This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

seb773

Ajouter ou modifier certificat "Let's encrypt"

Messages recommandés

Le ‎21‎/‎10‎/‎2016 à 16:38, Fenrir a dit :

Dans ton cas, tu as juste à faire en sorte que rien d'autre n'écoute sur le port 80 le temps de la manip.

J'aurais besoin d'un petit décodage de cette phrase...

Pour la mise en place du certif je dois aussi ouvrir le port 80 et la lecture du forum me laisse penser que tous les hackers du monde m'attendent au tournant...

Partager ce message


Lien à poster
Partager sur d’autres sites

Il ne faut pas être parano non plus (il n'y a que moi qui ait ce droit :lol:), ce n'est pas pas parce qu'un port est ouvert que tu vas te faire pirater (certains vont essayer, c'est certain).

Si la sécurité globale de ton nas est correcte (cf tuto) et que tu n'as pas d'application pleine de trous sur les ports en question (par exemple un worpress pas à jour), tu ne risque pas grand chose de plus que n'importe quel site internet.

Partager ce message


Lien à poster
Partager sur d’autres sites

Sinon, tu peux l'ouvrir sur demande uniquement, mais c'est un peu plus pénible...

Pour la création, pas de problème, tu ouvres le port 80, tu crées le certificat, tu refermes le port.

Pour le renouvellement, ça va échouer car le port 80 sera fermé.

Dans ce cas, tu ouvres le port 80, tu forces le renouvellement avec la commande suivante :

/usr/syno/sbin/syno-letsencrypt renew-all

Et tu refermes le port 80.

Ce n'est pas super pratique, mais ça a bien fonctionné pour moi...

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

j'ai un Nas synology et je cherche à créer un certificat pour un sous domaine. J'ai l'impression que je ne suis pas loin d'y arriver mais j'ai beau tout essayer et toujours le même problème ! je desespère ... à l'aide :rolleyes:

Donc voilà, via le dns syno, j'ai créé un domaine : nastiti.synology.me (pour l'exemple)

j'ai créé un sous domaine via le proxy inversé : titi.nastiti.synology.me qui me renvoie vers le port 192.168.1.34 en https

Sur ma livebox, j'ai fait 2 redirections vers le syno pour le http (port 80) et https (443).

Quand je créé un certificat pour nastiti.synology.me, aucun problème ça passe.

je cherche alors a créer un certificat pour titi.nastiti.synology.me et là, patatra, toujours l'erreur 80 (je dirai presque normal car titi n'est accessible qu'en https..)

j'ai essayé dans les certificats (via sécurité/ certificat/ configurer) de joindre titi.nastiti.synology.me à nastiti.synology.me mais quand je tente d’accéder à titi.nastiti.synology.me, j'ai une erreur de certificat..

et là, je sèche .. si quelqu'un a la patience de m'aider, je suis preneur !

par avance, merci

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 15/05/2017 à 23:34, oli.oli a dit :

Sinon, tu peux l'ouvrir sur demande uniquement, mais c'est un peu plus pénible...

Pour la création, pas de problème, tu ouvres le port 80, tu crées le certificat, tu refermes le port.

Pour le renouvellement, ça va échouer car le port 80 sera fermé.

Dans ce cas, tu ouvres le port 80, tu forces le renouvellement avec la commande suivante :


/usr/syno/sbin/syno-letsencrypt renew-all

Et tu refermes le port 80.

Ce n'est pas super pratique, mais ça a bien fonctionné pour moi...

Bonjour,

Y aurait'il la possibilité de programmer une tâche permettant l'ouverture et la fermeture de ce port 80 après la mise à jour du certificats ?

 

Partager ce message


Lien à poster
Partager sur d’autres sites

@KSCM : sur le syno si, il faut créer un script qui ajoute une règle avec iptables puis lancer la commande de renouvellement, attendre qu'elle soit bien terminée et retirer la règle, par contre ça sous entend que la règle de transfert de port de ta box soit toujours active

Partager ce message


Lien à poster
Partager sur d’autres sites

Il y a peut-être plus simple.

Grâce à PiwiLAbruti, nous connaissons les IP utilisées par Let's Encrypt pour la création et la maj des certificats.

Il suffit de laisser le 80 ouvert dans le routeur, et créer 2 règles dans le parefeu pour laisser les adresses Let's Encrypt utiliser le http :

  • 66.133.109.36
  • 64.78.149.164

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Ce n'est pas incompatible, en passant, les ips peuvent changer, en toute rigueur il faudrait utiliser le PTR de outbound1.letsencrypt.org et outbound2.letsencrypt.org mais même comme ça, c'est sans garantie : https://community.letsencrypt.org/t/ip-addresses-of-outbound-validators-stability-over-time/11731

Les IP ont déjà changé 2 fois depuis le début du projet ...

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 1 heure, Fenrir a dit :

@KSCM : sur le syno si, il faut créer un script qui ajoute une règle avec iptables puis lancer la commande de renouvellement, attendre qu'elle soit bien terminée et retirer la règle, par contre ça sous entend que la règle de transfert de port de ta box soit toujours active

Pas forcement gênant car derrière le routeur le port du syno est fermé.

Par contre je n'ai aucune idée de comment créer ce script, je vais commencer à chercher

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir tout le monde,

Je viens de suivre deux tutoriels sur la sécurité et le VPN de Fenrir que je remercie au passage. Ça m'a grandement aidé pour la prise en main du NAS. 

Mon objectif est assez simple : partager des dossiers entre mes différents collaborateurs qu'ils soient en local au bureau ou en déplacement. Pour ce faire, j'ai créé un lecteur réseau en local et à distance via OpenVPN. Le tout fonctionne bien (même si un peu lent mais ça n'est pas le sujet). 

Mon NAS est derrière ma bbox qui dispose d'une IP fixe. J'ai  une URL pointe vers l'IP (sousdomaine.mondomaine.fr). L'url mondomaine.fr est mon site internet qui est hébergé en mutualisé chez  1and1. Ce domaine a déjà un https (via l'offre de 1and1). Le sous domaine n'en profite pas.  J'ai donc essayé de créer un certificat lets encrypt depuis mon NAS, sans succès.

J'ai toujours les mêmes messages d'erreur :

- Échec de la connexion à Lets Encrypt. Assurez-vous que le nom de domaine est valide (j'ai mis sousdomaine.domaine.fr / monemail@mondomaine.fr / Rien)
- Echec de l'opération. Reconnectez vous à DSM 
- Un dernier dont j'ai pas copié
 

malgré quelques tentatives comme celles-ci :

- Désactiver mon pare feu (NAS et Bbox) pour simplifier les tests tout en laissant le tcp, udp 1194 autorisé
- Essayer en SSH de wget google (ça mon retourne bien un connecté)
- Changer mes NAT 
et j'en passe. 
 

Voici les règles NAT de ma bbox :

La règle "HTTPS NAS" redirige le protocole TCP pour les flux Internet ayant le port 443 de la bbox vers le port 5001 du périphérique 192.168.1.100.
La règle "HTTP NAS" redirige le protocole TCP pour les flux Internet ayant le port 80 de la bbox vers le port 5000 du périphérique 192.168.1.100.
La règle "VPN NAS " redirige le protocole UDP pour les flux Internet ayant le port 1194 de la bbox vers le port 1194 du périphérique 192.168.1.100.
La règle "NAS Http" redirige le protocole TCP pour les flux Internet ayant le port 5000 de la bbox vers le port 80 du périphérique 192.168.1.100.

 

Pouvez-vous m'aider :-) merci beaucoup ! 

Partager ce message


Lien à poster
Partager sur d’autres sites

Hello,

il y a 28 minutes, Ben337 a dit :

La règle "HTTP NAS" redirige le protocole TCP pour les flux Internet ayant le port 80 de la bbox vers le port 5000 du périphérique 192.168.1.100.

De mémoire, pour Let's Encrypt, il faut natter le port 80 de la box vers le port 80 du NAS (et non pas le port 5000).

Essaie comme ça pour voir.

Pour le renouvellement, c'est comme ça qu'il faut procéder en tout cas.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour que le certificat puisse se renouveler il faut laisser

80 vers 80, 443 vers  443

Je  déconseille d'ouvrir le port 5000 (non sécurisé) sur internet

Plutôt nater 5001 vers 5001

et se connecter avec https://sousdomaine.domaine.fr :5001

Et puisque qu'un serveur VPN est installé, la meilleure solution serait de l'utiliser et dans ce cas de ne pas ouvrir le port 5001.

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour les opération concernant Let's Encrypt (création, renouvellement), il faut toujours que le port 80 du NAS soit accessible, Let's Encrypt ne sait pas travailler sur le port 443 actuellement.

Personnellement, j'ai toujours une règle de NAT "port 80 -> Port 80 du NAS" de créée que j'active uniquement quand j'en ai besoin (notamment pour le renouvellement de certificat : cf. mon post un peu plus haut dans ce fil).

Maintenant, pour ce qui est de tes règles :

L'idéal : Limiter les ports ouverts à ceux du VPN et tout faire par ce biais comme indiqué par @PPJP .

Mais si comme moi, tu ne peux pas toujours te connecter en VPN (selon les restrictions des sites sur lesquels je me trouve) et que les ports autres que ceux habituels sont bloqués, tu peux faire la chose suivante :

  1. Sur le NAS, rediriger systématiquement les connexions sur le port 5000 (en clair) vers le port 5001 (chiffré) => Panneau de Config, Réseau, Paramètres DSM, rediriger le HTTP vers HTTPS.
  2. Pour le NAT, tu laisses simplement le VPN et tu rediriges le 443 vers le 5001 du NAS.
  3. Enfin, tu bloques les tentatives de connexion qui échoue : Sécurité, onglet Comptes, et tu coches "Activer le blocage auto" et tu règles les paramètres comme tu préfères. (Perso blocage auto définitif au bout de 3 tentatives).

 

Modifié par oli.oli

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 10 minutes, oli.oli a dit :

Personnellement, j'ai toujours une règle de NAT "port 80 -> Port 80 du NAS" de créée que j'active uniquement quand j'en ai besoin (notamment pour le renouvellement de certificat : cf. mon post un peu plus haut dans ce fil).

Si le port 80 ne sert qu'à ça, il est plus simple de n'autoriser que les ports Let's Encrypt dans le parefeu qu'on peut laisser ouverts en permanence. Les ports sont donnés plus haut dans ce fil.

Partager ce message


Lien à poster
Partager sur d’autres sites

Mon usage est assez simple au final, je veux juste qu'on puisse se connecter en lecteur réseau en local et à distance donc en effet, le VPN me suffit. J'ai donc laissé uniquement 80->80 / 443->443 / 1194->1194 dîtes moi si vous pensez que je doive supprimer quelque chose. Pour le pare feu, je testerai plus tard les règles. 

J'ai testé hier d'activer le forcer Http vers Https qui m'a vallu un aller retour au bureau, je ne pouvais plus accéder à mon Nas... Pourtant si je tape sous.mondomaine.fr:5001 j'y accède bien (mais le https est rouge) alors que sur DSM j'ai bien lets encrypt authority X3 avec le cadenas vert le tout "par défaut". Une idée ?

Merci en tout cas :-)

 

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai redémarré le NAS et ça fonctionne désormais en https. Merci à vous.

Par contre, est-on obligé de mettre le port 5001 à la fin de l'url ? 

D'après vos dires et mes usages (lecteur réseau local et à distance via VPN), je peux finalement laisser uniquement le port 1194 ouvert ? 

Partager ce message


Lien à poster
Partager sur d’autres sites

Si le VPN fonctionne bien, tu te connectes d'abord au VPN et ensuite tu fais https://192.168.1.100:5001 pour accéder à ton NAS et dans ce cas, oui, tu es obligé de mettre le 5001 à la fin.

Autrement, si tu te connectes à ton NAS sans passer par le VPN donc avec : https://sous.mondomaine.fr,

Tu peux faire le NAT suivant : 443 -> 5001 (seulement si tu ne te sers pas du port 443)

Enfin, pour tes règles de NAT, tu auras besoin régulièrement du 80->80 pour le renouvellement du certificat, tous les 3 mois.

Partager ce message


Lien à poster
Partager sur d’autres sites

ça roule parfaitement ! Thanks !

J'ai encore deux petites lignes en rouge sur OpenVPN, est-ce grave ? 

> WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.

>  WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this > celle-ci, j'ai trouvé comment l'enlever mais est-ce grave de stocker le mot de passe ? Car mes users vont pas le retaper à chaque fois... J'aimerai que ça soit transparent comme solution. 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Hello,

Petite question supplémentaire > J'ai chiffré ma connexion VPN, mon nas est en https. Je vais donc stocker mes données sur les dossiers partagés utilisés en local. Faut il que je chiffre ces dossiers, est-ce important (sachant qu'ils s'agît de documents confidentiels pro). La clés de chiffrement doit elle être longue ? Est-ce que ça ralentit beaucoup l'usage du lecteur réseau (je suis sur un 918+) ?


Merci

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant