://web.mondomaine.fr/site1 https://web.mondomaine.fr/site2 J'utilise le reverse proxy. Mon problème c'est que je souhaite que l'un des deux sites ne soit accessible que sur mon réseau local, est-ce possible? Aujourd'hui j'ai un fichier .htaccess à la racine du dossier web avec ce contenu: RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} J'ai trouvé ça sur un tuto et j'avoue que je ne sais plus à quoi ça sert. 😳 Mon autre question: Les sites sont accessibles en HTTP mais je ne souhaite autoriser que le HTTPS. Voici la conf du reverse proxy: Une idée? Merci!

Merci c'est plus clair comme ça! Ça roule maintenant.

Bonjour à tous. J'essaye de configurer le reverse proxy chez un ami après l'avoir fait chez moi, mais son NAS n'a pas le même comportement et je galère! (J'ai suivi le tuto du Reverse Proxy) Pour info j'ai un DS218+ et lui un DS212J, on a tous les deux un domaine chez OVH. (DSM 6 tous les deux) Le problème : Son nom de domaine redirige bien vers l'IP de sa box qui elle même redirige le port 443 vers le 443 du NAS. (pareil pour le 80) Mais on tombe sur la page d'accueil de Web Station. Normal, j'ai donc ajouté le fichier .htaccess avec les 3 lignes pour la redirection: RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} Mais rien à faire, on reste sur Web Station... Comme si le .htaccess était ignoré. ☹️ J'ai créé le fichier .htaccess depuis Windows, j'ai pensé à un problème d'encodage qui le rendrait inutilisable par le NAS, sans conviction. Sur d'autre sites, j'ai lu que le reverse proxy écoutait sur les ports 5000 et 5001, ce qui m'étonne puisque ce sont les ports du DSM. Devrais-je configurer la box pour qu'elle redirige le port 443 vers le 5001? Je demande mais j'ai fait le test et je tombe sur la page de connexion du DSM. Ben ouais logique. 😑 Le reverse proxy nécessite Apache, NGinx? Peu importe? Merci de m'éclairer!

Ton tuto est très bien! 😀 Pour la partie IP Dynamique c'est vrai que ça ne parle pas de l'entrée A. Alors que justement il y a une action à faire dessus : la supprimer. Enfin, uniquement si on veut faire pointer le domaine et pas un sous-domaine. Enfin, si j'ai bien tout compris...

Ben écoute ça fonctionne. A moins que tu utilises le reverse proxy pour WebDav car là je galère. J'ai paramétré un sous domaine spécialement pour WebDav, le reverse proxy est censé le redirigé vers le port 5005 en HTTP mais lorsque je test je tombe sur l'interface DSM! Bon, c'est peut être pas l'endroit pour ce problème, faut que je fouille le forum.

Bon je l'ai fait et ça fonctionne! Merci encore.

Merci de prendre de votre temps pour me répondre. Lorsque je ne renseigne aucun sous domaine, j'ai ce message d'erreur: "Une erreur est survenue : (A record already exists)" Je pense qu'il faut supprimer l'entrée "A" dans l'onglet "Zone DNS". Surtout que cette entrée est associée à une IP qui n'ai pas la mienne... Qu'en pensez-vous?

Merci pour le tuto mais j'ai une question. Dans le cas d'une IP dynamique, dans ton exemple le DynHost est réalisé avec un sous domaine => tuto.zoneip.fr Est-ce possible de faire ça avec le domaine "normal" => zoneip.fr J'ai essayé depuis OVH mais en vain. Je demande ça parce que j'envisage ensuite d'utiliser le proxy inversé et ça va me rallonger encore les urls => exemple: video.tuto.zoneip.fr Merci!

Merci Thierry, Tu m'as permis de comprendre ce qui ne marchait pas et tu m'a donné le lien vers le tuto qui propose une solution! Nickel.