Comment ouvrir le port 80 sur une livebox avec un routeur rt2600 pour créer un certificat let's encrypt avec un nom de domain ovh

[mick45000]

Bonjour à tous,

Je souhaite créer un certificat let's encrypt pour avoir un accès sécurisé à mon nas sauf que cela me marque que le port 80 est fermé.

Quelle sont les configurations à faire sur la livebox  et le routeur  synology.

Merci par avance pour votre aide.

[Jeff777]

il y a 29 minutes, mick45000 a dit :

Quelle sont les configurations à faire sur la livebox  et le routeur  synology.

Bonjour,

Sur la livebox : rediriger le port 80 vers le nas (son IP locale).

Sur le nas : autoriser le port 80 sur le pare-feu juste pendant l'établissement du certificat.

[Mic13710]

il y a 16 minutes, Jeff777 a dit :

Sur la livebox : rediriger le port 80 vers le nas (son IP locale).

Euh Jeff, il y a un RT entre les deux !

@mick45000 en fouillant dans la section Tutoriels, vous devriez trouver un Tuto pour installer un routeur RT derrière une livebox

[mick45000]

il y a 21 minutes, Mic13710 a dit :

Euh Jeff, il y a un RT entre les deux !

@mick45000 en fouillant dans la section Tutoriels, vous devriez trouver un Tuto pour installer un routeur RT derrière une livebox

Oui j'ai accès à mon nas par l’extérieur avec mon nom de domaine mais  créer  un certificat  ne marche pas

[cadkey]

Il me semble qu'il n'est plus nécessaire d'ouvrir le port 80 pour let's encrypt.

[Thierry94]

Chez moi le renouvellement du certificat ne marche pas si le port 80 n'est pas ouvert 

[cadkey]

Chez moi cela fonctionne. Avant, effectivement il fallait avoir le port 80 ouvert, j'ai lu que ce n' était plus nécessaire, et cela se confirme à priori chez moi..

J'ai le certificat avec le nom de domaine Synology et sous domaines.

Modifié le 23 décembre 2023 par cadkey

[Thierry94]

Ton renouvellement passe en https par le 443 ?

[mick45000]

ça me marque cela lorsque je veux faire un certificat avec mon  nom de domaine,

Pour rappel  j'ai accès à mon nas via une livebox et un routeur RT 2600.

[Mic13710]

Si mes souvenirs sont bons, ce message apparait aussi s'il y a une erreur dans le nom de domaine.

Pour info, la création d'un certificat wildcard autre que sur un ndd Synology n'est pas possible via DSM. Il faut lister tous les noms de domaine dans la section autres noms et il faut que ces noms puissent être résolus (cad qu'ils aient une existence) dans la zone dns d'OVH.

[CMDC]

très intéressant comme fil, car chez moi, le port 80 est ouvert (translaté est un terme plus exact)  sur les box et sur les NAS le port 80 aussi mais uniquement pour les US !

Si je pouvais  fermer le port 80 (sachant que le 443 est aussi fermé ) ce serait super 

[CyberFr]

Il y a 1 heure, CMDC a dit :

Si je pouvais  fermer le port 80 (sachant que le 443 est aussi fermé ) ce serait super

Là tu m'étonnes d'autant plus que tu es expérimenté. Comment parviens-tu à te passer du transfert du port 443 vers le NAS ? Tu n'as aucun reverse-proxy qui l'utilise ?

Concernant le port 80 il est chez moi ouvert sur la box Internet mais fermé dans le pare-feu. Lorsque je dois renouveler les certificats Let's Encrypt je l'autorise provisoirement dans le pare-feu.

[Mic13710]

@CyberFr et @CMDC, moi ce qui m'étonne, c'est que vous utilisiez encore DSM pour vos certificats....

[CyberFr]

il y a 2 minutes, Mic13710 a dit :

@CyberFr et @CMDC, moi ce qui m'étonne, c'est que vous utilisiez encore DSM pour vos certificats....

Il est possible, d'après les règles de Let's Encrypt, de définir un maximum de 100 noms par certificat comme indiqué ICI. Cela me suffit amplement.

[Mic13710]

Ca je sais. Sauf que les 100 ndd ne sont pas possibles dans la cellule "Autres noms" de DSM (à moins que ça ait changé). Il faut passer en ssh pour en rajouter.

Le certificat via DSM est contraignant car il demande des ouvertures de ports temporaires ou permanentes et n'autorise pas le wildcard. Il faut lister tous les domaines et si on doit en rajouter, il faut renouveler le certificat. Contrairement à acme.sh qui n'a pas besoin de ports et permet le wildcard.

[CyberFr]

à l’instant, Mic13710 a dit :

Le certificat via DSM est contraignant car il demande des ouvertures de ports temporaires ou permanentes et n'autorise pas le wildcard. Il faut lister tous les domaines et si on doit en rajouter, il faut renouveler le certificat. Contrairement à acme.sh qui n'a pas besoin de ports et permet le wildcard.

Je suis bien d'accord mais je n'ai que sept noms à gérer et cela n'évolue pas tous les jours. À part le certificat principal ce ne sont que des CNAME que j'ajoute, je ne dois donc pas intervenir chez OVH pour modifier quoique se soit. J'ai parcouru le tuto "[TUTO] Certificat Let's Encrypt avec acme.sh & api Ovh en Docker (DSM6/7)" mais cela m'a paru lourd et disproportionné par rapport à mes modestes besoins. Tout est affaire d'équilibre. Si un jour pour une quelconque raison  je change d'avis, je reprendrai ce tuto.

[Mic13710]

Ma foi, si ça vous amuse d'ouvrir des ports tous les deux mois au risque d'oublier de le faire. Perso, je préfère ne pas avoir à m'en occuper. La méthode du tuto n'est pas aussi compliquée qu'il n'y parait. Et une fois en place, elle se fait (presque) oublier. Docker n'est pas non plus indispensable, acme.sh est utilisable sur tous les NAS., même les petits modèles J

[CyberFr]

Au moment même ou vous postiez je parcourais le tuto sur acme.sh comme quoi. Mais d'entrée, tomber sur le problème des SAVED refroidit un peu. Je poursuis ma lecture, au moins par curiosité.

[CyberFr]

Si je puis me permettre @Einsteinium a toutes les qualités du monde à l'exception d'une, la pédagogie. Quand je lis les instructions données dans le tuto par rapport à l'illustration qui suit  je suis perplexe.

Citation

On remplit donc le formulaire, pour "Validity" (1) on choisit "Unlimited", pour "Rights" (2) on remplace dans les champs "mydomain.com" par le vôtre et dans "Restricted IPs" (3), on rajoute son IP afin qu'en cas de vol des clés, elles ne puissent être exploitées et votre domaine détourné. (NB : Si vous n'avez pas une IP fixe, on passe ce dernier point)

 Je me dis que le tuto est réservé à des initiés qui parlent entre eux. Mydomain.com, je comprends mais que faut-il renseigner comme domaine et zone, le tout suivi d'un astérisque ? Mystère. D'après mon expérience un certificat porte sur un nom du type sous-domaine.mydomain.com.

Et puis c'est quoi cette ligne DELETE ?

Modifié le 24 décembre 2023 par CyberFr

[Mic13710]

@CyberFr Merci de poser les questions dans le tutos lui même. Sinon, c'est du hors sujet.

[Pascalou59]

il y a une heure, Mic13710 a dit :

Docker n'est pas non plus indispensable, acme.sh est utilisable sur tous les NAS.

Bonjour , Bonsoir

En docker  c'est mieux et plus pérenne car les mises a jour de DSM peuvent avoir une incidence

[Mic13710]

il y a 1 minute, Pascalou59 a dit :

les mises a jour de DSM peuvent avoir une incidence

Peu de chance tout de même. Il s'agit d'un script qui est dans son propre répertoire. La mise à jour se fait via une tâche programmée qui ne bouge pas non plus.

[CMDC]

Il y a 20 heures, CyberFr a dit :

Comment parviens-tu à te passer du transfert du port 443 vers le NAS ? Tu n'as aucun reverse-proxy qui l'utilise ?

Non j'ai abandonné depuis pas mal de temps (en fait depuis que je ne travaille plus, car en entreprise le proxy bridait tous les ports sauf le 443 ) j'utilise un max OpenVPN et SSH 

 

Il y a 20 heures, Mic13710 a dit :

@CMDC, moi ce qui m'étonne, c'est que vous utilisiez encore DSM pour vos certificats....

C'est simple  et, depuis mon retour sur le forum,  je n'ai pas eu encore le temps de me pencher sur le tuto . Promis je regarde l'an prochain ... 

[CMDC]

Il y a 10 heures, CMDC a dit :

Promis je regarde l'an prochain ... 

Bon, allez, j'avais 30' de temps libre et du coup je suis remonté à la genèse de acme.sh sur github . J'ai adoré .... , c'est ici https://github.com/acmesh-official/acme.sh/wiki/Synology-NAS-Guide

Bon, j'ai un peu abandonné docker et vu que mon FAI Provider est bookmyname , j'ai un peu adapté le bouzin ! !

Super, merci à tous, car j'ai du coup pu fermer le port 80 !