MilesTEG1

Alors, voilà, j'ai chouilla de temps avant d'aller dormir 😉 Qu'est ce que tu entends par ce que j'ai mis en gras ? Pour le .htaccess, est-ce que ça pourrait faire l'affaire : order allow,deny deny from all allow from IP avec à la place de IP quelques IP qui auraient accès au dossier ? J'avais un projet d'écran de station météo (un peu à l'arrêt mais que je pourrais reprendre) qui utilisait un script PHP pour récupérer des données. POur le point 1), je ne vois pas trop de quoi tu parles... Est-ce que c'est ça ? Pour les point 2 et 3, je sèche. Je ne vois pas de quoi tu parles 😓

@Jeff777 L'image se charge pas chez moi 😅

Heu c'est à dire ? (je n'ai pas utilisé DSM 7 suffisamment longtemps pour me rappeler ce que c'est... OK 🙂 Merci et pas grave 😉

Ok c'est en soit rassurant 😉 Cela dit, j'ai toujours peur de cet IPv6 niveau interne... (=LAN). Trop peur que tout puissent communiquer sans que je comprenne comment l'empêcher... Autant pour l'internet, je comprends parfaitement la nécessité de passer en IPv6, autant pour nos LAN perso, je pense que c'est inutile. Et j'ai pas encore trouvé un tuto, un document, pour novice qui explique simplement comment ça marche... sans que ça rentre dans les détails que je ne comprends pas.

J'ai expliqué dans la parenthèse 🙂 Le wildcard n'était pas mis pour tous les services du NAS. Dont le "Paramètre système par défaut". En mettant le wilkdcard sur ce service, je n'ai plus l'alerte de sécurité. Mon soucis n'était pas là dessus 😉 Oui c'est une solution que je pourrais faire 🙂 Un peu plus contraignant, mais fonctionnelle, c'est ce que je faisais avant. Yep, j'ai d'ailleurs des questions à ce propos. J'ai pas le temps là tout de suite , mais tout à l'heure je reposterais ta solution avec les questions qui vont avec 😉 merci bien en tout cas 😇

Bonjour, La situation : j'ai un nom de domaine miles.tld et un certificat wildcard fonctionnel, merci à @Einsteinium m'a proposé de faire un nouveau sujet 🙂 pour exposer la question de ce sujet. J'ai fait une rédirection de *.miles.tld vers miles.tld afin de ne pas devoir créer manuellement chacune des redirections que je souhaite utiliser. Ça marche parfaitement pour toutes celles que j'ai mise dans le reverse-proxy de DSM, j'abouti bien sur le service voulu. Mais par exemple, si je tape le domaine blabla.miles.tld qui n'est pas présent dans le reverse-proxy, j'abouti à une alerte de sécurité concernant le certificat (probablement parce que blabla.miles.tld n'est pas présent donc pas paramétré pour utiliser le certificat wildcard, et que le certificat du domainde synology est celui paramétré pour "Système par défaut" ) : Puis si je force la connexion, j'aboutie à la page de webstation : Donc la connexion s'est quand même établie. N'y auait-il pas moyen e faire en sorte que tout ce qui n'est pas mis dans le reverse-proxy aboutisse à une erreur 404 ou autre ? Voir sur une page comme ça : Merci d'avance 🙂

Tu as essayé avec ceci : 192.168.0.104/32 ? Cette notation correspond à la seule IP 192.168.0.104.

Ho ça va hein 🤣 Je comprends vite, faut juste m'expliquer beauuucoup et longtemps 😛 N'empèche j'ai appris des choses ^^ Je te proposerais à l'occasion quelques raffinements pour les scripts 😉 À toi de voir à ce moment là si tu veux garder ou pas 😇

Note pour plus tard : Bien pensez à affecter le nouveau certificat aux différents services déclarés dans le reverse-proxy ! (j'ai bataillé bien 10 min à chercher pourquoi j'avais une erreur "canot fetch" sur mon Vaultwarden 😅) Sinon : Tout fonctionne !!! Génial 😄

Bon dernière commande §3B , erreur : Je précise que j'ai modifié le port de DSM, donc 12000. Qu'est-ce que j'ai mal fait ? Bon j'avais édité le fichier sur le NAS directement pour modifier le teste de la variable SAVED_SYNO_Certificate, mais la sauvegarde ne modifiait pas le fichier... J'ai re-uploadé le fichier modifié, et hop plus d'erreur 😄 Mais du coup, je me dis qu'avoir mis comme propriétaire du dossier Acme/ et de ses fils, l'utilisateur Acme_User créé pour n'était peut être pas utile... Vu que le script s'éxécute en root... J'ai repassé l'utilisateur propriétaire sur mon admin-perso, comme ça une modification sera bien enregistrée 😅 Du coup, rdv demain matin à 5h pour voir si tout s'est bien exécuté comme prévu 😄

C'est-à-dire ? Je relance la commande du §2D ? Ha oui, je l'ai relancé et j'ai obtenu un bien gros pavé 😄 qui est la clé je pense 😄 pas d'erreur visible 😉 Aller, je continue 😛 merci

🥰🥰 Merci pour les précisions. Bon j'ai une erreur avec la commande du §2B : Voilà le log qui est présent dans mon terminal : Voilà la partie de log dont je pense correspond à cette erreur : Est-ce que cette erreur est bloquante ? Comment l'éviter/corriger ? J'ai un fichier http.header qui a été créé, un dossier mondomaine.com et un autre ca. Dans le dossier mondomaine.com, il y a 4 fichiers : mondomaine.com.conf mondomaine.com.csr mondomaine.com.conf mondomaine.com.key Dans le dossier ca, j'ai : acme-v02.api.letsencrypt.org/ account.json account.key ca.conf Est-ce que je peux considérer que tout est OK ?

@Einsteinium J'ai quelque messages d'erreurs dans le premier script. C'est en soit normal vu que le conteneur n'existait pas encore. Mais c'est jamais très propre de voir ces erreurs. Quand j'aurais quelque chose de fonctionnel, je ferais une modif du script pour que l'erreur n'en soit plus une avec un test d'existence ou autre.

Pour changer, ou pas, j'ai une autre question : Dans le script à lancer périodiquement, la ligne du docker pull : docker pull neilpang/acme.sh:latest # Récupération de la dernière version de l'image acme.sh Si il y a eu une MAJ de l'image, elle est récupérée et l'ancienne est supprimée avec : docker image prune -f # Suppression des images non utilisées (-f : sans confirmation) J'ai raison là ? (c'est pour savoir si je dois me farcir une conversion en docker-compose ou pas 😄 car ça semble chiantos à faire ^^ Et dernière question, le conteneur créé par la procédure, il apparait dans Portainer ou pas ?

Oui c'est sur que ça aide à rester tranquille 😄 Cela dit, quand on m'a conseillé fortement cette stratégie, j'ai réfléchi sur : est-ce que j'ai réellement besoin d'un accès permanent via le NET et le nom de domaine à DSM ? Et en y réfléchissant attentivement, je me suis rendu compte que ce n'était pas le cas. Et que quand j'ai besoin d'accéder à DSM à distance, je peux le faire depuis le serveur VPN du routeur 😄

J'irais pas jusqu'à dire qu'il y a tout sur ce forum, mais pas loin 😄

Juste une petite appartée concernant l'ouverture de DSM via le reverse-proxy : il y a pas mal d'attaque en ce moment via les ports 80 et 443 (j'ai pu le constater avec mon routeur synology et son paquet Threat Prevention), donc faut bien blinder le parefeu du NAS, voir ne pas ouvrir DSM au net via le reverse proxy, mais plutôt mettre en place le serveur VPN du NAS pour se connecter à distance à DSM. C'est ce qui m'a été fortement conseillé, et que j'ai finalement accepter de faire (pas pour le VPN qui était déjà mis en place), mais renoncer à l'accès facile à DSM via le net. Après chacun voit ce qu'il veut faire, doit impérativement avoir et quels compromis peuvent être fait ^^

Ok, merci pour ta réponse, j'aurais d'autres questions là dessus, mais du coup, je ferais un nouveau sujet pour ça ^^ (où le mettre par contre... ?) Nickel pour le fichier de conf. Et cool, je peux faire un dossier certf_a_exporter dans le dossier .../docker/Acme/ pour récupérer ces fichiers. Et tu peux me confirmer qu'une fois ces fichiers exportés là, donc les .pem et .key, je les récupère sur mon ordi, et je les envoi là : Merci bien pour tes réponse 🙂

Nouvelle question @Einsteinium vu que je suis en train de planifier le déploiement 😉 Le fichier de configuration account.conf, peut-il contenir dès le début les éléments que tu fais ajouter au point 3B ? SAVED_SYNO_Scheme='http' SAVED_SYNO_Hostname='172.17.0.1' SAVED_SYNO_Port='5000' SAVED_SYNO_Username='nom utilisateur' SAVED_SYNO_Password='le password' SAVED_SYNO_DID='' SAVED_SYNO_Certificate='description du certificat mise dans le DSM' C'est histoire de rendre plus pratique l'exécution des scripts que je crée. Dans le §3.A je ne comprends pas par quoi remplacer DOSSIEREXPORT : Il y a une valeur particulière à déterminer ?? pourquoi ne pas laisser dans le dossier docker ?

Ton PC pourrait largement faire tourner plusieurs conteneur avec l'image officielle. Donc tu peux très très largement suivre mon tuto Vaultwarden 😉 Ce n'est pas parce que Vaultwarden est tagué "image allégée" que ce n'est réservé qu'aux petites machines 😉 Par contre, faut que ton PC soit tout le temps allumé pour garder le bénéfice du serveur 🙂

Et question subsidiaire (oui encore une 😛 ) : J'ai testé le domaine blabla.miles.tld (blabla n'étant pas une redirection que j'ai créé coté OVH), j'abouti à cette page après un message concernant la sécurité car pas de certificat encore créé... Y a moyen de faire en sorte que tout ce qui n'est pas mis dans le reverse-proxy aboutisse à une erreur 404 ou autre ? Voir sur une page comme ça :

J'ai testé le DynHost avec rien devant le point. Il a fallu que je modifie le sous-domaine de l'identifiant aussi : Et ça semble fonctionner 😉 Autre question du coup : j'ai un nom de domaine chez Synology aussi. Lorsque j'aurais créé le certificat wildcard avec le script pour mon domaine *.miles.tld, ce certificat remplacera-t-il celui pour le synology.me partout ? Et si c'est le cas, je devrais pouvoir remettre celui de synology là où il faut, mais lors du renouvellement automatique, faudra-t-il que je le refasse manuellement de remettre celui de synology ? N'y aurait-il pas moyen de dire au script sur quels services je veux le wildcard pour *.miles.tld ? C'est pour vérifier les certificats ça ? J'ai tendance à faire pareil 😉 Oh purée, y a tout l'historique de mes certificats (existants, passés...) ! 😱 Donc de tous les domaines qui aboutissent chez moi 😰 Ça conforte ma volonté de tout changer et de ne faire que du wildcards !!

Donc je peux laisser le champ de saisi vide dans la fenêtre en capture sans soucis ? Le point qui est présent ensuite n'est pas gênant ? Le soucis c'est que je ne sais pas où sont ces enregistrements txt chez ovh... Ils sont peut-être sur le NAS ? 😅 Ça marche 🙂 Pour les ports, c'est bien pour ça que je vais suivre ce tuto 😄 Pour les notifications, je n'utilise pas ifttt, ni gotify ou autre. Je compte passer par l'email. C'est faisable sans trop galérer ? Ouf 😄 ça me rassure, je vais pouvoir mettre ça en place pendant le badblocks ^^ Ok, je vais tenter avec ce que tu m'as dit précédemment. Mais si je ne faisais pas comme ça, mais plutôt comme j'ai l'habitude de faire actuellement c'est-à-dire créer des redirections à la main, le script fonctionnera quand même ?

Je crois que je lançais Firefox. Ou que je sortais de veille l'ordi. J'ai tenté le redémarrage du navigateur, mais ça n'a pas générer d'autres alertes... À voir sur les prochains jours 🙂

Hello @Einsteinium Bon j'ai fini me créer mon nouveau nom de domaine (un peu plus simple pour la gestion), appelons-le : miles.tld Comme je n'ai pas d'IP fixe, j'ai créé un DynHost (avec ID de connexion) pour : nas.miles.tld Car je ne sais pas comment faire pour que ce soit directement sur miles.tld car lors de la création du DynHost, il y a obligatoirement le point avant le ndd. J'ai créer ensuite mes redirection CNAME de mes "sous-domaines" sur le domaine nas.miles.tld : service1.miles.tld service2.miles.tld service3.miles.tld ... En parcourant les premières page (me suis arrêté à la p.5 et la dernière 😅), j'ai pu voir ce message : Est-ce que ce genre de redirection est obligatoire pour que le script ACME fonctionne ? Si oui, est-ce que je peux faire le même genre de redirection sachant que mon DynHost est nas.miles.tld ? Cette variable est-elle encore à exporter ? Ou bien celle présente dans le fichier de config suffie ? Ça arrive souvent ce genre d'erreurs ? Car je ne saurais pas résoudre ça... C'est quand même possible d'utiliser le label de watchtower ? Et corolaire : peut-on utiliser un fichier docker-compose.yml pour créer le conteneur ? (dans lequel je pourrais mettre le label de watchtower). Sinon, tu me confirmes que le renouvellement du certificat wildcard se fera automatiquement à la date prévue pour ? Est-il possible d'avoir une alerte email en cas de soucis de renouvellement ? Ou bien LE m'en avertira comme il le fait déjà pour mes certificats actuels quand la date approche et que le certificat n'a pas pu se renouveler automatiquement à cause de la restriction des ports sur les pare-feu du NAS et du routeur 😉 Autre question : est-ce qu'il faut redémarrer le NAS à un moment donné de la procédure ? Je n'ai pas vu de mention là dessus, donc je suppose que non, mais je préfère être sûr ^^ là il ne peut pas redémarrer pour encore plusieurs jours 🙂 Dernière question (je pense pour le moment 😛 car tu as dû voir que je pouvais être un moulin à questions 🤣) : on ne peut pas via ce script et l'API OVH générer de sous-domaines avec les redirections adéquates vers le nom de domaine principal ? (ce serait un bonus, mais pas indispensable pour moi ^^) Voilà voilà Merci d'avance 😇