[RÉSOLU]Je n'ai presque plus de cheveux a cause de Let's encrypt

[ewfzapp]

Bonsoir tout le monde,

sous cette formule se pose un vrai problème. Je vous l'expose:

J'ai suivi plusieurs tuto pour installer Bitwarden (ou plutôt Vaultwarden) sur mon nas DS716+ via Docker. L'installe se passe nickel. J'ai un nom de sous-domaine que j'ai redirigé vers mon nas---> là aussi nickel. J'ai ouvert & redirigé les ports ideoines vers mon nas --> toujours nickel.

Je dis nickel car lorsque je tape l'adresse de mon sous domaine dans un navigateur je tombe sur la page d'accueil de Vaultwarden, elle même, vous l'aurez compris hébergée sur mon nas.

Sauf que pour fonctionner, Vaultwarden nécessite un certificat Let's encrypt, et c'est là que le bas blesse.... J'ai essayé des dizaines de fois de créer un certif depuis le nas, et j'ai un message d'erreur "Veuillez vérifier que votre adresse IP, les règles de proxy inversé et les paramètres du pare-feu sont correctement configurés, puis réessayer."

Les ports doivent êtres  bons puisque j'arrive sur la page d'accueil de Vaultwarden, quand au pare feu il est désactivé....

 

Je suis perdu...

Quelqu'un a t il une idée?

Merci d'avance a ceux et celles que ce topic inspirera...

Bonne soirée

Modifié le 14 avril 2023 par ewfzapp

[.Shad.]

Il y a 12 heures, ewfzapp a dit :

"Veuillez vérifier que votre adresse IP, les règles de proxy inversé et les paramètres du pare-feu sont correctement configurés, puis réessayer."

Quand as-tu ce message exactement ?
Est-ce que le domaine est un domaine Synology ? ou un que tu as acheté ?

[MilesTEG1]

Il y a 15 heures, ewfzapp a dit :

J'ai essayé des dizaines de fois de créer un certif depuis le nas, et j'ai un message d'erreur "Veuillez vérifier que votre adresse IP, les règles de proxy inversé et les paramètres du pare-feu sont correctement configurés, puis réessayer."

 

Pour moi les ports 80 et 443 ne sont pas ouverts au monde entier (minus Chine et autres pays craignos) dans le routeur et dans les pare-feu du nas et d’un éventuel routeur.

je ne connais pas les adresses iP dès serveurs de Let’s Encrypt… C’est pour ça qu’il faut ouvrir ces ports sur pleins de zones géographiques.

Attention si tu utilises un nom de domaine autre que synology, tu ne pourras pas générer de certificat wildcard.

Mais si c’est un nom de domaine synology pas de soucis: tu as du consulter mon tuto sur forum-nas . Si c’est pas le cas je t’invite à aller le lire.

[ewfzapp]

bonsoir les amis, merci pour vos retours.

En effet c'est un nom de domaine que j'ai acheté.

Lorsque j'essaye de créer un nom de domaine synology, il me dit " vous ne pouvez fournir qu'un seul nom d'hôte pour chaque fournisseur ddns", car en effet j'utilise déja celui de syno pour accéder a mon nas....

@.Shad:

j'ai ce message apres trois quatre minutes de moulinage quand j'ai demandé et remplie l'interface pour obtenir le certificat Let's encrypt

 

[.Shad.]

Donc ton problème c'est l'obtention du certificat, je n'étais pas sûr d'avoir bien compris.

Si c'est un domaine acheté, alors le seul moyen de renouveler son certificat est de renseigner le domaine, le mail et les sous-domaines lors de la demande de création :

domaine : ndd.tld
mail : toto@ndd.tld
alias : vaultwarden.ndd.tld, nextcloud.ndd.tld, etc...

L'obtention du certificat nécessite que les ports 80 et 443 de ton NAS soient ouverts au monde entier lors du renouvellement, et que ces deux ports soient correctement redirigés depuis ta box vers ton NAS.

Avec un domaine Synology c'est différent, tu peux demander un certificat wildcard, comprendre joker, qui est valable pour tous les sous-domaines possibles : *.xxx.synology.me, ça ressemblera à ça :

domaine : xxx.synology.me
mail : toto@gmail.com
alias : *.xxx.synology.me

Pour ce type de certificat, la vérification par LE se fait au niveau de la zone DNS, donc celle de Synology sur un site distant, tu n'as donc par conséquent pas besoin d'ouvrir le port 80, et tu peux réduire la surface d'exposition du port 443.

A savoir que nativement sur DSM, tu ne peux pas obtenir de certificat wildcard pour un ndd autre que Synology, mais tu peux utiliser le tutoriel suivant pour y parvenir :

A ta place, dans un premier temps, j'essaierais déjà d'obtenir un certificat wildcard pour ton domaine Synology, et l'associer à ton entrée de proxy inversé pour Vaultwarden. Tu auras déjà quelque chose de fonctionnel.

Après tu pourras prendre le temps qu'il faut pour déployer la méthode qui te convient le plus.

Modifié le 6 avril 2023 par .Shad.

[ewfzapp]

Bonsoir.

Merci pour ton retour.

Je ne suis pas sûr d'avoir tout compris, mais je regarde ça demain a tête reposée.

En tout cas merci.

"A ta place, dans un premier temps, j'essaierais déjà d'obtenir un certificat wildcard pour ton domaine Synology, et l'associer à ton entrée de proxy inversé pour Vaultwarden. Tu auras déjà quelque chose de fonctionnel."

 

cela veut-il dire que je ne pourrais plus utiliser mon adresse Synology pour accéder à mon nas tel qu'actuellement?

[.Shad.]

Heu non c'est bien le but d'utiliser le ndd Synology pour accéder à ton réseau. Tu peux faire des impressions d'écran de ton onglet Certificats, des associations de certificats avec les applications et de tes entrées de proxy inversé ?

[ewfzapp]

Oui oui bien sûr.

Je le ferai demain, je rentre juste de weekend....

[ewfzapp]

Hello les amis,

 

voici les captures, j'espere que cela aidera.

 

[.Shad.]

Tu utilises un nom de domaine en .org et tu n'as aucun certificat correspondant dans ton NAS.
Donc normal que tu aies un avertissement.

Plusieurs solutions :

- La plus simple : Utiliser le NDD Synology, demander un wildcard plutôt qu'un certificat avec domaines nominatifs, tu seras moins embêté par la suite si tu ajoutes une nouvelle application dans ton proxy inversé. Voir mon message plus haut pour la procédure à suivre.

- Garder ton nom de domaine, il te faut dans ce cas-là t'assurer que le port 80 est ouvert sur ton NAS et redirigé depuis ta box, et tu suis la même procédure que pour le certificat LE pour ton domaine Synology, sauf que c'est pour ton ndd.org. Dans ce cas-ci, pas de wildcard, tu dois spécifier les sous-domaines pour lesquels tu souhaites que ton certificat soit valide. Si tu as besoin d'un autre sous-domaine, tu devras renouveler ton certificat en ajoutant à la liste des alias existants le sous-domaine désiré.

- La plus complète : Mettre en place ACME via le tutoriel proposé plus haut pour obtenir un certificat wildcard pour ton ndd.org

Dernière chose, quand tu auras un certificat qui couvre le nom d'hôte que tu vas utiliser pour ton instance de Vaultwarden via proxy inversé, il faudra associer cette entrée de proxy inversé au certificat, via le bouton Paramètres dans l'écran de gestion des certificats :

Modifié le 12 avril 2023 par .Shad.

[ewfzapp]

Il y a 4 heures, .Shad. a dit :

Tu utilises un nom de domaine en .org et tu n'as aucun certificat correspondant dans ton NAS.
Donc normal que tu aies un avertissement.

Plusieurs solutions :

- La plus simple : Utiliser le NDD Synology, demander un wildcard plutôt qu'un certificat avec domaines nominatifs, tu seras moins embêté par la suite si tu ajoutes une nouvelle application dans ton proxy inversé. Voir mon message plus haut pour la procédure à suivre.

- Garder ton nom de domaine, il te faut dans ce cas-là t'assurer que le port 80 est ouvert sur ton NAS et redirigé depuis ta box, et tu suis la même procédure que pour le certificat LE pour ton domaine Synology, sauf que c'est pour ton ndd.org. Dans ce cas-ci, pas de wildcard, tu dois spécifier les sous-domaines pour lesquels tu souhaites que ton certificat soit valide. Si tu as besoin d'un autre sous-domaine, tu devras renouveler ton certificat en ajoutant à la liste des alias existants le sous-domaine désiré.

- La plus complète : Mettre en place ACME via le tutoriel proposé plus haut pour obtenir un certificat wildcard pour ton ndd.org

Dernière chose, quand tu auras un certificat qui couvre le nom d'hôte que tu vas utiliser pour ton instance de Vaultwarden via proxy inversé, il faudra associer cette entrée de proxy inversé au certificat, via le bouton Paramètres dans l'écran de gestion des certificats :

Merci .Shad..

je vais relire ton post plusieures fois.

J'avoue ne pas tout comprendre.

je me concentre la dessus et je reviens vers toi.

En tout cas: merci pour ta precieuse aide.

[ewfzapp]

Bon, j'ai rien pigé....

Rien ne fonctionne.

Chui deg'

[ewfzapp]

Hello,

je viens de tester ce tuto qui me paraissait simple pourtant. Et ben rien a faire, ca ne marche pas....

 

Tuto vaultwarden

[.Shad.]

@ewfzapp J'ai rien pigé rien ne fonctionne c'est un peu vague. Ca coince où ? Qu'est-ce que tu ne comprends pas ?

[MilesTEG1]

Il y a 12 heures, ewfzapp a dit :

Hello,

je viens de tester ce tuto qui me paraissait simple pourtant. Et ben rien a faire, ca ne marche pas....

 

Tuto vaultwarden

Pour installer Vaultwarden, je te conseille d’aller voir mon tuto (voir lien dans ma signature (normalement)).

je rejoins @.Shad. : il faut expliciter ce qui coince et ce que tu ne comprends pas.

[ewfzapp]

bonsoir les amis,

vous avez raison. Désolé. C'est parceque j'y ai passé des heures et des heures et finalement j'ai l'impression que tout s'emmêle.

Je reprends.

Je pense que lorsque je fais le reverse proxy ça marche. Car lorsque je tape mon nom de sous domaine j'arrive bien sur mon Vaulwarden. Cela signifie que j'ai bien fais la redirection de ports dans ma freebox. Lorsque je souhaite créer un compte vaultwarden j'ai le message rouge en haut a droite de l'ecran qui m'indique que je n'ai pas de certificat.

Lorsque je demande le certificat Let's Encrypt (LE) j'ai invariablement la même réponse d'erreur décrite plus haut. 

Sauf dans un cas: quand j'ai demandé le certificat pour le domaine synology.me, ou là pas de message de LE, j'en ai conclut que ça avait marché. --> le problème c'est que n'arrive pas a comprendre comment lier synology.me a mon vaultwarden. j'ai beau taper l'adresse "xxxx.synology.me:port" ca marche pas.

J'ai donc tenté le tuto décrit dans mon dernier message, qui s'est parfaitement déroulé, mais qui se termine avec le rectangle rouge sur mon écran.

J'avoue ce sont là des questions de noob, mais je n'aime pas rester sur un echec, et surtout j'ai besoin de vaultwarden car mon abonnement Dashlane se termine très bientôt.

Je vais de ce pas regarder le tuto de MilesTEG1, que je remercie au passage... ainsi que .Shad. pour leur patience et leur persévérence...

[ewfzapp]

Hello, c'est encore moi...

je viens de tenter l'install de portainer (pour pouvoir lancer le tuto de MilesTEG1... 

Vous allez rire, il s'installe bien, mais rien sur l'adresse de mon syno avec le port 9000.

J'ai attendu, vérifié qu"il était bien installé (commande "docker ps -a") tout était ok.

Je l'ai desinstallé: docker stop <Container_ID> docker rm <Container_ID>

Puis réinstallé, mais là message d'erreur.

Ça doit être un sacré binz dans mon syno....

[MilesTEG1]

Si j'étais toi, je désinstallerais le paquet Docker déjà.
Ensuite tu le réinstalles sur un autre volume, de préférence sur SSD 😉 
Et retente les manips.
Car normalement il n'y a pas de problème.
Tu passes bien par la ligne de commande en SSH pour installer Portainer ?

Modifié le 13 avril 2023 par MilesTEG1

[ewfzapp]

Oui, oui en ssh....

J'ignorais qu'il fut possible d'installer sur un ssd externe....

Coup de bole j'ai un ssd qui traine

je regarde ça.

Merci les amis.

 

Du coup faut l'installer en ligne de commande pour aller sur le ssd?

[.Shad.]

il y a une heure, ewfzapp a dit :

le problème c'est que n'arrive pas a comprendre comment lier synology.me a mon vaultwarden.

Voir mon impression d'écran et mes explications dans mon message de 21h21 hier.

il y a 56 minutes, MilesTEG1 a dit :

Ensuite tu le réinstalles sur un autre volume, de préférence sur SSD 😉

Ce serait bien de créer un autre sujet non ?

[ewfzapp]

.Shad. excuses moi, comment l'installer sur un ssd.

Je viens de connecter mon ssd a mon nas. Je l'ai formatté.

Mais quand tu installes docker depuis le centre de paquet, tu n'as pas le choix de l'emplacement? (sauf si j'ai pas compris....)

[.Shad.]

Cette suggestion n'avait rien à faire là. On n'installe pas des paquets sur un SSD externe, ni sur un HDD d'ailleurs. Il parlait d'un volume de SSD. C'est une discussion complètement différente qui n'a rien à faire ici. Si tu m'envoies un lien TeamViewer par MP je veux bien regarder. La discussion tourne en rond ici.

Modifié le 13 avril 2023 par .Shad.

[ewfzapp]

Oui tu as raison, en effet c'est un sujet different.

 

[ewfzapp]

Bon les amis, je reviens au sujet principal, car les choses ont bougé.

En effet, j'ai désinstallé et réinstallé Docker.

J'ai suivi un nouveau tuto (celui-ci) excusez moi de ne pas suivre les votres, mais ils sont trop compliqué pour moi.

J'ai fait tout exactement comme il dit. Ma premiere tentative de création de certificat LE s'est soldée par un message me demandant d'ouvrir le port 80 sur ma box et sur le syno. Je l'ai fait: c'est ok, j'ai obtenu le certificat!! ooouuuuf!

j'obtiens ceci:

celui qui est en bleu est le bon! j'ai donc cliqué sur paramètres et associé mon sous-domaine (colonne de gauche) a mon sous domaine (colonne de droite)... pensant bien faire.

Du coup lorsque je vais dans chrome sur l'adresse de mon sous domaine (après avoir redirigé dans ma box le port 443 vers le port https de mon container, j'obtiens une page ou il est ecrit ceci:

Ce site ne peut pas fournir de connexion sécurisée

vaultwardensamere.zapto.org a envoyé une réponse incorrecte.

ERR_SSL_PROTOCOL_ERROR

 

Bon, on avance, je pense que c'est un probleme mineur qui persiste...

Avez vous une idée?

 

[ewfzapp]

Je remarque, que chaque fois que je tape mon adresse dns (celle en .org) ca m'ajoute automatiquement à la fin :5001

et meme si j'efface cela ca ne marche pas.