Fenrir

Ton nas est derrière cette ip (celle en 89....) ? Tu indiques que d'autres domaines pointent sur cette ip mais sur des ports différents .... hors il n'y a aucun lien entre un port un et nom de domaine => que veux tu dires par là

non, je ne connais pas, c'est bien ?

Pour firefox ça fonctionne chez moi, sinon c'est un fichier à éditer ou à supprimer (au choix) dans le profil : SiteSecurityServiceState.txt

Pas de souci, ça m'a donné un prétexte pour expliquer comme lire un message d'erreur de ce type et le reste de ton post était pertinent.

Ils ne sont pas inversés, c'est le retour d'erreur qui l'affiche comme ça shell du lancement script lancé ligne en erreur message d'erreur

Non, pas nécessairement, l'absence de preuve n'est pas la preuve de l'absence

C'est normal (ou pas), sans être méchant @greg888 dit des âneries. Le .ad c'est comme le .fr, mais pour Andorre, tu n'as pas non plus le droit de l'utiliser sauf si tu as acheté un domaine en .ad (mondomaine.ad par exemple) https://tools.ietf.org/html/rfc1918 https://fr.wikipedia.org/wiki/Réseau_privé edit : ce n'est pas vraiment une question de "loi" (c'est ingérable à l’échelle de la planète) mais de normes

non, elles sont publiques, ce n'est pas parce que tu les utilises dans ton réseau interne qu'elles sont privées, c'est comme si tu disais que tu utilises le domaine google.com en interne pour ton AD En IPv4, les seules adresses privées qu'on a le droit d'utiliser en interne sont : 10.0.0.0/8 (ou tout masque plus long) 172.16.0.0/12 (ou tout masque plus long) 192.168.0.0/16 (ou tout masque plus long) Parce qu'elles ne t'appartiennent pas. Depuis un poste client, que renvoi la commande : nslookup mondomaine.fr

J'espère que ces IP ne sont pas réellement celles que tu utilises, ce range d'adresse correspond à DoD Network Information Center (DNIC). Non seulement il n'est pas autorisé d'utiliser des adresses dont on n'est pas "propriétaire", mais en plus avec ce type d'adresse tu t'expose à ce sérieux problèmes ! ------------- En passant, retire les infos "privées" de ton post (ton nom de domaine). ------------- Pour en revenir à ton problème, tes clients doivent utiliser un serveur DNS qui indique que ton domaine est géré par le Syno, donc certainement pas les DNS d'orange, mais le serveur DNS du Syno (donc le syno lui même).

C'est parce que ton fichier n'est pas encodé comme il faut, en particulier les sauts de lignes, tu utilises le format Windows (^M ou CR LF) alors que tu devrais utiliser le format Linux (LF).

J'avais commencé à faire une réponse détaillées, mais j'ai l'impression qu'on ne se comprends pas (c'est peut être moi qui interprète mal tes réponses). Tu peux faire tout ce que tu veux comme chmod/chown avec ta Debian sur les dossiers montés via NFS, le nas et en particulier les ACL auront toujours le dernier mot, si tu fais un changement de droits via le Syno (avec filestation par exemple, ou en déposant un fichier en SMB), il est probable que ton chmod saute => c'est normal Selon que tu fais du NFSv3 ou v4, les ACL sont affichées et interprétées différemment (tu peux tester nfs4_getfacl sur ton dossier) : http://wiki.linux-nfs.org/wiki/index.php/ACLs Un point important que j'ai oublié de mentionner, tes options de montage (sec=XXX par exemple, ou encore nfsver=XXX) ont aussi un impact. Si tu tiens à avoir des droits cohérents entre le Syno, ton windows et ta Debian, tu dois passer par Kerberos. Tu peux aussi essayer avec noacl (NFSv3 ou moins). Et encore une fois, ton fameux ".", c'est simplement le dossier courant.

Je remets ici le contenu de ton mp, puisqu'il n'y a pas les élements privés que je t'avais demandé Ce que je voulais connaître c'est le vrai nom de domaine (ton fameux "sous domaine") et le vrai certificat (le wildcard gandi) Autre question (tu peux y répondre ici) : ton IP (celle de la connexion Internet du nas) est elle fixe ? Pour le Zyxtel, tu as la doc ici (pages 216 et suivantes) : ftp://ftp.zyxel.com/ZyWALL_310/user_guide/ZyWALL 310_V3.10_Ed2.pdf

Si ton nas n'est pas directement connecté à Internet, ce qui est probablement le cas puisque tu as une box, oui les 2 ports sont nécessaire pour le L2TP/IPSec.

Bonjour, Commence par aller te présenter dans la section adhoc du forum, ça fait toujours plaisir. Ensuite ajoute le modèle de ton nas et la version de DSM dans ta signature, c'est plus pratique pour t'aider. Envoi moi en MP le nom de domaine et le certificat (pas la clef privée, juste le certificat public). Pour le firewall, c'est quoi comme modèle ?

En rootant c'est certain que tu arriveras à corriger le problème et le retour arrière est possible. Par contre c'est vrai que selon le type de tablette, le fait de la rooter risque de tout effacer ...

Donc ce n'est pas la manière dont syno créé ou présente les certificats. Le certificat racine est bien présent sur ton android ? Certificate: Data: Version: 3 (0x2) Serial Number: 44:af:b0:80:d6:a3:27:ba:89:30:39:86:2e:f8:40:6b Signature Algorithm: sha1WithRSAEncryption Issuer: O=Digital Signature Trust Co., CN=DST Root CA X3 Validity Not Before: Sep 30 21:12:19 2000 GMT Not After : Sep 30 14:01:15 2021 GMT Subject: O=Digital Signature Trust Co., CN=DST Root CA X3 Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: (2048 bit) Modulus: 00:df:af:e9:97:50:08:83:57:b4:cc:62:65:f6:90: 82:ec:c7:d3:2c:6b:30:ca:5b:ec:d9:c3:7d:c7:40: c1:18:14:8b:e0:e8:33:76:49:2a:e3:3f:21:49:93: ac:4e:0e:af:3e:48:cb:65:ee:fc:d3:21:0f:65:d2: 2a:d9:32:8f:8c:e5:f7:77:b0:12:7b:b5:95:c0:89: a3:a9:ba:ed:73:2e:7a:0c:06:32:83:a2:7e:8a:14: 30:cd:11:a0:e1:2a:38:b9:79:0a:31:fd:50:bd:80: 65:df:b7:51:63:83:c8:e2:88:61:ea:4b:61:81:ec: 52:6b:b9:a2:e2:4b:1a:28:9f:48:a3:9e:0c:da:09: 8e:3e:17:2e:1e:dd:20:df:5b:c6:2a:8a:ab:2e:bd: 70:ad:c5:0b:1a:25:90:74:72:c5:7b:6a:ab:34:d6: 30:89:ff:e5:68:13:7b:54:0b:c8:d6:ae:ec:5a:9c: 92:1e:3d:64:b3:8c:c6:df:bf:c9:41:70:ec:16:72: d5:26:ec:38:55:39:43:d0:fc:fd:18:5c:40:f1:97: eb:d5:9a:9b:8d:1d:ba:da:25:b9:c6:d8:df:c1:15: 02:3a:ab:da:6e:f1:3e:2e:f5:5c:08:9c:3c:d6:83: 69:e4:10:9b:19:2a:b6:29:57:e3:e5:3d:9b:9f:f0: 02:5d Exponent: 65537 (0x10001) X509v3 extensions: X509v3 Basic Constraints: critical CA:TRUE X509v3 Key Usage: critical Certificate Sign, CRL Sign X509v3 Subject Key Identifier: C4:A7:B1:A4:7B:2C:71:FA:DB:E1:4B:90:75:FF:C4:15:60:85:89:10 Signature Algorithm: sha1WithRSAEncryption a3:1a:2c:9b:17:00:5c:a9:1e:ee:28:66:37:3a:bf:83:c7:3f: 4b:c3:09:a0:95:20:5d:e3:d9:59:44:d2:3e:0d:3e:bd:8a:4b: a0:74:1f:ce:10:82:9c:74:1a:1d:7e:98:1a:dd:cb:13:4b:b3: 20:44:e4:91:e9:cc:fc:7d:a5:db:6a:e5:fe:e6:fd:e0:4e:dd: b7:00:3a:b5:70:49:af:f2:e5:eb:02:f1:d1:02:8b:19:cb:94: 3a:5e:48:c4:18:1e:58:19:5f:1e:02:5a:f0:0c:f1:b1:ad:a9: dc:59:86:8b:6e:e9:91:f5:86:ca:fa:b9:66:33:aa:59:5b:ce: e2:a7:16:73:47:cb:2b:cc:99:b0:37:48:cf:e3:56:4b:f5:cf: 0f:0c:72:32:87:c6:f0:44:bb:53:72:6d:43:f5:26:48:9a:52: 67:b7:58:ab:fe:67:76:71:78:db:0d:a2:56:14:13:39:24:31: 85:a2:a8:02:5a:30:47:e1:dd:50:07:bc:02:09:90:00:eb:64: 63:60:9b:16:bc:88:c9:12:e6:d2:7d:91:8b:f9:3d:32:8d:65: b4:e9:7c:b1:57:76:ea:c5:b6:28:39:bf:15:65:1c:c8:f6:77: 96:6a:0a:8d:77:0b:d8:91:0b:04:8e:07:db:29:b6:0a:ee:9d: 82:35:35:10 -----BEGIN CERTIFICATE----- MIIDSjCCAjKgAwIBAgIQRK+wgNajJ7qJMDmGLvhAazANBgkqhkiG9w0BAQUFADA/ MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT DkRTVCBSb290IENBIFgzMB4XDTAwMDkzMDIxMTIxOVoXDTIxMDkzMDE0MDExNVow PzEkMCIGA1UEChMbRGlnaXRhbCBTaWduYXR1cmUgVHJ1c3QgQ28uMRcwFQYDVQQD Ew5EU1QgUm9vdCBDQSBYMzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEB AN+v6ZdQCINXtMxiZfaQguzH0yxrMMpb7NnDfcdAwRgUi+DoM3ZJKuM/IUmTrE4O rz5Iy2Xu/NMhD2XSKtkyj4zl93ewEnu1lcCJo6m67XMuegwGMoOifooUMM0RoOEq OLl5CjH9UL2AZd+3UWODyOKIYepLYYHsUmu5ouJLGiifSKOeDNoJjj4XLh7dIN9b xiqKqy69cK3FCxolkHRyxXtqqzTWMIn/5WgTe1QLyNau7Fqckh49ZLOMxt+/yUFw 7BZy1SbsOFU5Q9D8/RhcQPGX69Wam40dutolucbY38EVAjqr2m7xPi71XAicPNaD aeQQmxkqtilX4+U9m5/wAl0CAwEAAaNCMEAwDwYDVR0TAQH/BAUwAwEB/zAOBgNV HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFMSnsaR7LHH62+FLkHX/xBVghYkQMA0GCSqG SIb3DQEBBQUAA4IBAQCjGiybFwBcqR7uKGY3Or+Dxz9LwwmglSBd49lZRNI+DT69 ikugdB/OEIKcdBodfpga3csTS7MgROSR6cz8faXbauX+5v3gTt23ADq1cEmv8uXr AvHRAosZy5Q6XkjEGB5YGV8eAlrwDPGxrancWYaLbumR9YbK+rlmM6pZW87ipxZz R8srzJmwN0jP41ZL9c8PDHIyh8bwRLtTcm1D9SZImlJnt1ir/md2cXjbDaJWFBM5 JDGFoqgCWjBH4d1QB7wCCZAA62RjYJsWvIjJEubSfZGL+T0yjWW06XyxV3bqxbYo Ob8VZRzI9neWagqNdwvYkQsEjgfbKbYK7p2CNTUQ -----END CERTIFICATE----- Sinon root la tablette, de toute manière elle n'a plus de mise à jour

https://ip.fenrir.fr c'est un certificat LE, test avec le navigateur intégré

C'est curieux. Avec le navigateur de ton android, tu as la même erreur ? oui => pb avec les certificats de ta tablette (quel modèle ?) non => pb avec les appli Syno sur les vieux android

Dans Firefox, affiche le certificat->Détails, sélectionne l'autorité intermédiaire->Exporter --- Je te le mets ici : Let'sEncryptAuthorityX3.crt -----BEGIN CERTIFICATE----- MIIEkjCCA3qgAwIBAgIQCgFBQgAAAVOFc2oLheynCDANBgkqhkiG9w0BAQsFADA/ MSQwIgYDVQQKExtEaWdpdGFsIFNpZ25hdHVyZSBUcnVzdCBDby4xFzAVBgNVBAMT DkRTVCBSb290IENBIFgzMB4XDTE2MDMxNzE2NDA0NloXDTIxMDMxNzE2NDA0Nlow SjELMAkGA1UEBhMCVVMxFjAUBgNVBAoTDUxldCdzIEVuY3J5cHQxIzAhBgNVBAMT GkxldCdzIEVuY3J5cHQgQXV0aG9yaXR5IFgzMIIBIjANBgkqhkiG9w0BAQEFAAOC AQ8AMIIBCgKCAQEAnNMM8FrlLke3cl03g7NoYzDq1zUmGSXhvb418XCSL7e4S0EF q6meNQhY7LEqxGiHC6PjdeTm86dicbp5gWAf15Gan/PQeGdxyGkOlZHP/uaZ6WA8 SMx+yk13EiSdRxta67nsHjcAHJyse6cF6s5K671B5TaYucv9bTyWaN8jKkKQDIZ0 Z8h/pZq4UmEUEz9l6YKHy9v6Dlb2honzhT+Xhq+w3Brvaw2VFn3EK6BlspkENnWA a6xK8xuQSXgvopZPKiAlKQTGdMDQMc2PMTiVFrqoM7hD8bEfwzB/onkxEz0tNvjj /PIzark5McWvxI0NHWQWM6r6hCm21AvA2H3DkwIDAQABo4IBfTCCAXkwEgYDVR0T AQH/BAgwBgEB/wIBADAOBgNVHQ8BAf8EBAMCAYYwfwYIKwYBBQUHAQEEczBxMDIG CCsGAQUFBzABhiZodHRwOi8vaXNyZy50cnVzdGlkLm9jc3AuaWRlbnRydXN0LmNv bTA7BggrBgEFBQcwAoYvaHR0cDovL2FwcHMuaWRlbnRydXN0LmNvbS9yb290cy9k c3Ryb290Y2F4My5wN2MwHwYDVR0jBBgwFoAUxKexpHsscfrb4UuQdf/EFWCFiRAw VAYDVR0gBE0wSzAIBgZngQwBAgEwPwYLKwYBBAGC3xMBAQEwMDAuBggrBgEFBQcC ARYiaHR0cDovL2Nwcy5yb290LXgxLmxldHNlbmNyeXB0Lm9yZzA8BgNVHR8ENTAz MDGgL6AthitodHRwOi8vY3JsLmlkZW50cnVzdC5jb20vRFNUUk9PVENBWDNDUkwu Y3JsMB0GA1UdDgQWBBSoSmpjBH3duubRObemRWXv86jsoTANBgkqhkiG9w0BAQsF AAOCAQEA3TPXEfNjWDjdGBX7CVW+dla5cEilaUcne8IkCJLxWh9KEik3JHRRHGJo uM2VcGfl96S8TihRzZvoroed6ti6WqEBmtzw3Wodatg+VyOeph4EYpr/1wXKtx8/ wApIvJSwtmVi4MFU5aMqrSDE6ea73Mj2tcMyo5jMd6jmeWUHK8so/joWUoHOUgwu X4Po1QYz+3dszkDqMp4fklxBwXRsW10KXzPMTZ+sOPAveyxindmjkW8lGy+QsRlG PfZ+G6Z6h7mjem0Y+iWlkYcV4PIWL1iwBi8saCbGS5jN2p8M+X+Q7UNKEkROb3N6 KOqkqm57TH2H3eDJAkSnh6/DNFu0Qg== -----END CERTIFICATE-----

Dans FileStation : Clique droit Propriétés->Permissions Dans l'explorateur : Clique droit Propriétés->Sécurité Si tu parles des droits sur les partages (qui nécessitent des droits admin), généralement on n'y touche pas tous les jours

Commence par le tuto VPN, tu y trouveras des exemples de redirection de ports

Je n'ai pas d'android 4.4 pour tester, mais normalement tu devrais pouvoir installer le certificat intermédiaire. Il est aussi possible que le pb soit tout autre.

Le pb de faire un certificat LE pour le routeur c'est que tu vas devoir refaire la manip tous les 3 mois (tous les 2 mois en pratique). Perso j'utilise uniquement des certificats signés par ma propre autorité pour ce type d'équipement, comme ça je peux mettre des durées assez longues. On sort largement du cadre du tuto, mais pour la CLI, retiens juste l'existence de la touche TAB ou ? (TAB ou ? pour la liste des commandes, 2xTAB ou 2x? pour un peu d'aide). Tu peux aussi chercher des docs sur vyatta, comme par exemple : https://openclassrooms.com/courses/introduction-a-vyatta

Tu peux ajouter des autorités de certification dans Android (je le fais pour ma propre autorité). Tu peux aussi passer outre les alertes de certificats (en tout cas avec firefox). Mais à mon avis ton problème est que tu n'as pas inclus la chaine de certification dans ton serveur web (ton syno). Tu dois (c'est la norme) inclure tous les certificats intermédiaire. Je ne sais pas si le syno le fait tout seul par contre (il devrait). Tu peux tester avec https://www.ssllabs.com/ssltest/

@Mic13710 se connecte juste à son routeur en direct, il n'a pas dit qu'il n'avait pas de problèmes de certificats avec. Soit dit en passant, rien ne t’empêche d'installer un certificat valide dessus, il suffit d'inclure son petit nom dans la liste des SAN que tu utilises avec LetsEncrypt, mais ça implique que son nom soit sur tes DNS publiques. Une fois le certificat créé sur le nas, tu l'exportes, tu créés un fichier avec le certificat et la clef (les 2 dans le même fichier), tu le recopies dans le routeur (dans /config/user-data) et t'installe avec la commande "set service gui cert-file /config/user-data/certificat.pem". Néanmoins, s'agissant d'un équipement de sécurité, je te recommande plutôt d'utiliser un certificat privé (que tu as créé toi même, comme un autosigné) et de ne pas le rendre accessible depuis Internet (hors VPN, et encore ...)