_DR64_ Posté(e) le 12 juillet 2021 Posté(e) le 12 juillet 2021 il y a 12 minutes, Fab221 a dit : Par contre, la ligne 10.0 et celle en-dessous en 172.16 c'est pour une connexion via VPN non ? Il me semble avoir vu ça sur le tuto dédié. Oui, en général. Mais tu peux les laisser ça ne risque rien on va dire sauf si tu es un psychopathe 😄 0 Citer
Fab221 Posté(e) le 12 juillet 2021 Posté(e) le 12 juillet 2021 (modifié) il y a 3 minutes, GrOoT64 a dit : sauf si tu es un psychopathe 😄 @GrOoT64Cela dépend des jours 👿 😂 Mais bon je vais les ajouter tout de même ^^ Modifié le 12 juillet 2021 par Fab221 0 Citer
_DR64_ Posté(e) le 12 juillet 2021 Posté(e) le 12 juillet 2021 De toute façon, là tu commences, mais à un moment ou un autre, tu va mettre en place un VPN je suis sûr 😄 0 Citer
Fab221 Posté(e) le 12 juillet 2021 Posté(e) le 12 juillet 2021 (modifié) Oui probablement mais avant je voudrais que la base fonctionne correctement et lorsque je lis le tuto d' @oracle7 bahh je me dis que c'est pas gagné du tout 😂 Bon, je viens de virer les DNS indiqués sur l'interface OVH pour ne laisser que lendd.com A IP Publique www.lendd.com A IP Publique *.lendd.com CNAME lendd.com Résultat à minuit 🙄 Modifié le 12 juillet 2021 par Fab221 0 Citer
oracle7 Posté(e) le 12 juillet 2021 Posté(e) le 12 juillet 2021 @Fab221 Bonjour, il y a 41 minutes, Fab221 a dit : www.lendd.com A IP Publique Cette ligne est à supprimer, elle est redondante de " *.lendd.com CNAME lendd.com " Au fait, ton @IP publique est fixe ou dynamique ? Si et seulement si elle est dynamique alors la ligne " lendd.com A IP Publique " est à supprimer aussi et dans ce cas il faut que tu ais définit chez OVH un DynHost avec ton domaine "lendd.com" qui pointe sur ton @IP publique. En plus dans DSM il te faudra aussi configurer le DDNS pour que ton NAS transmette automatiquement à OVH ta nouvelle @IP externe publique lorsqu'il (ton NAS) verra que celle-ci à changé. il y a 49 minutes, Fab221 a dit : je viens de virer les DNS indiqués sur l'interface OVH Qu'est-ce que tu entends par les "DNS indiqués" ? J'espère que tu sais ce que tu fait au niveau de la zone DNS chez OVH sinon je crains que tu ne t'exposes à des déconvenues. Maintenant ce que j'en dis ... Cordialement oracle7😉 0 Citer
Fab221 Posté(e) le 12 juillet 2021 Posté(e) le 12 juillet 2021 il y a 5 minutes, oracle7 a dit : Cette ligne est à supprimer, elle est redondante de " *.lendd.com CNAME lendd.com " Au fait, ton @IP publique est fixe ou dynamique ? Qu'est-ce que tu entends par les "DNS indiqués" ? @oracle7 oui je suis en IP fixe 🙂 Par contre, concernant le www.lendd.com A IP publique, je me posais justement la question... A savoir que le certificat actuel est pour www.lendd.com et non pour ndd.com... Je pense que cela peut poser problème et qu'il faut que je redemande un certificat pour ndd.com à la place. Concernant les DNS chez OVH je n'avais laissé que les NS qui pointent sur leurs serveur 🙂 et à présent j'ai en plus: lendd.com A IP Publique *.lendd.com CNAME lendd.com Car si je ne dis pas de bêtises, il me semble que le www est considéré comme un sous domaine. Je vais essayer de suite de supprimer le certificat sur le NAS pour le remplacer par un ndd.com 0 Citer
oracle7 Posté(e) le 12 juillet 2021 Posté(e) le 12 juillet 2021 (modifié) @Fab221 Bonjour, il y a 53 minutes, Fab221 a dit : il faut que je redemande un certificat pour ndd.com à la place. OUI absolument et n'oublies le wilcard *.ndd.com avec. il y a 53 minutes, Fab221 a dit : www est considéré comme un sous domaine. OUI il y a 53 minutes, Fab221 a dit : Je vais essayer de suite de supprimer le certificat sur le NAS pour le remplacer par un ndd.com Tu crées carrément un nouveau certificat LE. Regardes et suis mon TUTO en étant très méthodique et attentif. Cordialement oracle7😉 Modifié le 12 juillet 2021 par oracle7 0 Citer
Fab221 Posté(e) le 12 juillet 2021 Posté(e) le 12 juillet 2021 (modifié) Il y a 3 heures, oracle7 a dit : @Fab221 Bonjour, OUI absolument et n'oublies le wilcard *.ndd.com avec. OUI Tu crées carrément un nouveau certificat LE. Regardes et suis mon TUTO en étant très méthodique et attentif. Cordialement oracle7😉 @oracle7 Je viens de supprimer l'ancien certificat pour www.lendd.com et d'en créer un pour ndd.com, concernant le wilcard, je pense que j'ai fais une boulette... j'ai laissé faire let's encrypt qui m'a tout seul comme un grand généré un truc du genre Emis pour: lendd.com Emis par: R3 Pour: FTPS, Réception des journaux, synology drive server, vpn server, lelienpourlenas.lendd.com, lelienpourphotos.lendd.com, surveillancestation - leporthttps, synologyphotos - leporthttps, paramètres système par défaut, Je viens de faire un test depuis une autre bécane branchée sur un deuxième abo fibre et si je vais sur lelienpourphotos.lendd.com avec Firefox j'ai un message qui me dit ça: Les sites web justifient leur identité par des certificats. Firefox ne fait pas confiance à ce site, car il utilise un certificat qui n’est pas valide pour lelienpourphotos.lendd.com. Le certificat n’est valide que pour lendd.com. Code d’erreur : SSL_ERROR_BAD_CERT_DOMAIN Si je vais sur whatsmydns.net et que je regarde pour lelienpourphotos.lendd.com il pointe bien sur mon IP publique... 🤢 Concernant ton tuto, oui je suis passé dessus mais il faut reconnaitre que pour un néophyte… C'est pas évident du tout 🙂 Edit je viens de tester un truc... le tout en passant par l'autre bécane qui n'est pas sur le même réseau Si je fais lelienpourphotos.lendd.com j'ai le message indiqué au dessus concernant un souci avec le certificat Si je fais lendd.com/lelienpourphotos c'est OK ça passe ! Donc naivement je teste... lelienversdsm.lendd.com j'ai le message indiqué au dessus concernant un souci avec le certificat lendd.com/lelienversdsm j'ai une 404 😅 Edit2 Tout semble OK (😊), et cette fois les URL passent "dans le bon sens" c'est à dire: lelienpourphotos.lendd.com lelienversdsm.lendd.com lelienversdrive.lendd.com lelienverssurveillance etc, etc... Par contre, si je tape http://lendd.com cela ne me redirige pas vers htpps://lendd.com peut-être que c'est normal ? voilà le .htaccess indiqué RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] L'une de mes boulettes venait de la génération du certificat let's encrypt !! En effet il ne faut pas le laisser tout gérer mais ajouter manuellement dans "autre nom de l'objet" les sous domaines souhaités; puis aller ensuite sur le certificat dans "paramètres" puis "avancé" et sélectionnez votre nouveau certificat pour vos sous domaines. Et comme tout est OK avec le domaine j'ai aussi réussi à configurer ma Yubikey qui semble pour le moment ne fonctionne que pour l'interface DSM et non pour surveillance, photos ou autres.. Bon, maintenant... @GrOoT64 avait raison, je vais essayer de comprendre comment mettre en place un VPN ^^ Merci à tous pour votre aide précieuse !!! A suivre 🙂 Modifié le 12 juillet 2021 par Fab221 ajout 0 Citer
_DR64_ Posté(e) le 13 juillet 2021 Posté(e) le 13 juillet 2021 Il y a 8 heures, Fab221 a dit : Bon, maintenant... @GrOoT64 avait raison, je vais essayer de comprendre comment mettre en place un VPN ^^ 😆 0 Citer
oracle7 Posté(e) le 13 juillet 2021 Posté(e) le 13 juillet 2021 @Fab221 Bonjour, Eh c'est très bien si ce la marche, tu y est arrivé c'est le principal ! 😀 Il y a 13 heures, Fab221 a dit : En effet il ne faut pas le laisser tout gérer mais ajouter manuellement dans "autre nom de l'objet" les sous domaines souhaités J'attire ton attention sur le fait qu'en créant le certificat LE via DSM, tu ne pourras pas ajouter autant de "sous-domaines" dans "Autre noms de l'objet" que tu le souhaites. En effet, Synology limite la longueur de la chaine en question à 255 caractères. De plus avec cette méthode, Synology n'autorise pas la création de wilcard qui solutionnerai ce problème de limitation. C'est pour cela que je t'avais invité à passer par mon TUTO pour s'affranchir de cela. Mais si cela te suffit comme çà, alors continues ainsi. Cordialement oracle7😉 0 Citer
Fab221 Posté(e) le 13 juillet 2021 Posté(e) le 13 juillet 2021 Bonjour @oracle7 Il y a 3 heures, oracle7 a dit : J'attire ton attention sur le fait qu'en créant le certificat LE via DSM, tu ne pourras pas ajouter autant de "sous-domaines" dans "Autre noms de l'objet" que tu le souhaites. Oui j'avais déjà lu ça en effet 🙂 Il y a 3 heures, oracle7 a dit : C'est pour cela que je t'avais invité à passer par mon TUTO pour s'affranchir de cela. Comme indiqué plus haut, il faut déjà maitriser un minimum Putty et pour le moment j'en suis à apt-get update 🙃 Mais je suis persuadé que je vais essayer tout de même d'y passer un peu de temps en plus pour essayer de comprendre cela. 0 Citer
_DR64_ Posté(e) le 7 août 2021 Posté(e) le 7 août 2021 (modifié) Bonjour à tous, Petite question du jour : Quelqu'un peut m'expliquer ça ? Merci. EDIT : J'ai installé dernièrement le paquet "TAILSCALE" qui permet de joindre mes NAS ou autre sans ouvertures de ports. Ce paquet passe par le port 443 et bloque le reverse proxy. Solution, supprimer "TAILSCALE" c'est dommage l'idée était pas mal. Modifié le 7 août 2021 par GrOoT64 Solution 0 Citer
MilesTEG1 Posté(e) le 7 août 2021 Posté(e) le 7 août 2021 Il y a 1 heure, GrOoT64 a dit : J'ai installé dernièrement le paquet "TAILSCALE" qui permet de joindre mes NAS ou autre sans ouvertures de ports. Ce paquet passe par le port 443 et bloque le reverse proxy. Solution, supprimer "TAILSCALE" c'est dommage l'idée était pas mal. Ho ! C'est très con que le paquet Tailscale monopolise le port 443... et je suppose qu'on ne peut pas l'installer autrement... faudrait voir avec Docker si tu veux le conserver... mais pa sûre que ça fonctionne... N'oublie pas de cocher la case HSTS 🙂 0 Citer
_DR64_ Posté(e) le 7 août 2021 Posté(e) le 7 août 2021 J'ai abandonné l'idée de Tailscale je vais faire autrement. Pour le HSTS, il faut que je coche la case pour toutes redirections ? elle n'est cochée nulle part Le 20/02/2018 à 09:11, Kawamashi a dit : Il faut activer le HTTP/2. Par contre, je déconseille le HSTS (c'est le navigateur qui enregistre cette information et il ne laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé). 0 Citer
MilesTEG1 Posté(e) le 7 août 2021 Posté(e) le 7 août 2021 il y a 44 minutes, GrOoT64 a dit : J'ai abandonné l'idée de Tailscale je vais faire autrement. Pour le HSTS, il faut que je coche la case pour toutes redirections ? elle n'est cochée nulle part Oué en effet... mais perso j'accède via mes ndd que en HTTPS, donc jamais je ne désactiverais le HTTPS sur les ndd... À toi de voir 🙂 0 Citer
oracle7 Posté(e) le 7 août 2021 Posté(e) le 7 août 2021 @GrOoT64 Bonjour, Regardes les échanges de ce post (juste 5 pages) tu y trouveras comment installé/configuré HSTS. Une fois fait c'est complétement transparent et tu es à l'abri du "man in the middle". Cordialement oracle7😉 0 Citer
toutnickel Posté(e) le 11 août 2021 Posté(e) le 11 août 2021 Bonjour, j'ai activé le reverse proxy, il a bien fonctionné a l'essaie il y a quelques jours, puis je l'ai supprimer. Suite aux attaques j'ai modifié les ports DSM , problèmes d'attaques résolus, je viens de le remettre en fonction le reverse proxy , et là ... affichage de la page "non securisé" pourtant le "fichier.toto.synology.me" est bien présent dans le certificat port 80 et 443 redirigés ok 0 Citer
.Shad. Posté(e) le 11 août 2021 Posté(e) le 11 août 2021 (modifié) il y a 59 minutes, toutnickel a dit : Suite aux attaques j'ai modifié les ports DSM , problèmes d'attaques résolus Si tu passes par un proxy inversé, le port sur lequel DSM est exposé importe peu, car l'attaquant éventuel n'y a pas accès, il utilise toujours le même port 443. Donc je ne vois pas comment ça a pu arranger quoique ce soit. Mal lu ton message. A quoi ressemble ton entrée de proxy inversé ? Modifié le 11 août 2021 par .Shad. 0 Citer
maxou56 Posté(e) le 15 août 2021 Posté(e) le 15 août 2021 (modifié) Le 11/08/2021 à 11:24, toutnickel a dit : pourtant le "fichier.toto.synology.me" est bien présent dans le certificat Le 11/08/2021 à 11:24, toutnickel a dit : et là ... affichage de la page "non securisé" Bonsoir, Si le certificat est pour toto.synology.me alors c'est normal le certificat n'est valable que pour ce domaine (et alias par exemple toto.synology.com/fichier ), mais pas pour les différents sous domaines comme par exemple www.toto.synology.com.... Il faut soit un certificat "wildcard" qui englobe tous les sous domaines, soit créer un certificat différent par sous domaine. Modifié le 15 août 2021 par maxou56 0 Citer
toutnickel Posté(e) le 16 août 2021 Posté(e) le 16 août 2021 (modifié) Il y a 13 heures, maxou56 a dit : Bonsoir, Si le certificat est pour toto.synology.me alors c'est normal le certificat n'est valable que pour ce domaine (et alias par exemple toto.synology.com/fichier ), mais pas pour les différents sous domaines comme par exemple www.toto.synology.com.... Il faut soit un certificat "wildcard" qui englobe tous les sous domaines, soit créer un certificat différent par sous domaine. j'ai essayer avec le port 7000 et 7001 idem Modifié le 16 août 2021 par toutnickel ajout copie ecran 0 Citer
toutnickel Posté(e) le 16 août 2021 Posté(e) le 16 août 2021 @maxou56 Bonjour, le truc c'est que cela a fonctionner ... je tapais bien l'URL file.toto.synology.me et cela fonctionnais bien, mais en // j'avais un paquet d'attaques bien connue apparemment de Synology, (voir articles) https://www.cachem.fr/nas-synology-stealthworker/ donc j'ai mis de coté le reverse proxy en me disant une fois regleé mes problèmes d'attaques je le remettrai en service. j'ai une freebox Delta et j'utilises le DDNS de synology.me Comment créer un certificat Wilcard ? 0 Citer
Drayabob Posté(e) le 16 août 2021 Posté(e) le 16 août 2021 [mention=37779]maxou56[/mention] Bonjour, le truc c'est que cela a fonctionner ... je tapais bien l'URL file.toto.synology.me et cela fonctionnais bien, mais en // j'avais un paquet d'attaques bien connue apparemment de Synology, (voir articles) https://www.cachem.fr/nas-synology-stealthworker/ donc j'ai mis de coté le reverse proxy en me disant une fois regleé mes problèmes d'attaques je le remettrai en service. j'ai une freebox Delta et j'utilises le DDNS de synology.me Comment créer un certificat Wilcard ?Bonjour, Si tu as une Freebox Delta, tu peux avoir un nom de domaine attribué par free sans passer par synology.me. En .xxx. freeboxos.frPeut-être seras-tu moins attaqué (NAS) que ceux qui ont une redirection en synology.me ou.com. Mais c’est une supposition. 2ème tu peux demander à FREE d’avoir une adresse IP full stack, plus facile pour gérer les ports et en plus tu as une adresse IP fixe donc stable et pas besoin de passer par un DNS. Après la création d’un ou plusieurs certificats Let’s Encrypt devient une formalité. Amicalement Envoyé de mon iPhone en utilisant Tapatalk 0 Citer
oracle7 Posté(e) le 16 août 2021 Posté(e) le 16 août 2021 @toutnickel Bonjour, Il y a 11 heures, toutnickel a dit : Comment créer un certificat Wilcard ? Si tu as un DDNS en "toto.synology.me" alors dans DSM il te suffit de créer un certificat LE pour ce domaine et de mettre simplement dans "Autre nom de l'objet" --> "*.toto.synology.me". Ainsi le wilcard "*.toto.synology.me" couvrira tous tes domaines existants et à venir du type "xxxxx.toto.synology.me". Cordialement oracle7😉 1 Citer
toutnickel Posté(e) le 16 août 2021 Posté(e) le 16 août 2021 (modifié) @Drayabob @oracle7 @drayabob Oui je l'utilise effectivement pour la freebox et j'ai aussi l'IP fixe @oracle7 j'ai déjà un certificat qui couvre pas mal d'appli et le reverse proxy fonctionnait bien avant mes modif de port DSM, j'ai donc recréer un autre certificat avec même nom de domaine et en nom d'objet j'ai ajouter *.toto.synology.me, toto.synology.me il est bien présent dans la liste du 2ème certificats. Modifié le 17 août 2021 par toutnickel modification texte 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.