Aller au contenu

Mettre en HTTPS un site hébergé sur mon NAS...


Stixen92

Messages recommandés

Bonjour,

Je me permets d'ouvrir un topic ici car j'ai une galère avec mon NAS.

Je possède un nom de domaine chez OVH.
On appellera ce nom de domaine : xxx.pomme75.net

Vu que ma Livebox Fibre possède une IP dynamique, j'utilise le service DynHost d'OVH pour accéder à mon NAS depuis l'extérieur.
Ainsi, l'adresse nas.pomme-75.net pointe sur mon IP.
J'ai un certificat Let's Encrypt installé sur mon nas pour l'adresse dsm.pomme75.net

J'utilise Web Station pour héberger mon site (en html simple) sur mon NAS.
Le site est placé dans le dossier "web".
L'adresse xxx.pomme75.net redirige vers le site hébergé sur mon NAS.
Cela marche bien mais en HTTP...
Le hic c'est que je veux accéder à mon site en HTTPS.

Mais vu que mon site est stocké sur mon NAS, c'est compliqué.

J'ai tenté de créer un certificat Let's Encrypt pour l'adresse xxx.pomme75.net mais sans succès. J'obtiens le message d'erreur suivant "Échec de la connexion à Let's Encrypt, assurez-vous que le nom de domaine est valide".

Ainsi, comment dois-je procéder pour accéder à mon site hébergé sur mon NAS depuis le nom de domaine OVH xxx.pomme75.net en HTTPS?

Merci d'avance pour votre aide!

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Pour obtenir un certificat SSL chez Let's Encrypt, il faut plusieurs critères valides :

  1. Un nom de domaine
  2. Un serveur DNS bien configuré
  3. Une zone DNS bien configurée

Dans ta zone DNS chez OVH, tu ne t'embête pas et tu mets en entrée CNAME *.ndd.tld avec une TL à 60.

Dans ton serveur DNS, tu mets chaque sous domaine que tu veux.

Ensuite, tu peux faire la demande de certificat en ouvrant le port 80 pour les états unis.

 

Lien vers le commentaire
Partager sur d’autres sites

Salut Yann,

En fait mon cas est un peu compliqué...

Mon IP chez Orange n'est pas fixe...

Chez OVH j'utilise déjà le DynHost pour diriger nas.pomme75.net vers l'IP dynamique de ma Livebox.

Ce que je veux faire c'est diriger pomme75.net vers mon IP Dynamique. Ensuite je n'aurai plus qu'à créer le virtual host sur Web Station.

J'ai tenté de diriger pomme75.net vers mon IP dynamique (c'est à dire, nas.pomme75.net) mais j'ai eu le droit à ce message d'erreur:

Une erreur est survenue lors de l'ajout de l'entrée à la zone DNS. (A CNAME RR for a root record is not allowed)

Pourquoi?

 

Mon serveur DNS? Lequel? Sur Synology?

Lien vers le commentaire
Partager sur d’autres sites

Je ne sais pas si je vais pouvoir t'aider car je ne connais pas bien le fonctionnement d'OVH, Synology et les IP dynamiques. Je pars du principe que mon serveur doit avoir une IP fixe sans compter que j'ai mon propre serveur mails...

Je vais cependant te montrer comment moi j'ai configuré mon compte OVH pour obtenir ce que toi tu veux. A toi de voir de ton cpoté si ça peut fonctionner ou si il faut faire autrement à cause de ce soucis d'IP dynamique.

- Sur le NAS Synology, j'ai créé dans "Panneau de configuration > Accès externe > DDNS" une entrée OVH avec comme nom d'hôte nas.ndd.tld

- Chez OVH, j'ai créé ceci :

  • DynHost : nas.ndd.tld > IP fixe
  • Dans Zone DNS, j'ai une entrée ndd.tld > IP fixe
  • Puis les entrées CNAME > ndd.tld

Voilà comment c'est configuré de mon côté. Comme je te l'ai dit, je ne connais pas bien le fonctionnement entre Synology et OVH pour les IP dynamiques.

Lien vers le commentaire
Partager sur d’autres sites

Yann,

D'accord. Moi j'ai ceci:

 

  • DynHost : dsm.pomme75.net > IP Dynamique
  • Dans Zone DNS, j'ai une entrée pomme75.net> dsm.pomme75.net

 

Du coup, pour mon site web, pomme75.net, le NAS applique automatiquement le certificat de dsm.pomme75.net au lieu du certificat de pomme75.net

Embêtant...Une solution?

 

  • Puis les entrées CNAME > ndd.tld  =>>>   A quoi cela sert au juste? Comment je m'y prends?

 

Lien vers le commentaire
Partager sur d’autres sites

Par contre, évites stp de cîter à chaque fois le message qui est/sera juste avant le tien. Ça ne sert à rien, ça alourdit la bdd du forum et surtout ça va agacer le staff :rolleyes:

 

CNAME : en gros, c'est une entrée dans notre zone DNS (ou serveur DNS) qui permet de définir un alias du nom de domaine.
 

Citation

 

Exemple avec domaine.com

Le nom de domaine principal est donc "domaine.com" sauf que je veux par exemple e connecter à Audio Station via l'adresse audio.domaine.com ou musique.domaine.com etc...

Et bien pour ça, je dois dire à la zone DNS que l'alias de mon nom de domaine sera audio.domaine.com

Sans quoi, ça ne pourra pas fonctionner.

 

 

Sur OVH, c'est très simple, tu as juste l'entrée *.domaine.com à enregistrer et il prendra donc automatiquement tous les alias que tu voudras créer sans devoir les mettre un par un.

Sur le serveur DNS de Synology, tu peux faire la même chose mais à la condition que tu créés toi même ton certificat SSL Let's Encrypt de ton côté parce que la fonction implémentée dans le NAS ne permet "pas encore" de faire un certificat dit "wildcard" et donc de prendre cette fameuse entrée *.domaine.com qui remplace tous les alias (sous domaine).

 

Actuellement, elle prend en compte des CNAME créé par nous même comme audio.domaine.com, file.domaine.com, office.domaine.com, plex.domaine.com etc...

Bref, tu as deux possibilités selon ton utilisation :

  1. Utiliser l'unique entrée CNAME *.domaine.com et créer toi même ton certificat (facile et rapide à faire) en enregistrant ces deux domaines (domaine.com et *.domaine.com).
  2. Entrer toi même chaque entrées dans le serveur DNS du Syno et les entrer aussi lors de la demande de certificat.

Lors de la demande du certificat, Let's Encrypt va interroger ton NAS mais aussi le provider du nom de domaine (OVH pour toi) et demander si les alias (sous domaine) existent bien dans la zone DNS. Si il en a manque un, alors tu auras un message d'erreur et le certificat ne se fera pas.

 

Maintenant, si tu veux mettre ça en place, tu as ces tutos :

 

Lien vers le commentaire
Partager sur d’autres sites

Merci Yann.

J'ai un peu avancé.

J'ai deux domaines (www.pomme75.net et www.poire01.fr) qui pointent vers nas.pomme75.net (IP Dynamique).

Du coup, avec virtual host sous Web Station, je peux configurer un site web, en HTTPS, pour ces deux adresses en "www".

 

Mais j'avoue que j'ai pas très bien saisi l'histoire de " Utiliser l'unique entrée CNAME *.domaine.com et créer toi même ton certificat (facile et rapide à faire) en enregistrant ces deux domaines (domaine.com et *.domaine.com). "

Sur OVH dans la zone DNS, je dirige *.pomme75.net vers mon IP Dynamique?

Puis sur mon NAS je crée que deux certificats (pomme75.net et *.pomme75.net)?

 

Merci.

Lien vers le commentaire
Partager sur d’autres sites

Autant pour moi, j'avais zappé dès le début que tu voulais pas faire du reverse proxy mais simplement du web donc passer par webstation.

Pour le certificat SSL, va voir dans la partie tuto, j'ai fait un tuto pour créer un certificat Let's Encrypt wildcard. C'est simple et ça prend même pas 5 minutes à mettre en place.

Lien vers le commentaire
Partager sur d’autres sites

Merci Yann.

J'ai suivi ton tuto et cela a marché nickel. Mais dans mon certificat, seul "*.pomme75.net" est affiché.

Par contre, je n'utilise pas le Serveur DNS sur mon NAS...

Mais possible de l'utiliser dans mon cas alors que je suis en IP Dynamique?

Concernant SSLForFree, ils préviennent une semaine à l'avance. On doit attendre ce délai pour refaire un nouveau certificat?

 

Merci.

Lien vers le commentaire
Partager sur d’autres sites

Oui tu dois attendre l'expiration du domaine.

Par contre, si tu as bien entré domaine.com et *.domaine.com là ou c'était précisé alors tu as bien le certificat pour tout le domaine et les sous domaine.

Pour t'en convaincre, il te suffit de regarder le certificat dans ton navigateur et d'aller y lire les détails. Tu verras qu'il prend bien en compte les deux liens.

Par contre, il te faut suivre le tuto de Fenrir sur DNS Server et le mettre en application. Tu n'en seras que gagnant !

Et oui si je ne me trompe pas, c'est compatible avec les ip dynamiques.

 

Lien vers le commentaire
Partager sur d’autres sites

Je vais regarder ça de plus près.

 

Par contre, truc super étrange, c'est que je peux accéder à Audio Station depuis l'extérieur sans indiquer le port. Et sans avoir configuré le proxy inversé!

Après configuration sur le portail des applications, j'ai juste à taper audio.pomme75.net et je suis dirigé sur la page de connexion d'Audio Station. Pas besoin de mettre le numéro de port!

Alors qu'en local je dois taper 192.168.X.XX:7100

Comment est-possible?

Par contre pour entrer sur DSM, je dois toujours entrer le numéro de port, que ce soit en local ou depuis l'extérieur.

 

Lien vers le commentaire
Partager sur d’autres sites

Tu dois avoir une ouverture de port automatique sans le savoir.

Vérifies ton routeur et ton pare feu sur le NAS.

Ensuite, je te recommande vivement d'appliquer le tuto de Fenrir sur la sécurité des NAS que tu trouveras dans la partie tutoriel. C'est d'ailleurs le premier tuto que j'aurai du t'indiquer...

Lien vers le commentaire
Partager sur d’autres sites

Salut Yann,

J'ai bien regardé dans le pare-feu de mon routeur et celui de mon NAS, je ne vois pas de port ouvert en lien avec mon problème...

Je ne comprends pas ce qui me permet d'accéder depuis l'extérieur aux services FileStation, VideoStation et AudioStation sans préciser le port...Vraiment anormal ça.

Lien vers le commentaire
Partager sur d’autres sites

Sauf que ndd.tld:7001 ne devrait pas fonctionner.

 

Le but du reverse proxy est aussi d'éviter d'ouvrir le port 7001 en utilisant par exemple le port 443.

Regarde si dans ton pare feu sur le NAS tu as bien une règle interdisant tout ce qui n'est pas autorisé sinon ça veut dire que ton pare feu ne sert à rien et qu'il ne filtre rien.

Encore une fois, lire le tuto de Fenrir sur la sécurité des NAS et le mettre en application.

Lien vers le commentaire
Partager sur d’autres sites

Yann,

J'ai bien suivi le tuto de Fenrir sur la partie pare-feu (et pas que) malheureusement je peux toujours accéder à audio.ndd.tld sans avoir besoin d'entrer un numéro de port.

La seule chose qui a changé c'est que je dois rentrer le https:// à la main contrairement à avant.

Je suis perdu du coup.

Pour nas.tdd.tld (Bureau DSM) je dois bien entrer le https:// et le port pourtant.

Pourquoi avec audio station est-ce différent?...

Lien vers le commentaire
Partager sur d’autres sites

Yann,

Dans l'onglet "Applications" puis "Général",  j'ai coché "Activer un domaine personnalisé" puis j'ai entré "audio.ndd.tld".

C'est ce que j'expliquais hier. Mais peut-être que je ne suis pas assez rentré dans les détails.

 

Mais même comme ça, il est censé me demander un numéro de port,non?

 

Lien vers le commentaire
Partager sur d’autres sites

Bon bah cherche pas, tu as ta réponse à pourquoi tu as ce sous domaine de fonctionnel !

Bref, j'ai l'impression que tu t'emmêles les pinceaux et que tu avances un peu à l'aveugle en tentant si ou ça...

Suis les tutos du forum et tout devrait rentrer dans l'ordre. Encore une fois, surtout celui sur la sécurité qui reste le plus important.

Lien vers le commentaire
Partager sur d’autres sites

Pourtant je te l'avais dit hier soir.  Tu es dur, je n'avance pas à l'aveuglette mais il est vrai que j'aime bidouiller! Ok, je vais regarder les tutos.

 

Ok, donc c'est normal alors que je puisse accéder à audio.ndd.tld sans utilisation du port?  Mais du coup, le proxy inversé ne sert à rien! Non?

Je peux forcer l'utilisation du port pour plus de sécurité (avec nom de domaine)?

 

 

Sinon, petite question HS, dans les paramètres de DSM je force déjà la redirection HTTP vers HTTPS. Pourtant lorsque je veux accéder à DSM , depuis l'extérieur, sur nas.ndd.tld, je dois toujours entrer à la main https:// et le port.

Est-ce normal?

Lien vers le commentaire
Partager sur d’autres sites

Je suis pas dur mais franc :rolleyes:

Et ne t'inquiète pas, on l'a été avec moi aussi car moi aussi je suis passé par là. Et si tu aimes bidouiller alors fait le sur une virtualisation ou un contenaire Docker.

Citation

Ok, donc c'est normal alors que je puisse accéder à audio.ndd.tld sans utilisation du port?

Je peux forcer l'utilisation du port pour plus de sécurité (avec nom de domaine)?

 

Je comprend pas grand chose... En même temps, je suis un peu épuisé ces derniers temps mdr.

En mettant un alias ou un domaine dans Application, forcément, tu peux ensuite entrer ton domaine comme tu l'as inscrit.

Pour le port, je ne sais pas car je n'utilise pas cette méthode.

Forcer l'utilisation du port de quoi ? Si ça fonctionne, pourquoi vouloir forcer le port ? Mes applications chez moi, fonctionne toutes sur le port 443 depuis l'extérieur hormis quelques exceptions.

Citation

Sinon, petite question HS, dans les paramètres de DSM je force déjà la redirection HTTP vers HTTPS. Pourtant lorsque je veux accéder à DSM , depuis l'extérieur, sur nas.ndd.tld, je dois toujours entrer à la main https:// et le port.

Est-ce normal?

Ce qui n'est pas normal, c'est que tu as encore de coché cette option... Tu m'as pas dit avoir suivi le tuto de Fenrir qui entre nous n'est pas une quiche à côté de nous deux réunis :lol:

 

Bref, reprend tous les tutos concernant la sécurité, puis DNS Server, puis Reverse Proxy car là, tu n'as pas l'air de les suivre correctement.

Lien vers le commentaire
Partager sur d’autres sites

Bah je trouve plus sécurisé de passer par audio.ndd.tld:8088 que de passer par audio.ndd.tld

Comme ça, même si quelqu'un trouve l'adresse, il faudra qu'il trouve quel port est le bon...

Comme pour l'accès à DSM...

 

Tu fais comment pour utiliser toutes tes applis depuis l'extérieur avec le port 443? Proxy inversé?

 

Rediriger HTTP vers HTTPS n'est pas gage de sécurité normalement?

 

Lien vers le commentaire
Partager sur d’autres sites

Et bien tu te trompes et encore une fois, tu montres que tu n'as pas lu (correctement ?) le tuto de Fenrir sur la sécurité des NAS.

Il explique pourtant bien dedans qu'il est pas utile de changer de port pour une question de sécurisation car un scan de ton IP ou ton domaine trouverait les ports ouverts tout au plus quelques dizaines de secondes plus tard.

  1. Si tu veux te protéger du monde extérieur alors tu fermes les vannes au complet et tu te limites au LAN...
  2. Si tu veux utiliser ton NAS de l'extérieur alors tu ouvres une vanne seulement en passant par un serveur VPN (tuto de Fenrir également sur le forum).
  3. Si tu veux vraiment avoir accès à  ton NAS de l'extérieur mais que tu ne veux pas utiliser de VPN pour x raisons, alors tu limites les portes d'entrées et tu passes obligatoirement par TLS/SSL.

Pour te dire, j'ai décidé après différents tests de ne pas passer par un VPN tout simplement parce que ma petite connexion ADSL ralentie un peu plus mon accès au NAS avec le VPN activé. J'ai donc décidé de m'en passer. Mais autant te dire que si j'avais la fibre, mon VPN serait activé H24 sur mes appareils accédant de l'extérieur à mon NAS.

Mais j'ai limité au maximum les ports accessibles de l'extérieur. J'ai en gros que 6 règles dans mon routeur et NAS qui autorisent des ports :

  1. Serveur DNS > (France uniquement)
  2. Serveur Mail (TLS/SSL) > (monde forcément)
  3. HTTPS (TLS/SSL) > (France uniquement)
  4. SFTP (TLS/SSL) > (France uniquement)
  5. CardDAV SSL > (France uniquement)
  6. CloudStation > (France uniquement)

A noter que toutes mes applications comme (Calendrier, Notes, File Station, Audio Station etc...) passent par l'unique port 443 (https) via le proxy inversé. Même les règles de ports pour 5000 et 5001 n'existent pas dans les pare feu du NAS et du routeur.

Alors je me répète mais va lires "correctement" et mets en application les tutos de Fenrir. En particulier celui touchant à la sécurité des NAS.

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.