Aller au contenu

Ajouter ou modifier certificat "Let's encrypt"


Messages recommandés

  • Réponses 52
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Meilleurs contributeurs dans ce sujet

Images postées

Le ‎21‎/‎10‎/‎2016 à 16:38, Fenrir a dit :

Dans ton cas, tu as juste à faire en sorte que rien d'autre n'écoute sur le port 80 le temps de la manip.

J'aurais besoin d'un petit décodage de cette phrase...

Pour la mise en place du certif je dois aussi ouvrir le port 80 et la lecture du forum me laisse penser que tous les hackers du monde m'attendent au tournant...

Lien vers le commentaire
Partager sur d’autres sites

Il ne faut pas être parano non plus (il n'y a que moi qui ait ce droit :lol:), ce n'est pas pas parce qu'un port est ouvert que tu vas te faire pirater (certains vont essayer, c'est certain).

Si la sécurité globale de ton nas est correcte (cf tuto) et que tu n'as pas d'application pleine de trous sur les ports en question (par exemple un worpress pas à jour), tu ne risque pas grand chose de plus que n'importe quel site internet.

Lien vers le commentaire
Partager sur d’autres sites

Sinon, tu peux l'ouvrir sur demande uniquement, mais c'est un peu plus pénible...

Pour la création, pas de problème, tu ouvres le port 80, tu crées le certificat, tu refermes le port.

Pour le renouvellement, ça va échouer car le port 80 sera fermé.

Dans ce cas, tu ouvres le port 80, tu forces le renouvellement avec la commande suivante :

/usr/syno/sbin/syno-letsencrypt renew-all

Et tu refermes le port 80.

Ce n'est pas super pratique, mais ça a bien fonctionné pour moi...

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Bonjour,

j'ai un Nas synology et je cherche à créer un certificat pour un sous domaine. J'ai l'impression que je ne suis pas loin d'y arriver mais j'ai beau tout essayer et toujours le même problème ! je desespère ... à l'aide :rolleyes:

Donc voilà, via le dns syno, j'ai créé un domaine : nastiti.synology.me (pour l'exemple)

j'ai créé un sous domaine via le proxy inversé : titi.nastiti.synology.me qui me renvoie vers le port 192.168.1.34 en https

Sur ma livebox, j'ai fait 2 redirections vers le syno pour le http (port 80) et https (443).

Quand je créé un certificat pour nastiti.synology.me, aucun problème ça passe.

je cherche alors a créer un certificat pour titi.nastiti.synology.me et là, patatra, toujours l'erreur 80 (je dirai presque normal car titi n'est accessible qu'en https..)

j'ai essayé dans les certificats (via sécurité/ certificat/ configurer) de joindre titi.nastiti.synology.me à nastiti.synology.me mais quand je tente d’accéder à titi.nastiti.synology.me, j'ai une erreur de certificat..

et là, je sèche .. si quelqu'un a la patience de m'aider, je suis preneur !

par avance, merci

Lien vers le commentaire
Partager sur d’autres sites

Le 15/05/2017 à 23:34, oli.oli a dit :

Sinon, tu peux l'ouvrir sur demande uniquement, mais c'est un peu plus pénible...

Pour la création, pas de problème, tu ouvres le port 80, tu crées le certificat, tu refermes le port.

Pour le renouvellement, ça va échouer car le port 80 sera fermé.

Dans ce cas, tu ouvres le port 80, tu forces le renouvellement avec la commande suivante :


/usr/syno/sbin/syno-letsencrypt renew-all

Et tu refermes le port 80.

Ce n'est pas super pratique, mais ça a bien fonctionné pour moi...

Bonjour,

Y aurait'il la possibilité de programmer une tâche permettant l'ouverture et la fermeture de ce port 80 après la mise à jour du certificats ?

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a peut-être plus simple.

Grâce à PiwiLAbruti, nous connaissons les IP utilisées par Let's Encrypt pour la création et la maj des certificats.

Il suffit de laisser le 80 ouvert dans le routeur, et créer 2 règles dans le parefeu pour laisser les adresses Let's Encrypt utiliser le http :

  • 66.133.109.36
  • 64.78.149.164

 

Lien vers le commentaire
Partager sur d’autres sites

Ce n'est pas incompatible, en passant, les ips peuvent changer, en toute rigueur il faudrait utiliser le PTR de outbound1.letsencrypt.org et outbound2.letsencrypt.org mais même comme ça, c'est sans garantie : https://community.letsencrypt.org/t/ip-addresses-of-outbound-validators-stability-over-time/11731

Les IP ont déjà changé 2 fois depuis le début du projet ...

Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Fenrir a dit :

@KSCM : sur le syno si, il faut créer un script qui ajoute une règle avec iptables puis lancer la commande de renouvellement, attendre qu'elle soit bien terminée et retirer la règle, par contre ça sous entend que la règle de transfert de port de ta box soit toujours active

Pas forcement gênant car derrière le routeur le port du syno est fermé.

Par contre je n'ai aucune idée de comment créer ce script, je vais commencer à chercher

Lien vers le commentaire
Partager sur d’autres sites

  • 5 mois après...

Bonsoir tout le monde,

Je viens de suivre deux tutoriels sur la sécurité et le VPN de Fenrir que je remercie au passage. Ça m'a grandement aidé pour la prise en main du NAS. 

Mon objectif est assez simple : partager des dossiers entre mes différents collaborateurs qu'ils soient en local au bureau ou en déplacement. Pour ce faire, j'ai créé un lecteur réseau en local et à distance via OpenVPN. Le tout fonctionne bien (même si un peu lent mais ça n'est pas le sujet). 

Mon NAS est derrière ma bbox qui dispose d'une IP fixe. J'ai  une URL pointe vers l'IP (sousdomaine.mondomaine.fr). L'url mondomaine.fr est mon site internet qui est hébergé en mutualisé chez  1and1. Ce domaine a déjà un https (via l'offre de 1and1). Le sous domaine n'en profite pas.  J'ai donc essayé de créer un certificat lets encrypt depuis mon NAS, sans succès.

J'ai toujours les mêmes messages d'erreur :

- Échec de la connexion à Lets Encrypt. Assurez-vous que le nom de domaine est valide (j'ai mis sousdomaine.domaine.fr / monemail@mondomaine.fr / Rien)
- Echec de l'opération. Reconnectez vous à DSM 
- Un dernier dont j'ai pas copié
 

malgré quelques tentatives comme celles-ci :

- Désactiver mon pare feu (NAS et Bbox) pour simplifier les tests tout en laissant le tcp, udp 1194 autorisé
- Essayer en SSH de wget google (ça mon retourne bien un connecté)
- Changer mes NAT 
et j'en passe. 
 

Voici les règles NAT de ma bbox :

La règle "HTTPS NAS" redirige le protocole TCP pour les flux Internet ayant le port 443 de la bbox vers le port 5001 du périphérique 192.168.1.100.
La règle "HTTP NAS" redirige le protocole TCP pour les flux Internet ayant le port 80 de la bbox vers le port 5000 du périphérique 192.168.1.100.
La règle "VPN NAS " redirige le protocole UDP pour les flux Internet ayant le port 1194 de la bbox vers le port 1194 du périphérique 192.168.1.100.
La règle "NAS Http" redirige le protocole TCP pour les flux Internet ayant le port 5000 de la bbox vers le port 80 du périphérique 192.168.1.100.

 

Pouvez-vous m'aider :-) merci beaucoup ! 

Lien vers le commentaire
Partager sur d’autres sites

Hello,

il y a 28 minutes, Ben337 a dit :

La règle "HTTP NAS" redirige le protocole TCP pour les flux Internet ayant le port 80 de la bbox vers le port 5000 du périphérique 192.168.1.100.

De mémoire, pour Let's Encrypt, il faut natter le port 80 de la box vers le port 80 du NAS (et non pas le port 5000).

Essaie comme ça pour voir.

Pour le renouvellement, c'est comme ça qu'il faut procéder en tout cas.

 

Lien vers le commentaire
Partager sur d’autres sites

Pour que le certificat puisse se renouveler il faut laisser

80 vers 80, 443 vers  443

Je  déconseille d'ouvrir le port 5000 (non sécurisé) sur internet

Plutôt nater 5001 vers 5001

et se connecter avec https://sousdomaine.domaine.fr :5001

Et puisque qu'un serveur VPN est installé, la meilleure solution serait de l'utiliser et dans ce cas de ne pas ouvrir le port 5001.

Lien vers le commentaire
Partager sur d’autres sites

Pour les opération concernant Let's Encrypt (création, renouvellement), il faut toujours que le port 80 du NAS soit accessible, Let's Encrypt ne sait pas travailler sur le port 443 actuellement.

Personnellement, j'ai toujours une règle de NAT "port 80 -> Port 80 du NAS" de créée que j'active uniquement quand j'en ai besoin (notamment pour le renouvellement de certificat : cf. mon post un peu plus haut dans ce fil).

Maintenant, pour ce qui est de tes règles :

L'idéal : Limiter les ports ouverts à ceux du VPN et tout faire par ce biais comme indiqué par @PPJP .

Mais si comme moi, tu ne peux pas toujours te connecter en VPN (selon les restrictions des sites sur lesquels je me trouve) et que les ports autres que ceux habituels sont bloqués, tu peux faire la chose suivante :

  1. Sur le NAS, rediriger systématiquement les connexions sur le port 5000 (en clair) vers le port 5001 (chiffré) => Panneau de Config, Réseau, Paramètres DSM, rediriger le HTTP vers HTTPS.
  2. Pour le NAT, tu laisses simplement le VPN et tu rediriges le 443 vers le 5001 du NAS.
  3. Enfin, tu bloques les tentatives de connexion qui échoue : Sécurité, onglet Comptes, et tu coches "Activer le blocage auto" et tu règles les paramètres comme tu préfères. (Perso blocage auto définitif au bout de 3 tentatives).

 

Modifié par oli.oli
Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, oli.oli a dit :

Personnellement, j'ai toujours une règle de NAT "port 80 -> Port 80 du NAS" de créée que j'active uniquement quand j'en ai besoin (notamment pour le renouvellement de certificat : cf. mon post un peu plus haut dans ce fil).

Si le port 80 ne sert qu'à ça, il est plus simple de n'autoriser que les ports Let's Encrypt dans le parefeu qu'on peut laisser ouverts en permanence. Les ports sont donnés plus haut dans ce fil.

Lien vers le commentaire
Partager sur d’autres sites

Mon usage est assez simple au final, je veux juste qu'on puisse se connecter en lecteur réseau en local et à distance donc en effet, le VPN me suffit. J'ai donc laissé uniquement 80->80 / 443->443 / 1194->1194 dîtes moi si vous pensez que je doive supprimer quelque chose. Pour le pare feu, je testerai plus tard les règles. 

J'ai testé hier d'activer le forcer Http vers Https qui m'a vallu un aller retour au bureau, je ne pouvais plus accéder à mon Nas... Pourtant si je tape sous.mondomaine.fr:5001 j'y accède bien (mais le https est rouge) alors que sur DSM j'ai bien lets encrypt authority X3 avec le cadenas vert le tout "par défaut". Une idée ?

Merci en tout cas :-)

 

Lien vers le commentaire
Partager sur d’autres sites

J'ai redémarré le NAS et ça fonctionne désormais en https. Merci à vous.

Par contre, est-on obligé de mettre le port 5001 à la fin de l'url ? 

D'après vos dires et mes usages (lecteur réseau local et à distance via VPN), je peux finalement laisser uniquement le port 1194 ouvert ? 

Lien vers le commentaire
Partager sur d’autres sites

Si le VPN fonctionne bien, tu te connectes d'abord au VPN et ensuite tu fais https://192.168.1.100:5001 pour accéder à ton NAS et dans ce cas, oui, tu es obligé de mettre le 5001 à la fin.

Autrement, si tu te connectes à ton NAS sans passer par le VPN donc avec : https://sous.mondomaine.fr,

Tu peux faire le NAT suivant : 443 -> 5001 (seulement si tu ne te sers pas du port 443)

Enfin, pour tes règles de NAT, tu auras besoin régulièrement du 80->80 pour le renouvellement du certificat, tous les 3 mois.

Lien vers le commentaire
Partager sur d’autres sites

ça roule parfaitement ! Thanks !

J'ai encore deux petites lignes en rouge sur OpenVPN, est-ce grave ? 

> WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

>  WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this > celle-ci, j'ai trouvé comment l'enlever mais est-ce grave de stocker le mot de passe ? Car mes users vont pas le retaper à chaque fois... J'aimerai que ça soit transparent comme solution. 

 

Lien vers le commentaire
Partager sur d’autres sites

Hello,

Petite question supplémentaire > J'ai chiffré ma connexion VPN, mon nas est en https. Je vais donc stocker mes données sur les dossiers partagés utilisés en local. Faut il que je chiffre ces dossiers, est-ce important (sachant qu'ils s'agît de documents confidentiels pro). La clés de chiffrement doit elle être longue ? Est-ce que ça ralentit beaucoup l'usage du lecteur réseau (je suis sur un 918+) ?


Merci

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...

Bonsoir à tous :)

Je me permets de poster ici car je rencontre un problème pour déclarer un nouveau certificat let's encrypt.

Je dispose d'un routeur Synology RT1900 AC en frontal avec l'IP public sur l'ONT (pas de box en DMZ) et d'un DS713 +. Actuellement j'utilise le DDNS en myds.me et j'ai déclaré un certificat let's encrypt sur celui-ci sans problème il y a de ça plus d'une année.

Ce soir j'ai décider de faire l'acquisition d'un nom de domaine "kiro-ho.me" . Étant à l'aise avec l'informatique car c'est mon métier, j'ai installé DNS server sur mon routeur et je me suis créé une zone kiro-home.lan qui répond uniquement sur mon LAN et une zone kiro-ho.me qui répond uniquement sur le WAN, sur le serveur DNS de mon RT1900AC. J'ai ensuite modifié les names server chez mon registar et tout fonctionne nikel.

Naturellement j'ai donc poursuivi mon périple pour remplacer mon certificat let's encrypt pour le signer sur mon nouveau domaine. C'est là que je rencontre un soucis. Le nas refuse d'aller au bout :mad: avec l'erreur qu'il n'arrive pas à joindre let's encrypt.

J'ai donc vérifié sur mon routeur que le NAT et le Firewall soit bien OK. Pour info, le Firewall du NAS n'est pa activé (un seul suffit :D ). Vous trouverez en PJ les screen de mes erreurs. 

Mon but final est d'avoir nas.kiro-ho.me sans alerte https sur le NAS et routeur.kiro-ho.me sans alerte https sur le RT1900AC

Je vous remercie par avance pour l'aide que vous m'apporterez sur mon problème.

Cdt,

Cédric

 

 

Let's-encrypt.PNG

firewall.PNG

NAT.PNG

Modifié par Kiroha
Lien vers le commentaire
Partager sur d’autres sites

Ce message indique que :

  • soit le port 80 n'est pas ouvert ou est bloqué par le FAI et/ou n'est pas dirigé vers le NAS
  • soit un ou plusieurs noms de domaine n'existe(nt) pas

Question : pourquoi avoir utilisé deux ndd différents pour le LAN et pour le WAN ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.