Certificat Let's Encrypt

[Superpa]

Bonjour à tous,

Mon NAS est parfaitement opérationnel dans le réseau local de mon bureau (partage de fichiers, contact, calendrier). Aucune redirection sur la box, et le pare feu du NAS bloque tout (cf tuto @Fenrir sécuriser…son nas). Pour l'instant j'accède à DSM uniquement en local.

Aujourd'hui j'aimerais pouvoir :
accéder aux données stockées sur le NAS à distance ;
synchroniser les calendriers et les contacts avec nos smartphones (Android).

J'ai essayé de me faire aider par un "pro" il m'a proposé d'activé quick connect…super. Comme jusque ici je me suis débrouillé (avec l'aide du forum et de ses membres) je me dis que pourrais y arriver. Dans les faits, je bloque rapidement et ce dès la création du certificat, j'ai un sous-domaine que je dirige vers le NAS, après avoir essayé plusieurs choses, ouvert le port 80, ça ne fonctionne pas. J'ai le sentiment que c'est un peu la base ce certificat avant de tenter le VPN et ouvrir les accès sur les ports associés aux applis calendrier et contact.

En vous remerciant d'avance pour votre aide.

[Fenrir]

Regarde ici (juste la partie certificats) : https://www.nas-forum.com/forum/topic/55206-tuto-dns-server/?do=findComment&comment=1319320379

[Mic13710]

il y a 16 minutes, Fenrir a dit :

Regarde ici (juste la partie certificats)

Salut Fenrir. Ca fait plaisir de te voir revenir de temps en temps sur le forum.

Malheureusement, mon tuto ne vaut plus grand chose : tous mes liens ont sauté il y a quelques jours car l'hébergeur a cessé ses activités. Il faut que je le reprenne complètement et je n'ai guère le temps en ce moment.

[Superpa]

Merci pour vos retours.

Bon y a pas les images mais y a de quoi lire déjà ! je vais me pencher la dessu.

Concernant le serveur dns qui est le sujet initial du tuto je dois comprendre que c'est indispensable dans mon cas?🤔

[Mic13710]

Il y a 14 heures, Superpa a dit :

Bon y a pas les images mais y a de quoi lire déjà ! je vais me pencher la dessu.

Voila, j'ai remis toutes les images. J'ai pu finalement les récupérer à partir de mes sauvegardes.

[Superpa]

Génial ! Merci beaucoup

[EniD]

Bonjour n'ayant pas une ip fixe tout ce que je veux c'est accèder au nas depuis l'extérieur mais surtout bénéficier de certificats j'ai acheté un nom de domaine mais mes essais sont infructueux et j'avoue ne pas comprendre le tuto :/

[El_Murphy]

Bonjour EniD ,

Pour faire un certificat il faut d'abord que votre domaine redirige bien vers votre adresse ip.

Vous n'avez pas d'ip fixe donc l'enregistrement de type "A" dans votre zone dns n'est pas adapté a votre situation.

Il vous faut créer un DDNS (DynHOST chez OVH) , le nas possède cette fonction dans : Panneau de Configuration => Accès Externe => DDNS

Le NAS s'occupera de communiquer votre IP a votre provider pour rediriger votre domaine dessus.

Chez quel provider avez vous pris votre domaine ?

[EniD]

il y a 25 minutes, El_Murphy a dit :

Bonjour EniD ,

Pour faire un certificat il faut d'abord que votre domaine redirige bien vers votre adresse ip.

Vous n'avez pas d'ip fixe donc l'enregistrement de type "A" dans votre zone dns n'est pas adapté a votre situation.

Il vous faut créer un DDNS (DynHOST chez OVH) , le nas possède cette fonction dans : Panneau de Configuration => Accès Externe => DDNS 

Le NAS s'occupera de communiquer votre IP a votre provider pour rediriger votre domaine dessus.

Chez quel provider avez vous pris votre domaine ?

Wow quelle réponse rapide chez infomaniak ils ne fournissent pas de ddns par contre synology le fait gratuitement non ?
Je suis très déçu du support d'infomaniak qui me dit de contacter synology qui eux me renvoient vers infomaniak je tourne en rond je suis très content de vous lire car je sens que la situation va évoluer !

Modifié le 2 novembre 2018 par EniD
ajout d'info

[El_Murphy]

Oui , vous pouvez utiliser le service gratuit de Synology.

Vous aurez une adresse type xxxx.synology.me

[EniD]

Oui c'est fait du coup j'ai créé chez infomaniak un CNAME xxxx.synology.me

[El_Murphy]

Donc maintenant vous transférez les ports tcp 80 (http) et 443 (https) de votre box internet sur l'ip local de votre NAS.

Et vous ouvrez les ports 80 , 443 et 5001 dans le par-feu du NAS.

Maintenant vous pouvez faire la procédure de certificats Let's Encrypt dans : Panneau de Configuration => Sécurité => Certificats = Ajouter

Ensuite il faut dire au NAS quelle url est associé a DSM , ça se passe dans Panneau de Configuration => Réseau => Paramètres de DSM => Tout en bas la case "Ajouter un domaine personnalisé"

[EniD]

Tout en tcp les ports ?

[El_Murphy]

Oui , en TCP.

[EniD]

il y a 27 minutes, El_Murphy a dit :

Oui , en TCP.

bon je vais customiser car j'ai tout mis en "all" mais ça ne fonctionne toujours pas (nom de domaine non valide)
Ajouter domaine personnalisé : j'ai mis xxxx.nomdomaine.eu
Les trois champs lets encrypt :
le premier nomdomain.eu
le second admin@nomdomaine.eu
le troisième : nomdomaine.eu
ça me retourne nom de domaine non valide 😕
 

Modifié le 2 novembre 2018 par EniD
confidentialité

[El_Murphy]

Essayez de faire un certificat avec votre DDNS en xxxx.synology.me

Si vous y arrivez c'est que le problème vient du domaine infomaniak.

 

Edit : il n'y a pas besoin de mettre votre nom de domaine 2 fois , la 3eme case sert pour les sous domaine que vous avez éventuellement fait (cname).

exemple:

Modifié le 2 novembre 2018 par El_Murphy

[EniD]

il y a 31 minutes, El_Murphy a dit :

Essayez de faire un certificat avec votre DDNS en xxxx.synology.me

Si vous y arrivez c'est que le problème vient du domaine infomaniak.

En essayant des choses j'ai aussi redirigé le port 5001 vers l'ip locale de mon nas et maintenant je peux accéder à mon nas via xxxxx.nomdomaine.eu.
Quand je supprime la règle je n'y accède plus.
Via xxxx.synology.me lets encrypt me donne un certificat.
On est d'accord que nom du nas dans mon image ce n'est pas important (derriere le noir c'est .nomdomaine.eu) ?

 

En fait non on ne s'en fout pas lorsque dans le champs de lets encrypt j'ai mis nomdunas.nomdomaine.eu j'ai obtenu le certificat ... je suppose que je dois mettre ça aussi dans les settings dsm ?
Et une fois créé dans dsm je dois faire comment pour ne plus avoir l'alerte sécurité ?

Modifié le 2 novembre 2018 par EniD

[El_Murphy]

Et bien si vous avez fait un CNAME nomdunas.nomdomaine.eu qui pointe sur votre DDNS synology.me alors oui il faut le mettre dans les settings dsm.

Je ne vois pas votre capture d'écran.

[EniD]

il y a 1 minute, El_Murphy a dit :

Et bien si vous avez fait un CNAME nomdunas.nomdomaine.eu qui pointe sur votre DDNS synology.me alors oui il faut le mettre dans les settings dsm.

Je ne vois pas votre capture d'écran.

Corrigé vous devriez le voir maintenant certificat créé dans l'interface certificat je l'ai mis en défault mais ça reste "site non sécurisé"

[El_Murphy]

Vous avez tapez https://nomdunas.nomdomaine.eu dans votre navigateur ?

Quel est le message d'erreur ?

[EniD]

il y a 19 minutes, El_Murphy a dit :

Et bien si vous avez fait un CNAME nomdunas.nomdomaine.eu qui pointe sur votre DDNS synology.me alors oui il faut le mettre dans les settings dsm.

Je ne vois pas votre capture d'écran.

Et bien j'ai dû comme lors de la conversion vers https faire une exception dans firefox via un autre browser j'ai ceci : 
Je reprécise que j'ai mis le cname complet comme nom de domaine au certificat et cname complet comme nom de domaine dans les settings dsm domaine personnalisé

Modifié le 2 novembre 2018 par EniD

[El_Murphy]

Si vous cliquez sur "Détails" dans la page d'erreur vous devriez voir le certificat de la page.

Il se peut que ce soit encore le certificat de synology.com , pour être sur je vous conseillerais de le suprimer.

[EniD]

il y a 1 minute, El_Murphy a dit :

Si vous cliquez sur "Détails" dans la page d'erreur vous devriez voir le certificat de la page.

Il se peut que ce soit encore le certificat de synology.com , pour être sur je vous conseillerais de le suprimer.

 

J'ai supprimé le certificat synology je redémarre le nas

Dans détails je vois que ça : edge est peut-être pas précis ?

 

Tout marche à la perfection ! c'est super !
J'imagine qu'il faut sécuriser tout ça ?

[El_Murphy]

SI vous pouvez , essayez aussi avec le navigateur de votre téléphone en 3g/4g.
J'utilise Firefox , et quand j'ai une erreur de certificat je clique sur détails et il affiche le nom du certificat actuel de la page ce qui est très utile.

[EniD]

il y a 7 minutes, El_Murphy a dit :

SI vous pouvez , essayez aussi avec le navigateur de votre téléphone en 3g/4g.
J'utilise Firefox , et quand j'ai une erreur de certificat je clique sur détails et il affiche le nom du certificat actuel de la page ce qui est très utile.

fonctionne aussi sans erreur en 4g sur le smart

Merci BEAUCOUP Le Murphy !
QUestion subsidiaire j'ai ouvert une porte conséquente sur le modem comme sur le firewall du syno est-ce moins dangereux que quickconnect ?

Modifié le 2 novembre 2018 par EniD