Aideà la génération d'un certificat let's encrypt

[Hesediel]

Oui, c'est de ceux de chez OVH  ( dns108.ovh.net et ns108.ovh.net) qui ont pour IP associé celle de ma Box.

j'ai également modifié la zone DNS comme tu me l'a conseillé.

[Thierry94]

Pour vérifier que ça marche, à partir du navigateur de ton téléphone en 4G (pas wifi local) tu tapes https://lou....fr et tu devrais arriver sur la page de connexion de ta box

Maintenant le problème est que les requêtes sur le 443 sont orientées vers l'administration web de ta box qui ne tient donc pas compte de ton routage vers le NAS. Je ne connais pas les box Bouygues mais y a t-il une option pour désactiver l'accès externe à l'administration de ta box pour la limiter à une utilisation interne au réseau ?

edit: je viens de trouver il y a un paramètre "accès à distance" dans les paramètres de ta box qu'il faut désactiver et après les requêtes 443 iront vers ton NAS

Modifié le 12 mars 2021 par Thierry94

[oracle7]

@Hesediel

Bonjour,

Je ne suis pas sûr que ce soit une bonne chose que tes serveur DNS chez OVH pointent sur ta box. Leur @IP normale est :

C:\Windows\system32>nslookup ns108.ovh.net 8.8.8.8
Serveur :   dns.google
Address:  8.8.8.8

Réponse ne faisant pas autorité :
Nom :    ns108.ovh.net
Addresses:  2001:41d0:1:1998::1
          213.251.128.152

C:\Windows\system32>nslookup dns108.ovh.net 8.8.8.8
Serveur :   dns.google
Address:  8.8.8.8

Réponse ne faisant pas autorité :
Nom :    dns108.ovh.net
Addresses:  2001:41d0:1:4a98::1
          213.251.188.152

Ce d'autant plus si tu n'heberges pas de serveur DNS qui te soit propre avec une zone publique sur ton NAS. Maintenant ce que j'en dis ...

Cordialement

oracle7😉

[Thierry94]

Oups je n'avais pas tilté sur sa capture d'écran ... effectivement il ne doit y avoir que l'enregistrement A qui pointe vers son adresse IP, pas les serveurs DNS d'Ovh !

Heureusement que tu as l'œil Oracle7 😉

ps. Dans ma config DNS chez OVH je n'ai aucune IP associée au serveurs DNS Ovh

Modifié le 12 mars 2021 par Thierry94

[oracle7]

@Hesediel

Bonjour,

A mon humble avis, tu peux conserver dans la zone DNS les lignes avec les serveurs DNS d'OVH, cela ne gêne en rien (à condition qu'ils pointent sur leurs bonnes @IP).

Par contre dans ta zone DNS chez OVH il te manque une ligne du type :

*.louloutes.fun. 0 CNAME louloutes.fun.

comme te l'avait préconisé déjà @Thierry94 afin de pouvoir gérer les domaines de second niveau.

Cordialement

oracle7😉

Modifié le 12 mars 2021 par oracle7

[Hesediel]

Bonjour @oracle7et @Thierry94, merci pour vos réponses.

j'ai suivi vos recommandations en modifiant les éléments de mes serveurs DNS chez OVH, il sont configuré comme à l'origine et ne pointent vers aucune adresse IP.

J'ai également désactivé l'accès à distance de ma box, et voici le résultat, je pense que la solution n'est plus très loin.

Modifié le 13 mars 2021 par Hesediel

[Hesediel]

Je viens d'essayer de créer une certificat "let's encrypt" sur mon serveur et magie j'ai enfin un vrai certificat sur mon NAS, ce que je cherchais à faire depuis une éternité et sans votre aide je n'y serai pas arrivé, je vous remercie déjà beaucoup pour votre aide à tous.

Cependant sans vouloir être gourmand si je pouvais accéder à mon serveur via mon nom de domaine ça serait le top.

 

[oracle7]

@Hesediel

Bonjour,

OK pas de soucis, alors si tu veux bien je vais te proposer de suivre la procédure ci-dessous pour essayer de mettre tout d'aplomb afin de te satisfaire.

Donc,

1. Depuis l'extérieur, dans un navigateur Web avec cache vidé (dans une fenêtre de CMD WIN tu tapes "ipconfig /flushdns") taper l'URL http://<@IP Externe>:5000 --> tu dois atteindre le NAS, est-ce le cas ?
2. As-tu, lus et appliqués les TUTO suivants :

• TUTO : Débuter avec un NAS Synology
• TUTO : Sécuriser les accès à son NAS
  Dans le cas contraire, avant toutes choses, je t'invite à les suivre. On verra après le problème de ta connexion externe.

  Si une action ci-dessous ne passe pas ou n'est pas correcte, surtout ne poursuit pas plus avant. Réfléchis et vérifies tes actions précédentes.

Citation

Box :

• DHCP actif : Attribuer un bail statique au NAS.

• NAT/PAT : Rediriger les ports 80, 443 et 5000 vers les respectivement les mêmes ports sur le NAS.

• Si une DMZ est définie, supprimer tout dans la DMZ.

• Pour la suite, on suppose de l'@IP locale de la Box est 192.168.1.1

• Rebooter la Box.

Sur le PC :

• Dans une fenêtre de CMD en mode admin taper "ipconfig /flushdns" pour vider le cache.

• Dans l'adaptateur réseau (propriétés protocole IPv4) : en DNS préféré --> forcer le DNS Serveur sur l'@IP du NAS, dans DNS auxiliaire --> mettre 80.67.169.12 ou 1.1.1.1, créer un 3ème DNS avec 192.168.1.1 (Box) pour le cas où aucun des deux serveurs DNS précédents ne répondraient pas.
  NOTA : cette configuration est à faire sur tous tes périphériques de ton réseau local (càd forcer le serveur DNS - le 1^er - à utiliser sur l'@IP du NAS).

NAS partie DSM :

• Désactiver le serveur DHCP du NAS.

• Désactiver provisoirement le pare-feu du NAS.

• Entrer dans le champ "nom d'hôte" dans DSM "Accès externe / Avancé" ton domaine "ndd.tld".

• Depuis l'extérieur, dans un navigateur Web avec cache vidé : taper l'URL http://<@IP Externe>:5000 --> tu dois atteindre le NAS.

• Accès externe :
  • On est bien d'accord que ton DDNS est défini sur ce domaine : "ndd.tld" et qu'il pointe bien vers ton @IP Externe (i.e. @IP Livebox). Je pars sur cette hypothèse pour la suite.

  • On vérifie que ton DDNS pointe bien chez toi, en passant la commande "ping ndd.tld" depuis ton PC . La réponse doit être ton @IP Externe.

  • On vérifie aussi que nslookup ndd.tld 8.8.8.8, ça doit aussi te faire tomber sur ton @IP Externe.

  • Depuis l'extérieur, dans un navigateur Web : taper l'URL http://ndd.tld:5000 --> tu dois atteindre le NAS.

• Si tout est OK alors tu peux réactiver le pare-feu du NAS et au passage ouvrir/autoriser les ports 80, 443, 5000 et 5001 dans le pare-feu du NAS. Pour les ports 5000 et 5001 je suppose qu'ils n'ont pas été modifiés dans Accès externe/Avancé et ton nom d'hôte est bien "ndd.tld".
  Tu peux aussi supprimer la redirection du port 5000 dans le NAT/PAT de la Box (ce n'est plus utile !).

• Réseau/général :
  • Vérifier que la passerelle par défaut est bien l’@IP locale de la Box 192.168.1.1 (LAN1)

  • Cocher configurer manuellement le serveur DNS préféré et saisir l'@IP du NAS, pour le serveur DNS de remplacement tu peux mettre 80.67.169.12 ou 1.1.1.1. Dans "Paramètres avancés" tu coches les 3 cases.

• Réseau/Interface réseau : pour LAN1 configurer avec DHCP automatique. Mais si tu mets en configuration manuelle, alors : @IPlocaleNAS, passerelle=@IPlocaleBox, Serveur DNS= @IPlocaleNAS, cocher Définir comme valeur par défaut.

• Réseau/Paramètres de DSM : Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy.

• Portails des applications/Applications : Pour les applications, je te conseille de renseigner les ports HTTP standards.

• Portails des applications/Reverse proxy : Définir les redirections à l'image de celle-ci : https://aliasApplication.ndd.tld:443 --> localhost:portStandardHttpApplication (ne pas oublier de cocher HTTP/2). Soit par exemple dans ton cas : https://nas.louloutes.fun + HTTP/2 coché  --> htttp://localhost:5000  pour le NAS et par exemple https://file.louloutes.fun + HTTP/2 coché  --> htttp://localhost:7000 pour FileStation (attention, c'est trompeur dans le reverse proxy certains champs sont apparemment déjà renseignés, mais il n'en est rien, il faut quand même les renseigner sinon rien n'est pris en compte !).

Seulement si tu as installé le package DNS Serveur (zone locale uniquement) tu fais ce qui suit. Cela permet d'utiliser en local des URL avec ton nom de domaine plutôt que de saisir à chaque fois une @IP pour atteindre un périphérique, ce qui est plus facile à retenir et plus simple à l'usage.

NAS Partie DNS Serveur :

• Se référer si besoin à ce TUTO : DNS Server pour la mise en place (Zone, Résolution, Vue).

• Définir les ressources telles que :
  • ns.ndd.tld A 86400 @IPduNAS

  • ndd.tld NS 86400 ns.ndd.tld

  • nas.ndd.tld A 86400 @IPduNAS ---> pour accéder directement au NAS (DSM)

  • *.ndd.tld CNAME 86400 nas.ndd.tld ---> pour accéder directement aux applications du NAS

• Définir les Redirecteurs 1 et 2 sur 80.67.169.12 et 1.1.1.1

• Pour la zone master et la vue associée limiter les IP sources tel que :
  Ajouter éventuellement le sous-réseau 10.0.0.0/255.0.0.0 si tu comptes faire du VPN.
  

Enfin Zone DNS chez OVH : tu devrais avoir une ligne du type : *.ndd.tld CNAME 86400 ndd.tld.

·        

 

Cordialement

oracle7😉

[Hesediel]

Bonjour @oracle7,

Je te remercie pour ces infos, j'ai enfin réussi à faire ce que je voulais, je peux accéder aux fonctionnalités de mon NAS via HTTPS avec le reverse proxy en place et ça fonctionne parfaitement avec une connexion internet externe sur l'ensemble de mes fichiers, je n'y serais jamais arrivé sans l'aide des membres du forum.

j'ai une dernière question à poser, si j'ai bien lu les différents tutos, il n'est plus pas possible d'arriver de la même façon à l'interface de gestion  en utilisant reverse proxy?

merci d'avance pour l'aide.

[Jeff777]

il y a 45 minutes, Hesediel a dit :

il n'est plus pas possible d'arriver de la même façon à l'interface de gestion  en utilisant reverse proxy?

Si tu veux parler du DSM. Tu fais un reverse proxy    https://dsm.ndd ==>http:// IPLOCALNAS(ou localhost):5000  et ça devrait marcher avec dsm.ndd

Modifié le 16 mars 2021 par Jeff777

[Hesediel]

Merci pour ta réponse @Jeff777, mais DSM n’apparaît dans mon portail d'application, pourtant je suis connecté sur ma session admin.

[Thierry94]

Il suffit de renseigner l'onglet du reverse proxy avec ce qu'à  indiqué  jef777

Modifié le 16 mars 2021 par Thierry94

[Jeff777]

il y a 4 minutes, Hesediel a dit :

DSM n’apparaît dans mon portail d'application

Que veux tu dire par là. Si tu mets l'adresse dsm.ndd dans ton navigateur (après avoir fait ton reverse proxy) tu devrais voir la page d'accueil du dsm:

 

[Hesediel]

C'est bon, j'y suis arrivé, vous êtes balaises 😉 .  il me reste juste à trouver pourquoi je ne suis toujours pas en connexion sécurisé, et j'aurais atteint mon but.

[Jeff777]

Ton certificat Lets encrypt il est valable aussi pour dsm.ndd ?

[Hesediel]

C'est bon ce coup-ci,

j'ai renouvelé mon certificat et comme par magie tout fonctionne parfaitement.

Mille merci à vous tous ( @oracle7, @Thierry94, @Jeff777) pour votre aide, votre patience et vos explications claires et précises. 👏👏👏.

Sujet clos.

Modifié le 17 mars 2021 par Hesediel