Renouvellement Let's Encrypt

Jules Perrelet · le 4 juillet 2020

Bonsoir,

Tout allait bien jusqu'à aujourd'hui. En effet, j'ai perdu le https et j'ai découvert que mon certificat let's encrypt pour mon nom de domaine et mes sous-domaines avait expiré (alors qu'il était censé se renouveler automatiquement). Impossible de le renouveler, j'ai le message "échec de la connexion à Let's Encrypt. Assurez vous que le nom de domaine est valide". J'ai donc bien les ports ouverts (80 et 443) sur mon routeur. J'ai donc supprimer le certificat et ai tenté d'en créer un nouveau pour mon ndd et sous-ndd. Même message d'erreur.

Quelqu'un pourrait m'aider ?

Merci d'avance !

maxou56 · le 4 juillet 2020

Le 7/4/2020 à 8:09 PM, Jules Perrelet a dit :

J'ai donc bien les ports ouverts (80 et 443) sur mon routeur.

Développer

Les ports en plus d'être routé vers le NAS, sont aussi autorisé dans le pare-feu du NAS?

Jules Perrelet · le 5 juillet 2020

Oui ! Je n'ai rien changé dans mes paramètres. Par contre j'ai une IP dynamique. Est-ce que le problème viendrait du fait qu'elle a changé ?

Edit : voici la configuration de mon pare-feu (qui était bizarrement désactivé et que j'ai donc réactivé).
Les deux autres captures sont les règles du pare-feu de mon routeur ainsi que les règles de redirection.

Modifié le 5 juillet 2020 par Jules Perrelet

pluton212+ · le 7 juillet 2020

bonjour:

tu refuses tout et ensuite tu autorises le port 80 => le port 80 est bloqué.

Mais avant tu autorises 443,80 => c'est le cirque dans tes règles FW: tu devrais lire le tuto sur la sécurisation des nas de @Fenrir

Modifié le 7 juillet 2020 par pluton212+

maxou56 · le 7 juillet 2020

Bonjour, @Jules Perrelet

Pourquoi ouvrir dans ta box les port en sortie, sauf si tu as modifier le pare-feu de cell-ci pour bloqué aussi les connexions sortantes. Les port en sortie sont toujours ouverts par défaut.

Et l'UPnP est une (très) mauvaise idée.

2nd point, dans le pare-feu du NAS le port pour le terminal "22" ouvert à tous le monde ?? Il est déjà ouvert pour le réseau local via les règles suivantes.

Ensuite tu n'es pas obligé de mettre "tous", tu peux aussi autorisé pour certain pays uniquement. (pour Let's encrypt il faut au moins les USA)

Il y a une chose que tu ne montre pas dans la capture. Les règles du pare-feu du NAS sont pour "Toutes les interfaces" ou pour une interfaces particulière.

Il n'y a pas des règles contradictoire sur les réglages pare-feu de la LAN1, LAN2 ou BOND...?

Plex est accessible par le port 443, via un reverse proxy?? Il est configuré comment sous domaine vers le port 32400 (https://plex.xxxxxndd.fr vers le port 32400) ou le port 443 vers le port 32400.

Dans le second cas tous le port 443 est transféré vers le 32400, donc plus utilisable pour d'autres services.

Modifié le 7 juillet 2020 par maxou56

goerges · le 7 juillet 2020

Salut,

Stupide question.

Tu as quand même bien assigné ta nouvelle IP à ton nom de domaine ?

Georges

maxou56 · le 7 juillet 2020

Le 7/7/2020 à 5:38 PM, goerges a dit :

Tu as quand même bien assigné ta nouvelle IP à ton nom de domaine ?

Développer

👍 Bien vu, j'avais pas vu ce "détail important"

Le 7/5/2020 à 8:53 AM, Jules Perrelet a dit :

Par contre j'ai une IP dynamique. Est-ce que le problème viendrait du fait qu'elle a changé ?

Développer

Dans le cas d'un ip dynamique, il doit être possible mette un DynDNS plutôt que l'ip pour le nom de domaine.

Modifié le 7 juillet 2020 par maxou56

Jules Perrelet · le 10 juillet 2020

Bonsoir à tout le monde,

Navré pour la réponse tardive, je suis parti quelques jours et ai laissé mon ordinateur à la maison. Merci beaucou pour vos précieuses réponses !

@pluton212+ j'ai pourtant suivi le tuto de Fenrir à la lettre. Je n'exclus par contre pas des modifications ultérieures dues à d'autres tutos, ayant servis à faire fonctionner l'accès à distance.

@maxou56 je suis un noob total, je me suis contenté de répliquer ce que j'ai trouvé ça et là sur le web pour le cas particulier de ce routeur. Je vais suivre tes recommandations et désactiver l'UPnP. Je vais enlever la règle du port 22 par contre j'ai lu que désormais il fallait laisser "tous" pour le renouvellement Let's Encrypt. Je n'ai par contre aucune idée de où je peux trouver les spécificités du pare-feu. Chez moi, il y a des règles qui s'appliquent au profil "default". Et pour terminer, Plex est accessible via un reverse-proxy (j'ai suivi un tuto ici pour le configurer). Ci-dessous une capture d'écran de la configuration

@goerges je pensais justement qu'il n'y avait plus besoin de faire de changement si on activait la prise en charge DDNS via l'accès externe ? Ci-dessous, une capture d'écran de comment j'ai paramétré la mienne

Modifié le 15 juillet 2020 par Jules Perrelet

maxou56 · le 10 juillet 2020

Le 7/10/2020 à 3:57 PM, Jules Perrelet a dit :

Je vais enlever la règle du port 22 par contre j'ai lu que désormais il fallait laisser "tous" pour le renouvellement Let's Encrypt. Je n'ai par contre aucune idée de où je peux trouver les spécificités du pare-feu.

Développer

Bonjour,

⚠️Attention il faut mieux dans tes captures, masquer les DDNS et ton IP publique.⚠️

C'est les port 80 et 443 pour le certificat, en aucun cas le 22 (SSH)

dans "panneau de configuration > sécurité > pare-feu > modifier les règles" on peu modifier le profil par défaut ou créer un nouveau qu'il faudra mettre en profil actif.

Modifié le 10 juillet 2020 par maxou56

Jules Perrelet · le 10 juillet 2020

Merci pour l'aide !

J'ai modifié selon vos commentaires :

- les ports de la box

- refait les règles du FW de mon NAS selon le tuto de Fenrir

- désactiver l'UPnP

Reste que l'accès externe au NAS est impossible, que ce soit via l'IP ou le reverse-proxy. Impossible également de renouveler le certificat.

Modifié le 15 juillet 2020 par Jules Perrelet

alan.dub · le 11 juillet 2020

Comme l’a indiqué maxou :

Masque ton nom de domaine et ton IP publique sur tes captures !

C’est un conseil... 😕

Thierry94 · le 11 juillet 2020

Dans ton Dynhost chez OVH il faut que tu mettes ndd.tld à la place de nas.ndd.tld car actuellement tu n'as que nas.ndd.tld qui reçoit une adresse ip !
Comme tu as limité les entrées à la Suisse tu fais bien tes essais de connexion depuis la Suisse ?
Dans ton firewall à la fin des règles il te manque la règle qui refuse tout ce qui n'a pas été accepté par les règles précédentes

Modifié le 11 juillet 2020 par Thierry94

Jules Perrelet · le 15 juillet 2020

Merci pour votre aide ! Et navré, je ferais attention à masquer le NDD et l'IP sur mes prochaines publications !

J'ai finalement réussi à renouveler le certificat en autorisant les connexions pour les ports 80/443 via le firewall. J'ai ensuite supprimé la règle du port 80 et laissé celle du 443 comme suit (est-ce correct ?)

Modifié le 15 juillet 2020 par Jules Perrelet

alan.dub · le 15 juillet 2020

Tu peux éditer tes anciens messages pour refaire tes captures 😉

C’est un conseil 😉

oracle7 · le 15 juillet 2020

@Jules Perrelet

Bonjour,

Le 7/15/2020 à 11:33 AM, Jules Perrelet a dit :

je ferais attention à masquer le NDD et l'IP sur mes prochaines publications !

Développer

Ok sage résolution mais il te faut aussi revenir sur chacun de tes posts précédants pour en modifier les images, sinon tes infos personnelles seront toujours visibles. C'est ballo, non ? Maintenant c'est toi qui voit ...

Cordialement

oracle7😏

Jules Perrelet · le 15 juillet 2020

Bonjour,

C'est fait, j'ai supprimé les traces 🙂

Connexion

Renouvellement Let's Encrypt

Messages recommandés

Jules Perrelet

maxou56

Jules Perrelet

pluton212+

maxou56

goerges

maxou56

Jules Perrelet

maxou56

Jules Perrelet

alan.dub

Thierry94

Jules Perrelet

alan.dub

oracle7

Jules Perrelet

Rejoindre la conversation

Qui est en ligne 4 membres, 0 anonyme, 156 invités (Afficher la liste complète)

Contributeurs populaires

Forum

Discussions

Articles

Information importante