TuringFan Posté(e) le 11 mai 2020 Posté(e) le 11 mai 2020 il y a une heure, oracle7 a dit : Je t'invite à poursuivre cet échange dans le sujet "VPN server" qui est plus approprié vu la tournure de nos échanges. Tu as raison : j'ai continué ici. Il y a 23 heures, Kramlech a dit : Ça c'est normal si tu n'as pas activé Web Station : une requête vers le NAS renvoie automatiquement sur le DSM Bonjour @Kramlech, Merci pour ta réponse. Qu'est ce que webstation et comment l'utiliser ? J'ai aussi remarqué qu'avec le ndd.eu de mon routeur, en plus du port qui se met par défaut sur 5001 au lieu de 8001 le https ne se met pas et reste en http ce qui créée une erreur "bad request" dans mon navigateur. En bref en tapant monNAS.ndd.eu tout roule tout seul (https en préfixe et :5001 en suffixe) et en tapant monRT.ndd.eu rien ne tourne bien (http au lieu de https en préfixe et :5001 au lieu de 8001 en suffixe). Merci d'avance, 0 Citer
Kramlech Posté(e) le 12 mai 2020 Posté(e) le 12 mai 2020 Web Station est le serveur web que l'on peut installer depuis le centre de paquet, et qui permet d'héberger son propre site web ... 0 Citer
TuringFan Posté(e) le 12 mai 2020 Posté(e) le 12 mai 2020 Il y a 6 heures, Kramlech a dit : Web Station est le serveur web que l'on peut installer depuis le centre de paquet, et qui permet d'héberger son propre site web ... Merci, du coup pour que monRT.ndd.tld pointe vers https://192.168.x.y:8001 je dois installer webstation et ensuite comment dois-je le paramétrer ? Merci d'avance @Kramlech 0 Citer
Kramlech Posté(e) le 12 mai 2020 Posté(e) le 12 mai 2020 Mais pourquoi tu veux installer Web Station ? Je n'ai pas suivi le sujet depuis le début, et je ne comprend pas comment on est arrivé là en partant des certificats Lets Encrypt. Là je n'ai fait que répondre à une question précise... Et la solution pour que "monRT.ndd.tld pointe vers https://192.168.x.y:8001", c'est d'utiliser le Reverse Proxy. Et si le Reverse Proxy ne marche pas, ce serait peut être intéressant que tu ouvres un nouveau sujet en explicitant clairement ton besoin, la configuration mise en place et le problème rencontré. 0 Citer
TuringFan Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 Le 12/05/2020 à 23:41, Kramlech a dit : Mais pourquoi tu veux installer Web Station ? Je n'ai pas suivi le sujet depuis le début, et je ne comprend pas comment on est arrivé là en partant des certificats Lets Encrypt. Là je n'ai fait que répondre à une question précise... Et la solution pour que "monRT.ndd.tld pointe vers https://192.168.x.y:8001", c'est d'utiliser le Reverse Proxy. Et si le Reverse Proxy ne marche pas, ce serait peut être intéressant que tu ouvres un nouveau sujet en explicitant clairement ton besoin, la configuration mise en place et le problème rencontré. Merci @Kramlechpour ton retour, tu as raison je vais peut-être ouvrir un sujet dédié après avoir ergardé le tuto sur le reverse proxy. J'ai une autre question bien dans le sujet cette-fois-ci. J'ai suivi les indications trouvé sur le forum pour obtenir un certificat LE pour ndd.tld et deux SAN pour monNAS.ndd.tld et monRT.ndd.tld : problème mon navigateur indique bien monNAS.ndd.tld comme sécurisé et monRT.ndd.tld comme non sécurisé ! Aurais tu une idée de ce qui cloche ? 0 Citer
Kramlech Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 Le certificat doit être installé sur le serveur qui répond à la requête du navigateur. Il te faut donc un certificat pour ton NAS installé sur le NAS et un certificat pour ton RT installé sur ton RT ... 0 Citer
oracle7 Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 @TuringFan Pour compléter ce que t'a dit @Kramlech, je dirais que tu peux installer le même certificat LE sur le NAS et le RT. Attention toutefois, sur le RT on ne peux mettre qu'un seul certificat donc sauvegarde avant (pour le cas où) celui qui est présent. SInon, je t'invite à créé un certificat wilcard "*.ndd.tld" chez SSL For Free ça simplifie la vie ... Fait en moins de cinq minutes ... Regardes le Tuto c'est facile. Cordialement oracle7😉 0 Citer
TuringFan Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 Merci @Kramlech et @oracle7, certificat LE dupliqué sur RT et ça marche. Petite question théorique, bien que cela soit d'un intérêt pratique limité, si on souhaitait mettre un certificat sur monMACHINBOX.ndd.tld comment l'installer sur la machin Box ? 0 Citer
oracle7 Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 @TuringFan Là il faut que tu soit plus explicite pour comprendre et répondre à ta demande : c'est quoi comme périphérique ton "monMACHINBOX" ????? Avec ma petite connaissance, à part un NAS ou un Routeur, d'une je vois pas et de deux je suis pas compétent pour te répondre sur ce coup là, désolé. Cordialement oracle7😉 0 Citer
TuringFan Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 Je parle d'une Livebox, mais c'est franchement pour le sport ... 0 Citer
oracle7 Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 (modifié) @TuringFan Rien vu dans la LB qui permette ce genre de chose. En plus ta LB est en DMZ quel en serait alors l'intérêt ? Drôle d'idée que tu as là 🤭 Cordialement oracle7😉 Modifié le 17 mai 2020 par oracle7 0 Citer
Kramlech Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 Je ne pense pas que ce soit une bonne idée d'ouvrier une box vers l'extérieur. Si tu veux faire quand même accéder à ta box depuis l'extérieur, je te suggère d'entrer sur ton réseau interne via un VPN ... puis tu accèdes à ta box depuis ton réseau interne ... 0 Citer
TuringFan Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 il y a 44 minutes, oracle7 a dit : @TuringFan Rien vu dans la LB qui permette ce genre de chose. En plus ta LB est en DMZ quel en serait alors l'intérêt ? Drôle d'idée que tu as là 🤭 Cordialement oracle7😉 Pas un gros intérêt puisque la livebox est accessible avec une IP relativement simple, c'est vraiment "juste pour savoir" car je ne maitrise pas du tout le concept de Certificat. je pensais que c'était un domaine qui était certifié par un tier et du cop je ne comprends pas trop pourquoi on doit avoir un appareil sur chaque machine (NAS + RT) et pourquoi un certificat "général" ne suffirait pas ? Pas contre pas compris ton point sur le DMZ, oui mon RT est en DMZ de ma livebox mais je souhaite parfois accéder la page d'administration de ma Livebox quand même. 0 Citer
TuringFan Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 il y a 13 minutes, Kramlech a dit : Je ne pense pas que ce soit une bonne idée d'ouvrier une box vers l'extérieur. Si tu veux faire quand même accéder à ta box depuis l'extérieur, je te suggère d'entrer sur ton réseau interne via un VPN ... puis tu accèdes à ta box depuis ton réseau interne ... C'est exactement comme cela que j'ai configuré mon accès pour le moment (en plus du fait que l'appli orange permette un accès a distance sans vraiment pouvoir le bloquer j'ai l'impression). Mon idée était donc de savoir si après avoir attribué un monAPPAREIL.ndd.tdl dans mon DNS et sur OVH je pouvais attribuer des certificats pour chacun de mes appareils (dont la Livebox) car autant je vois bien comment générer un certificat su le NAS puis le dupliquer sur le RT autant je n'ai aucune idée sur la possibilité de mettre un certificat sur d'autres appareils (Livebox, box domototique, tv, etc.). Preneur d'explications car je ne maîtrise pas ces concepts de certificats et je ne vois pas bien si cela se réfère à un domaine, un appareil ou les deux ? 0 Citer
oracle7 Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 (modifié) @TuringFan Un certificat s'applique à un domaine uniquement. Comme son nom l'indique il est "une preuve" que tu maîtrises le domaine concerné, il est en quelque sorte, l’équivalent d’une carte d’identité numérique. Il est délivré par une autorité de certification au près de la quelle tu auras fournis une clé publique (liée à ta clé privée) qui permet d'authentifier explicitement ton domaine et donc son propriétaire. Ainsi, par la suite avec ce certificat, les navigateurs te reconnaitront de façon transparente, et tu pourras mettre en place une connexion HTTPS de confiance, ce devient aujourd'hui la norme pour naviguer sur les sites WEB sécurisés. Le certificat ainsi installé, permet notamment aux navigateurs de contrôler l’intégrité des données transmises. Il est ainsi impossible pour un pirate de substituer un message pendant son acheminement. Je voudrais pas trop m'avancer, mais je crois que l'on peut assimiler et ce par abus de langage, le NAS et/ou le Routeur à un site WEB par le fait qu'ils hébergent entre autres un serveur DNS mais pas seulement. D'où la nécessité de leur installer un certificat (idem sur ton smartphone/iphone et tout périphérique par le biais du quel tu établis une connexion de type HTTPS pour naviguer de façon sécurisée). En ce qui concerne la LB, là je suis plus "sec". Je ne pense pas qu'elle soit "assimilable" à un site WEB, pour moi ce n'est qu'un simple modem/routeur qui véhicule et retransmet des données elles mêmes déjà "sécurisées" de par le protocole de transport utilisé. Voilà une explication simpliste qui vaut ce qu'elle vaut, et qui n'engage que moi ... Mais si tu veux aller plus loin dans cette connaissance des certificats, je t'invite à fouiller la toile .... Cordialement oracle7😉 Modifié le 18 mai 2020 par oracle7 0 Citer
Kramlech Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 il y a 17 minutes, oracle7 a dit : Ainsi, par la suite avec ce certificat, les navigateurs te reconnaitront de façon transparente, et tu pourras mettre en place une connexion HTTPS de confiance, ce devient aujourd'hui la norme pour naviguer sur les sites WEB sécurisés. Le certificat ainsi installé, permet notamment aux navigateurs de contrôler l’intégrité des données transmises. Il est ainsi impossible pour un pirate de substituer un message pendant son acheminement. Pour plus de précision, je dirais que : Il n'est pas nécessaire d'avoir un certificat pour qu'un navigateur accède à un serveur web en https... Simplement, le navigateur te signalera qu'il ne peut pas te garantir que le serveur web qui répond à une requête passée au serveur toto.fr est bien le serveur "officiel" qui gère le domaine toto.fr. Mais ton navigateur te proposera d’accéder quand même au site, sous ta responsabilité. Ceci expliqué, on voit qu'il n'y a pas de rapport entre le chiffrage des données qui transitent et le certificat de sécurité. Ce n'est absolument pas le certificat qui permet de contrôler l'intégrité des données transmises. En conclusion : Le HTTPS est un protocole que permet de chiffrer les données qui transitent entre chez toi et le serveur web auquel tu t'adresses. Cela évite de faire transiter tes mots de passe en clair par exemple. Le HTTPS est un protocole qui n'est absolument pas lié au principe des certificats. Les certificats permettent simplement de t'assurer que le serveur qui te répond est bien celui qui est en charge du domaine auquel tu t'adresses. il y a 40 minutes, oracle7 a dit : Je voudrais pas trop m'avancer, mais je crois que l'on peut assimiler et ce par abus de langage, le NAS et/ou le Routeur à un site WEB par le fait qu'ils hébergent entre autres un serveur DNS Absolument aucun rapport entre un site web et un serveur DNS. Tu peux très bien héberger un site web sur ton NAS sans avoir de serveur DNS sur ce NAS. Il faut arrêter de dire qu'héberger son propre serveur DNS sera la solution à tous ses problèmes. Pour moi un serveur DNS n'a vraiment une utilité que si ton routeur ne gère pas le loopback. Si tu ne maitrises pas un minimum la gestion des réseaux, cela risque de t'apporter plus de problèmes que d'avantages (je pourrais éventuellement développer ce point). il y a 46 minutes, oracle7 a dit : En ce qui concerne la LB, là je suis plus "sec". Je ne pense pas qu'elle soit "assimilable" à un site WEB La non plus je ne suis pas d'accord. Soit il y a un serveur web d'installé, et c'est un "site web", soit il n'y a pas de serveur web et ce n'est pas un site web !!!! Si tu accèdes à ta box via un navigateur en utilisant une URL, c'est qu'il y a un serveur web dans ta box. Et dans ce cas, c'est au niveau de ce serveur web qu'il faudrait installer le certificat. Et ça ne semble pas possible (tu peux éventuellement te renseigner sur des forums spécialisés sur les livebox...) 0 Citer
oracle7 Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 @Kramlech Bonjour, Merci beaucoup pour ces précisions qui viennent fort à propos compléter et/ou corriger mon information sur certains points. Comme quoi les échanges ont du bon ... Cordialement oracle7😉 0 Citer
Kramlech Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 Ben oui, le forum est fait pour ça... Etant retraité depuis le début du mois, j'ai enfin un peu de temps pour être plus actif sur le forum .... et partager tout ce que d'autres ont pu m'apporter. 0 Citer
Pascalou59 Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 Il y a 3 heures, Kramlech a dit : Etant retraité depuis le début du mois Etre mis a la retraite en plein confinement , c'est pas de bol , le tout c'est d'y arriver 0 Citer
TuringFan Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 @oracle7 et @Kramlech Merci pour vos explications, c'est un peu plus clair pour moi maintenant. Si je comprends bien, dans mon cas c'est la fonctionnalité de serveur web de mon RT et de mon NAS qui demandent d'avoir un certifcat. Il y a 13 heures, oracle7 a dit : idem sur ton smartphone/iphone Pas certain de comprendre, si mon smartphone est un simple client, il n'a pas à posséder de certificat mais juste lire celui de mon serveur non ? 0 Citer
oracle7 Posté(e) le 19 mai 2020 Posté(e) le 19 mai 2020 @TuringFan Bonjour, Il y a 9 heures, TuringFan a dit : Pas certain de comprendre, si mon smartphone est un simple client, il n'a pas à posséder de certificat mais juste lire celui de mon serveur non ? C'est exactement la même chose que tu utilises un PC/Mac client ou ou un Smartphone/iPhone, sans certificat installé sur ces clients lorsque tu te connectes en HTTPS via un navigateur en saisissant une URL liée à ton domaine, automatiquement tu récupères une alerte de sécurité (qui reste cependant non bloquante car tu peux passer outre en acceptant les risques inhérents). Fais le test tu verras ... Cordialement oracle7😉 0 Citer
Kramlech Posté(e) le 19 mai 2020 Posté(e) le 19 mai 2020 Il y a 1 heure, oracle7 a dit : sans certificat installé sur ces clients lorsque tu te connectes en HTTPS, .... automatiquement tu récupères une alerte de sécurité Non, ce n'est pas tout a fait cela ... Tout certificat est émis et certifié par un tiers de confiance (dans notre cas, en général Lets Encrypt). Par défaut les navigateurs sont installés avec les clés publiques de ces tiers de confiance, ce qui permet aux navigateurs de contrôler la validité des certificats que lui présentent les sites consultés. Donc non, par défaut, il n'y a rien a installer sur les clients (navigateurs)... Par contre, si ton certificat n'est pas émis par un tiers de confiance (c'est la cas des certificats autosignés que tu peux créer toi même), ou si le certificat ne correspond pas au domaine (dans le cas ou tu laisses le certificat par défaut de Synology alors que tu utilises ton propre nom de domaine), tu as la possibilité de demander à ton navigateur d'enregistrer ce certificat pour qu'il ne t'envoie plus d’alertes par la suite ... 0 Citer
oracle7 Posté(e) le 19 mai 2020 Posté(e) le 19 mai 2020 @Kramlech Bonjour, Merci de ton complément de réponse. Du coup, je comprends mais c'est pourtant ce que j'ai fait (installé mon certificat wilcard LE), notamment pour mon smartphone et de fait, je n'ai plus de messages d'alerte de sécurité. C'est pas bon alors ? Cordialement oracle7😉 0 Citer
Kramlech Posté(e) le 19 mai 2020 Posté(e) le 19 mai 2020 Quand je dis que par défaut, il n'y a rien a installer sur le client, c'est qu'en fait le navigateur enregistre lui même ce dont il a besoin. Il suffit d'aller dans les paramètres du son navigateur (par exemple pour Firefox, dans Option, Vie privée et sécurité, certificat) pour voir que tous (ou presque) les serveurs auxquels tu as accédé en HTTPS sont référencés ... Mais tu peux aussi importer tes propres certificats ... Le problème si tu importes des certificats non reconnus, c'est que seul la navigateur dans lequel les certificats sont importés ne génèrera pas d'alertes. Si tu accèdes au même site avec un autre navigateur, tu auras des alertes. Si tu prends la peine de générer des certificats, autant s'assurer qu'ils soient valides pour tout le monde. Sinon pas besoin de certificat : quand tu accèdes à ton site, tu dis à ton navigateur qu'il s'agit d'un site de confiance, et tu n'aura plus d'alertes. Maintenant, je ne suis pas un vrai spécialiste du sujet. Ce que j'en dit, c'est issu de mes observations. Je pense que si un vrai spécialiste de ces problématiques de certificat passait par là, il apporterait sans doute bien des compléments très intéressant !!! <Mode aide mémoire ON> Creuser et comprendre plus profondément ces problèmes de certificats <Mode aide mémoire off> 0 Citer
TuringFan Posté(e) le 19 mai 2020 Posté(e) le 19 mai 2020 Il y a 8 heures, Kramlech a dit : Par contre, si ton certificat n'est pas émis par un tiers de confiance (c'est la cas des certificats autosignés que tu peux créer toi même), ou si le certificat ne correspond pas au domaine (dans le cas ou tu laisses le certificat par défaut de Synology alors que tu utilises ton propre nom de domaine), tu as la possibilité de demander à ton navigateur d'enregistrer ce certificat pour qu'il ne t'envoie plus d’alertes par la suite ... Ok merci pour les explications @Kramlech et @oracle7 Je crois que le SSL VPN m'a demandé d'installer un certificat, probablement donc car j'accède au web portail avec mon ndd bien que le certificat soit de Synology ? Ce qui est étrange c'est que sur mon second client Windows, aucune installation de certifcat à faire ... Je parle de ce sujet sur le turo VPN : 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.