Ivanovitch

vendu a Elgger.

Hello, je peux te faire l'ensemble pour 600e cash. Par contre je suis pas motorisé et vu le poids, ce sera à venir chercher chez moi (métro Chatillon ligne 13). Go MP si ça te va.

c'est toujours d'actualité si il y a des intéressés pour ce nice matos 😮 !! prix / délottage possible vu la durée de l'annonce (et flemme de mettre en vente ailleurs, si ca continue ca va finir en backup @2nd home 😄 ) ps: je vérifie la batterie du 5P650IR périodiquement, mais elle ne semble ne pas se décharger (ou très lentement), c'est de la bonne came 😄 !

oui en effet l'onduleur est plus long que le nas, c'est le plus court que j'avais trouvé en 1U à l'époque... je peux te faire le nas seul pour 500e edit: l'onduleur fait moins de 36cm de prof cependant (mesure depuis les oreilles en face avant), juste 4cm de plus que le nas et, avec des connecteurs iec pas trop gros je pense qu'il est possible de rester sous les 36. A voir ptet que ca passe suivant les dimensions de ton rack ? voir photo :

toujours d'actualité.

- Modèle : Syno RS819 & Eaton 5P650IR (rackables 1U) - Facture : oui - Date d'acquisition : sep. 2020 - Pourquoi vous vous en séparez : rs1221+ à la place & onduleur 2U - Avec ou sans disque : sans - Prix souhaités : 700e le lot - Frais de livraison : 30e - Pays de livraison : France uniquement - Garantie : oui, une lettre de cession sera fournie le nas et l'onduleur n'ont servis que quelques mois et sont quasi neufs, il étaient en standby power off depuis l'achat du 1221+ en février 2021

Non, cette string d'erreur est envoyée en cas d'échec d'authentification, quel qu'il soit (cf. le code :: L114).

sinon, pour les histoires de pare-feu (à priori ce que axb rencontrait comme problème un peu au dessus) il faut au moins ouvrir le port 443 du pare-feu du synology (pas celui de la box !) pour les conteneurs dockers en bridge (c'est le cas dans ce tuto) ! Ils sont considérés comme externes d'un point de vue de dsm (7) et de son PF. en mode parano on ouvrirai uniquement pour l'ip du docker acme le 443 en destination tcp (mais elle peux changer si j'ai bien compris docker, donc pas génial) ou, moins parano toutes les IP du bridge0 docker ( 172.17.0.0/16 ). pour le deploy il faut aussi ouvrir le port http dsm (encore une fois, que du syno, pas nécessaire sur la box) Mais mieux encore, et a moins que vous ne fassiez pas confiance à votre propre lan, autorisez tout pour les plages d'ip locales de la rfc1918, c'est à dire en toutes premières règles du pf, autoriser tout pour les 10.0.0.0/8, 172.16.0.0/12 (qui intègre donc le 172.17.0.0/16) et 192.168.0.0/16. C'est ce qui est décrit dans tuto de Fenrir sur la sécurisation du nas partie config du PF 🙂 edit: pour ceux qui utilisent le serveur dns du syno, il faut aussi ouvrir le port de celui ci (53)

je sais pas si on parle de la même chose, mais pour les soucis ovh évoqués les pages d'avant, mon bugfix a été mergé dans le master acme (et donc le docker) il y a 4 jours donc normal 😜 ! quand tu dit "supprimé les autres certificats", tu veux dire que tu as suppr les certs générés par acme et gardé que ceux en convertis par openssl ? si oui c'est normal qu'il arrive pas a les déployer, il veux utiliser ceux qu'il a généré lui 😜! t'es bon pour redemander un nouveau cert et refaire le deploy (à priori pas besoin de passer par l'étape conversion + import manuel cette fois ! )

pour le pare feu, tu aurais pas bloqué les USA par hasard ? Sinon, c'est que tu as oublié le pramètre --dns dns_ovh lors dans demande de certificat, dans ce cas le comportement par défaut d'acme est une vérification HTTP-01, la même que celle de DSM et qui nécessite donc l'ouverture des ports 80 et 443 (si c'est ça ils sont donc aussi ouverts sur ton routeur !!)... sinon saute l'étape 3A, j'ai pas trop compris pourquoi le tuto réclame ça. @Einsteinium te rappelles-tu ce qui t'avais amené à passer par un import manuel ? ca m'intéresse 😛 edit: j'ai relu le début du thread, c'est pour forcer tous les services internes du dsm a s'attacher du cert ? moi comme j'utilise un SAVED_SYNO_Certificate='' vide, ca remplace le cert par défaut, qui est seul et utilisé pour tout chez moi, pas besoin d'import donc 😄 Donc @axb, dans ton account.conf tu dois avoir ceci SAVED_SYNO_Scheme='http' SAVED_SYNO_Hostname='172.17.0.1' SAVED_SYNO_Port='ton port' SAVED_SYNO_Username='username' SAVED_SYNO_Password='username_password' SAVED_SYNO_Certificate='' http et non https (inutile de faire du https car tu reste sur la même machine) : à priori déjà OK d'apres ton log l'ip doit rester a 172.17.0.1 (et non pas l'ip locale de ton nas comme dans ton log) le port lui doit bien être le port HTTP de ton dsm (64.... d'après ton log) le SAVED_SYNO_DID pas la peine de le mettre, ca sert a rien si t'as pas la double auth (qui est de façon inutile si t'as bien restreint les droits de ton SAVED_SYNO_Username au strict minimum et bien activé fail2ban (protection de compte compte dans les options dsm). SAVED_SYNO_Certificate='' doit donc rester vide pour te dispenser du step 3A, ca remplacera le cert par défaut directement il faut aussi que tu edites le fichier /docker/Acme/domain.tld/domain.tld.conf et que tu supprimes (on remplace, au choix) les lignes SAVED_SYNO_xxx pour que acme prenne en compte tes modifs du account.conf enfin tu lance en ssh root ou par tache exec unique root : docker exec Acme --deploy -d domain.tld --deploy-hook synology_dsm si tout est OK tu dois voir [Fri Jul 23 20:22:38 UTC 2021] Logging into 172.17.0.1:tonport [Fri Jul 23 20:22:38 UTC 2021] Getting certificates in Synology DSM [Fri Jul 23 20:22:38 UTC 2021] Generate form POST request [Fri Jul 23 20:22:38 UTC 2021] Upload certificate to the Synology DSM [Fri Jul 23 20:22:42 UTC 2021] http services were restarted [Fri Jul 23 20:22:42 UTC 2021] Success le "http services were restarted" est important, c'est ce qui confirme que les serveurs web du dsm ont bien pris en compte le nouveau certificat (on aura un "not restarted" si on ne fait que rajouter / remplacer un certificat non-défaut). En dernière vérif: refresh la page web dsm (relance ton navigateur au besoin pour forcer le refresh) et dans le cadenas à coté de l'url, regardes les propriétés du cert, tu devrais bien avoir ton wildcard dans details / subject alternative name vala 🙂

Yep, faut plutôt voir ça comme un ultime garde-fou (on ne doit recevoir aucun e-mail si le docker marche car il renouvelle à 60 jours, les mails eux ne commencent qu’à 70). L’avantage c’est que c’est indépendant de toute config sur le Nas 🙂 !

Je ne pense pas non, mais tu peux toujours le faire au cas où tu supprimerai le dossier /ca , qui occasionnerai la création d’un nouveau compte Letsencrypt, tu n’aurais alors pas besoin de repasser la commande update-account 😉

tant que j'y pense, si vous voulez que let's encrypt vous envoie un mail de rappel pour le renouvellement (ça commence à partir de 20 jours de validité restante sur les 90 si on a pas déjà renouvelé) vous pouvez ajouter à votre account.conf avant la première demande de certificat : ACCOUNT_EMAIL='votre@email.tld' si vous avez déjà un certificat mis en place par acme (et donc un compte letsencrypt, automatiquement crée lors de la toute première demande), il faut passer la commande (en ssh ou tache planifiée exec unique) docker exec Acme --update-account --accountemail 'votre@email.tld' qui doit retourner account update success for https://acme-v02.api.letsencrypt.org/acme/acct/xxxxxxxxx c'est un mécanisme finalement assez utile, ça permet de se rendre compte si le docker déconne 🙂

si le firewall de ton syno est actif, tu peux essayer de le désactiver temporairement ? le account.conf, tu l'as bien crée depuis l'éditeur de texte du syno en mode utf-8 ? car si tu l'as crée sur windows, les fin de lignes (caractère invisible cr-lf sur windows vs lf sur linux) peuvent foutre en carafe quand acme le relis. sinon, peux-tu paste la sortie de docker inspect Acme a call en ssh sur le nas

yep, c'est tout à fait ce que je j'observe et décrit dans l'issue github j'ai testé mon fix comme un porc et y'a plus aucun soucis ni de délivrance du certificat ni de pollution, yay 😄 !