Problème accès https + OVH + livebox4 + DS220+

[Azu86]

Bonjour à tous

J'ai débuté récemment sur cet intéressant projet qu'est la mise en place d'un nas (usage particulier), avec un modeste DS220+ pour commencer

J'ai réalisé la configuration initiale du DSM grâce entre autre aux nombreux tutos disponibles sur le sujet, j'ai également réétudier les très bons tutos "Démarrer" et Sécuriser" sur ce forum (merci!) tout semble correct à ce niveau j'accède en externe à mon nas via http

En suivant, je souhaiterais pouvoir accéder via https (si possible sans le certificat d'origine du DSM, je voudrais donc générer et configurer avec let's encrypt)

Je bloque actuellement sur un problème d'accès externe en https, après quelques semaines d'essais et de lectures diverses je tourne en rond c'est pourquoi j'ouvre ce sujet

Impossible donc de réaliser un certificat let's encrypt, ou même simplement de me connecter en https avec le certificat d'origine installé avec DSM

Pour faire un tour rapide de mon installation :

 

Domaine OVH :

Adresse IP dynamique, DynHost configuré, DDNS sur le nas configuré également, cela semble fonctionner correctement

 

Egalement suppression de la zone DNS type A, tout le reste est d'origine OVH je n'ai pas encore "mis les mains dedans"

 

Livebox 4 :

Désactivation de la connectivité IPv6, pare-feu de la box en "Faible"

J'ai bien redirigé les ports Règles NAT_PAT

 

NAS :

Adresse IP locale statique

Port DSM http 5000 et https 5001

Pare-feu configuré selon les diverses recommandations que j'ai pu lire

Donc, impossible de me connecter en https, et lorsque j'essai de générer un certificat ssl j'ai le message suivant :

 

A noter que même lorsque je désactive le pare-feu, impossible de générer un certificat ssl, ce qui me fait dire que le problème viendrais de ma zone DNS sur OVH?

Merci pour vos réponses et pardon si mon vocabulaire n'est pas précis, j'ai l'impression que mon problème est trivial et que la solution est évidente mais la je bloque

Modifié le 10 avril 2022 par Azu86

[oracle7]

@Azu86

Bonjour,

Je te propose quelques petites corrections à ta configuration :

1 - Zone DNS chez OVH : je t'invite à créer un enregistrement de type CNAME pour un wilcard " *.ndd.fr " qui pointe vers ton domaine ndd.fr. Cela t'évitera ainsi de revenir ajouter un enregistrement CNAME pour les éventuels sous-domaines que tu pourrais créer à l'avnir pour tes besoins. Le wilcard est fait pour les couvrir tous.
Au passage dans tes copies d'écran, par sécurité il est préférable que tu masques ton domaine réel et tu en parles dans le texte de tes posts en le substituant avec "ndd.fr".

2 - Livebox :

• Règles NAT : Par sécurité on n'expose pas à l'Internet les ports 5000 et 5001 du NAS. Tu ne dois rediriger (NAT) que les ports 80 HTTP et 433 HTTPS vers le NAS et tu ouvres/autorises les ports 80, 443, 5000 et 5001 dans le pare-feu du NAS.
• Pare-feu : Tu le laisses sur moyen. C'est suffisant par contre tu "blinderas" les choses sur ton NAS.

3 - NAS :

• Pare-feu : Comme tu n'utilises certainement pas 65435 machines sur ton réseau local tu peux réduire la voilure à 255 machines (c'est bien suffisant) en modifiant la règle pour le sous-réseau 192.168.0.0/255.255.0.0 en 192.168.1.0/255.255.255.0.
  Ensuite tu modifies ta règle pour les ports 80,5000 en y ajoutant les ports 443 et 5001 (conformément au point 2 ci-avant).
• Certificat : Via DSM, saches que tu ne pourras pas générer un certificat wilcard "*.ndd.fr" pour ton domaine "ndd.fr". Pour cela, il te faut passer par d'autres méthodes telles que celles-ci (avec docker ou sans docker). Néanmoins, avec DSM tu peux définir quand même un certificat LE pour ton domaine mais saches alors que tu seras quelque part limité en sous-domaines couverts. En effet la chaine que tu saisis dans le champ "Autres noms de l'objet" pour la liste des sous-domaines (séparés par des ";") couverts par ton certificat, est limitée à 254 caractères par Synology.
• Compte : Ne pas oublier de configurer la protection et le blocage auto du compte (Sécurité > Compte)

Ensuite pour pouvoir utiliser ton nom de domaine depuis l'extérieur, il te faut configurer le Reverse Proxy du NAS. Voir le TUTO : Reverse Proxy.

Cordialement

oracle7😉

 

[MilesTEG1]

@oracle7 tu n’as pas mis le lien vers le tuto pare-feu du nas 😅 😉

 

[Azu86]

Merci pour les conseils je vais d'abord régler mon problème de certificat et ensuite voir pour le reverse proxi

[oracle7]

Bonjour,

@MilesTEG1

Oups 🥴, bien vu 🤗

@Azu86

Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉

[Azu86]

Bonsoir à tous

J'ai résolu mon problème, j'ai compris un peu tardivement que Let's Encrypt nécessite précisément le port 80 du NAS (je pensais qu'il utilisait le port http paramétré, soit le 5000 dans mon cas)

Au passage le NAS est bien paramétré par défaut sur le port 5000 pour le http et 5001 pour le https, et il est impossible de les paramétrer en 80 et 443 car "utilisé par le système", soit.

Sauf que j'ai créer une règle NAT sur mon routeur pour renvoyer le 80 externe sur le 5000 du NAS, et le 443 vers le 5001 (ce qui semble être très normal, en tout cas dans tout ce que j'ai pu lire)

Donc j'ai temporairement modifié la règle NAT du port 80 pour le renvoyer vers le 80 du NAS et cela fonctionne correctement, yes!

Sauf que maintenant j'ai d'autres questions qui me viennent :

- Faut-il que je maintienne sur mon routeur cette redirection port 80 vers 80 pour les renouvellements a venir du certificat? J'imagine que oui, sauf que dans ce cas, rien ne renvoi vers le http 5000 de mon NAS?

- Egalement seconde question, connexion au NAS en https directement est ok maintenant, j'ai bien activé sur DSM la redirection automatique des requêtes http vers https, mais cela semble freeze le navigateur et ne renvoi a rien du tout, y a-t-il une explication à cela? (si je désactive l'option, la connexion en http se remet à fonctionner). Une action à faire sur la zone DNS?

Merci de vos réponse, j'avance!

 

[pluton212+]

Bonjour @Azu86

tu as fait beaucoup d'efforts pour masquer ton nom de domaine sauf sur ton premier slide où il est en gros caractères et en gras...

[Azu86]

@pluton212+Merci corrigé!

[Azu86]

Je me réponds à moi-même pour terminer le sujet que j'ai ouvert

Donc j'ai conservé la règle NAT qui renvoyait port 80 externe vers port 80 du NAS pour permettre les renouvellements du certificat, car finalement le port 5000 du NAS ne sera jamais utilisé

Ensuite, j'ai mis en place mon proxy inversé en suivant le très bon tuto de Kawamashi avec redirection web en https, donc maintenant les connexions externes sur les différentes applications se font directement sans problème en https

Reste maintenant les applications DS Mobiles qui ne se log pas (soit disant le certificat qui n'est pas fiable alors qu'ils fonctionne tout à fait sur un navigateur) mais c'est un autre sujet donc je ne vais pas polluer et continuer mes recherches sur le forum

Merci

Modifié le 15 avril 2022 par Azu86