[RESOLU]ouverture des ports pour let's Encrypt

[eidern]

Bonjour, 

J'ai une question qui me bloque au sujet de l'ouverture des ports 80 et 443 pour le NAS.

Je cherche a renouveler mon certificat de Let's encrypt qui va expirer d'ici quelques jours et lorsque j'essaie de le mettre a jour en faisant :

Securite/certifiact/renouveler le certificat, je tombe sur l'erreur suivante :

"Echec de la connexion a let’s encrypt. assurez vous que le port 80 est ouvert sur le diskstation et le routeur pour la validation de domaine de Let’s Encrypt depuis internet."

Je précise que pour l'operation je désactive le pare-feu du NAS, histoire d'avoir moins de blocages, mais malgré cela ça bloque toujours.

Le mode routeur du NAS n'est pas activé, et n'a jamais été configuré et que le quickConnect n'est pas activé non plus.

Et sur ma livebox onglet NAT/PAT j'ai bien

(application)Web Server (HTTP)/

port interne 80/

port externe 80/

Protocole TCP & UDP

/(vers IP du:)Diskstation

(application)Secure Web Server (HTTPS)/

port interne 443/

port externe 443/

Protocole TCP & UDP

/(vers IP du:)Diskstation

 

Du coup j'aimerai bien un gros coup de pouce pour m'aiguiller ou ça coince, merci 😛

 

Modifié le 26 juin 2019 par eidern

[Varx]

Salut @eidern,

A la lecture de ton post, tu sembles faire ce qu'il faut pour que le renouvellement de ton certificat puisse fonctionner.

Essai d'activer le pare-feu de ton NAS et d'y intégrer la règle d'ouverture du port 80 avec protocole "TOUS", destination "TOUS" et action "Autoriser". Enregistre attends 5 min et retente le renouvellement du certificat.

Une fois fait tu peux simplement désactiver la règle précédemment créée.

[dd5992]

Tu peux vérifier également que le pare-feu de ton NAS ne filtre pas les connexions entrantes sur le port 80 pour les IP des serveurs de Let's Encrypt (les IP de Let's Encrypt sont 64.78.149.164 et 66.133.109.36).

[Mic13710]

Et pour compléter le message de @dd5992, plutôt que de se prendre la tête à ouvrir le port 80 tous les 2 mois avec les manipulations et les risques d'oubli que cela implique, il est infiniment plus simple de laisser le port ouvert en permanence et de ne laisser passer dans le parefeu que les deux IP LE citées.

Pour info, le message d'ouverture du port 80 apparait aussi si l'un ou plusieurs des ndd pour lequel on souhaite valider un certificat n'est (ne sont) pas ou plus valide(s). Dans ce cas, LE ne valide pas le certificat et le Syno retourne l'erreur de port.

[eidern]

Tout d'abord merci pour vos réponses,
mais je nage toujours.

A savoir que le certificat est pour un de mes ndd, qui est toujours valide, je viens de verifier, d'ailleurs je passe par lui pour acceder a mon notestation en externe sur mon tel (et ca marche encore).

Mais pour renouveler son certificat, j'ai des soucis..

J'avais préalable désactivé le pare feu pensant naivement que cela allait me faciliter la tache pour la maj. Mais ça n'est pas le cas.

 

Alors j'ai rajouté comme demandé les IP de let's encrypt, et depuis j'obtiens au renouvelement du certificat

"Echec de l'operation, reconnectez vous a DSM et rééssayez". Evidemment j'ai redemarré le NAS, meme probleme.

Edit:
apres 10mn, j'ai maintenant le meme message qu'avant "Echec a la connection a Let's Encrypt.."

Donc je me dis que j'ai mal du rentrer la config, la voici :

 

(on est bien d'accord, le "refuser" à la fin toutes les communications de tous les ports n'empeche pas les precédentes exceptions de communiquer)

 

Modifié le 26 juin 2019 par eidern

[Varx]

Tu peux simplement adapter ta règle au port 80 sur les IP de Let's Encrypt (squiz le 443). Veille à ne pas avoir une autre règle en amont qui bloquerait ce même port.

il y a 54 minutes, eidern a dit :

(on est bien d'accord, le "refuser" à la fin toutes les communications de tous les ports n'empeche pas les precédentes exceptions de communiquer)

C'est bien ça.

@eidern dans ce post le problème venait de l'ouverture du port 80 sur le NAS...

 

Modifié le 26 juin 2019 par Varx

[eidern]

Bon et bien je ne vois vraiment pas 😔

Je n'ai ouvert que le 80 (plus le 443) maintenant pour les IP de let's encrypt, et c'est pareil.. Impossible de renouveler le certificat.

D'ailleurs ca ne vient pas du pare feu, car quand je le desactive du NAS j'ai la meme reponse..

Le dds que j'appelle est toujours valide, vu que je me sers de lui pour synchroniser notestation.

Mais quand le certificat aura expiré ca ne synchronisera plus .. Je ne vois vraiment pas d'ou ça peut venir

[Mic13710]

Le ndd du certificat est-il seul ou bien accompagné d'autres ndd du genre audio.ndd, video.ndd, get.ndd

[eidern]

ah, effectivement la vous tenez quelquechose, 

J'ai des ndd qui ne repondent pas, quand bien mem ils font parti du meme ndd principal..

Bon maintenant il faut que j'aille voir pourquoi ca ne repond plus 😕

[eidern]

mouais, en fait tous mes sous domaines sont ok (genre audio.ndd, note.ndd) mais le principal www.ndd, celui la n'est pas accessible..

Je suis en train de me casser les dents avec mon reverse proxy je pense..

[Mic13710]

www c'est du côté du serveur web qu'il faut chercher.

Si un seul des domaines n'est pas valide, le certificat ne peut pas être créé car LE vérifie le domaine principal et chaque domaine lié dans le SAN.

[eidern]

Et bien voilà, probleme résolu :

allez comprendre pourquoi le www ne redirigeait plus vers le nas (alors que les autres sous domaines oui).

Je ne comprends pas comment il a arreté une redirection sans action de ma part (alors que pour faire le premier certificat, il devait etre accessible, sinon je n'aurai pas pu valider le certificat Let's Encrypt)

Bref, merci encore tout le monde 🙂

Modifié le 26 juin 2019 par eidern

[GB Informatics]

Bonjour,

J'ai du renouveler mon certificat let's encrypt sur mon NAS synology, depuis que cela est fait, je n'arrive plus à me connecter à distance. J'ai enlevé tous les pare-feu mais rien ne change. J'ai du créer une règle NAT/PAT sur ma livebox avec le port en question pour que ca refonctionne. Avant j'avais juste les ports 80 et 443 d'ouverts.

Je viens d'essayer sur plusieurs moteurs de recherches. Sur Firefox (de mon mac) ca fonctionne mais pas sur les autres..

Avez-vous une idée à communiquer pour solutionner le problème ?