Thierry94

Cool ... Oui pour la mise en place de DNS Serveur ici ... encore un très bon tuto de @Fenrir Tu fais tout ce qui est indiqué avant "Zone DNS publique"

Ovh : si tu as une ip dynamique il ne faut pas enregistrement A dans ta zone Dns Box : pour le routage nat le premier est le port d'arrivée sur la box (interne box) et le 2eme le port d'arrivée sur l'equipement cible (externe box) ... c'est logique ... ce qui arrive en 443 sur la box est renvoyé sur le 443 du nas. Certificat : sur le nas as tu vérifié que tu utilises bien le bon certificat dans les applications ? ( panneau de config, sécurité, certificats, configurer) Ps. tu as laissé ton nom de domaine sur les captures d'ecran !

Dans le Dynhost chez OVH si tu retrouves bien ton adresse IP publique c'est que ça va ! Dans la zone dns si tu as un cname de *.ndd.tld vers ndd.tld ça va aussi ! Sur le NAS à vérifier pour le reverse proxy : décocher la case redirection auromatique http vers https dans les paramètres DSM. Je crois aussi qu'il est préférable aussi d'avoir l'IP V6 désactivé (pas sûr mais dans le doute !)

Si ce n'est pas encore fait regarde l'excellent tuto de @Fenrir sur la sécurisation des accès au NAS ... ici

Pour etre sûr, quand tu indiques ndd.tld cela correspond bien à nas.pxxxxxx.net qui est le nom de domaine utilisé pour le dynhost chez ovh ? Puisque tu as un nom de domaine qui te pointe vers ta box, à quoi te sert le xxxx.synologe.me ? En fait tu as ton nom domaine ndd.tld p(nas.pxxxxxx.net) avec son dynhost qui pointe sur ta box. Ton certificat Let'sEncrypt doit etre pour ce domaine avec en domaines supplementaires (à ajouter lors de la création) tous les "sous-domaines" que tu souhaites utiliser, fichier.ndd.tld, ..... Avec ça tu n'as qu'un seul certificat, qui couvre tous tes besoins, à renouveller ! Ne pas oublier de declarer ce certificat pour tous tes service sur ton nas. Dans ta zone dns chez ovh il te faut ajouter le cname *.ndd.tld ver ndd.tld (tu peux aussi les déclarer individuellement par cname différent. Ainsi tous les sous-domaine seront bien orientés vers ta box et pris en charge par un certificat. Sur ton nas tu n'as plus qu'à mettre en place le reverse proxy pour chacun des sous-domaines à utiliser

Dans ton firewall la règle qui autorise le 443 et le 80 et apres celle qui refuse tout ... pense à la mettre devant avant de reactiver les autres. Chez ovh as tu un cname qui renvoi *.nas.ndd.tld vers nas.ndd.tld ? Sur tes posts, avant d'inclure les captures écran, pense à masquer ton nom de domaine et ton adresse ip publique ( tu peux modifier ceux que tu as deja fait)

Le dns local permet en autre d'avoir les mêmes url qu'en externe pour accéder aux services sur ton réseau local.

Bravo @oracle7 pour ce super et très complet tuto. C'est un plus indéniable pour tous ceux qui voudront se lancer dans l'aventure du serveur mail à domicile !

Dans ton Dynhost chez OVH il faut que tu mettes ndd.tld à la place de nas.ndd.tld car actuellement tu n'as que nas.ndd.tld qui reçoit une adresse ip ! Comme tu as limité les entrées à la Suisse tu fais bien tes essais de connexion depuis la Suisse ? Dans ton firewall à la fin des règles il te manque la règle qui refuse tout ce qui n'a pas été accepté par les règles précédentes

En espérant aussi que les fichiers vérolés n'ont pas déjà été sauvegardés

Pour ma part un seul certificat pour le domaine et les "sous-domaines" c'est un seul renouvellement tous les 3 mois et c'est bien suffisant 😉

Tout tabors les comptes que tu utilises avec Photo Station sont les comptes de DSM ou des comptes gérés par Photo Station ? Si ce sont les comptes de DSM, le fait que tu sois administrateur n'implique pas que tu ais les droits de tout faire sur tous les albums. Regarde dans les privilèges des albums, pour pouvoir ajouter des photos il faut que la colonne "Charger" soit cochée.

Peut etre un pb ponctuel !

Je n'avais pas vu que ton certificat était expiré. Dans ce cas je crois que le renouvellement n'est plus possible et qu'il faut en recréer un nouveau

As tu un filtre actif sur les ip de Let's Encrypt dans ton firewall ? Si c'est le cas il faut le supprimer car ces adresses ip ne sont plus valides depuis le début d'année

Pour le 1er soucis je n'ai pas de solution qui me vienne. Pour le 2eme tu peux avoir 2 ports différents pour les nas sur ton routeur et mettre un routage nat vers le bon du nas avec le port standard de photo station Ndd.xx:portnas1->routeur->nas1 Ndd.xx:portnas2->routeur->nas2 Tu peux aussi mettre en place le reverse proxy sur le nas 1 qui en fonction du sous domaine t'enverra sur le bon photostation Nas1.ndd.xx->routeur->reverseproxyNas1->photostationNas1 Nas2.ndd.xx->routeur->reverseproxynas1->phtostationNas2

@Jeff777 pour les CNAME à mettre pour les "sous-domaines" tu n'est pas obligé de les mettre tous individuellement tu peux n'en mettre qu'un seul générique "*.ndd.tld". Bon ça autorise l'utilisation de tous les "sous-domaines" mais il y a un filtre d'entrée avec le reverse proxy ça devrait pouvoir aller ! Je vais aussi regarder la solution avec ACME @oracle7

Non je n'étais pas au courant mais je trouvais leur procédure pour le renouvellement moins pratique que celle automatique sur le NAS 😉 Et comme je n'avais pas trop de "sous-domaines" je suis revenu au certificat Let's Encrypte sur la NAS

Avec un certificat Let's Encrypt géré par le NAS tu peux inscrire des "sous-domaines" au moment de la génération du certificat. Par contre la liste inscrite est je crois limitée en nombre de caractères (à confirmer) et de ne peut plus être modifier .. sauf à regénérer un nouveau certificat … mais avec le NAS c'est assez facile ! C'est ce que j'ai fais début janvier pour continuer à utiliser mon reverse proxy après avoir abandonné SSLforFree !

Mieux vaut avoir les équipements vitaux sur onduleur !

@oracle7 2 précisions par rapport à ta réponse à @alan.dub : C'est MailServeur Plus qui limite à 5 boites mail gratuites sur le NAS , par contre Mail Serveur autorise bien un nombre illimité de boites mailes sur le NAS. Le moyen de ne pas avoir son adresse mail blacklistée lorsque l'on a une adresse IP dynamique c'est de passer par le relai SMTP pour l'envoi des mails.

Ce qu'il faut faire pour limiter les risques c'est de faire le renouvellement manuellement un peu avant la date d'échéance c'est à dire activer le routage du port 80, déclencher le renouvellement et désactiver le routage du port 80.

Oui les anciennes adresses IP de Let's Encrypt ont changé depuis début janvier et il faut maintenant autoriser toutes les IPs sur le port 80 comme tu l'as fait

@cumuluss tu as indiqué dans ton premier post avoir changé le mot de passe après réinstallation. N'aurais tu pas conservé les anciennes valeurs de login et mot de passe sur un des pc (enregistrement des mots de passe par Windows) ?

Il faut retirer les IPs bloquées dans la liste des blocages dans "Panneau de Config/Sécurité/Comptes/" bouton "Autoriser/Bloquer les comptes", bouton "Liste des blocages"