Aller au contenu

El_Murphy

Membres
  • Compteur de contenus

    178
  • Inscription

  • Dernière visite

  • Jours gagnés

    9

Messages posté(e)s par El_Murphy

  1. Effectivement je préfère prendre de l'avance même si je dois mettre les mains dans le cambouis et faire des bétises ^^.

    De cette façons je serais moins "perdus" quand je devrais le refaire façons tuto ^^.

    Hmmm pour le test ssl je n'y avais même pas pensé , alors que je le faisais pour tester mon serveur mail.

    Je viens d'en faire un par curiosité :

    www_ssl.thumb.jpg.d1fc9243eba63cb472e02887817696cf.jpg

     

    Edit: j'ai inclus le bundle dans mon certificat avec la commande cat

    www_ssl2.thumb.jpg.0126dc1d97437eee88aaab32a7fc9d0e.jpg

     

    Pour l'ouverture des ports je te rejoins la dessus , rien que le log de mon server mail me fait flipper (DKIM , SPF , Contenus Malveillant...etc).

    Pour le port-forwarding  , je n'ai pas trouvé de solutions simple et efficace a part Iptables.

    La version AS de Openvpn est effectivement capable de le faire avec l'option DMZ , mais pour la version opensource c'est un peu plus compliquer.

    Et j'utilise la version opensource car je m'occupe de 3 NAS (signature) + 1 autres DS918+ qui est a un pote.

    Je vais encore lire/chercher et peaufiner ça.

     

     

  2. Ah mince je ne savais pas qu'il y avait un programme pour les redirections nginx , je les ai fais a la main >_<' .

    Mes blocks ressemble a ça :

     

    server {
            listen 80;
            server_name www.domain1.fr;
            return 301 https://$host$request_uri;
    }
    
    server {
            listen 443;
    	server_name www.domain1.fr;
    	ssl_certificate /etc/nginx/ssl/domain1.crt;
    	ssl_certificate_key /etc/nginx/ssl/domain1.key;
            ssl on;
            
            location / {
                    proxy_pass https://10.8.0.20:443/;
            }
    }
    

    Mes certificats sont des let's encrypt wildcard , je les avait fait sur: https://www.sslforfree.com/  (merci InfoYANN au passage).

    Sinon pour Iptable c'est résolus , le problème était simple , je ne savais pas m'en servir 😭 .

    Après un peu de lecture j'en suis arrivé a faire ça , et ça fonctionne très bien. (exemple pour drive)

     

    iptables -t nat -A PREROUTING -d IP-VPS-OVH -p tcp --dport 6690 -j DNAT --to-dest 10.8.0.30:6690
    
    iptables -I FORWARD 1 -d 10.8.0.30 -p tcp --dport 6690 -j ACCEPT
    
    iptables -t nat -A POSTROUTING -m conntrack --ctstate DNAT -d 10.8.0.30 -p tcp --dport 6690 -j SNAT --to-source 10.8.0.1

     

    Il ne reste que 2 "soucis" :

    L'adresse ip d'un utilisateur qui passe par le vps=>nginx proxy=>vpn =>nas s'affichera en 10.8.0.1 sur le NAS et non son ip publique , après un peu de lecture il semblerait que ce soit le boulot de X-Forwarded , je vais voir comment il fonctionne.

    Et DS Cam n'arrive pas a voir le flux vidéo de mes caméras en passant par le vps.Je n'ai pas encore cherché comment réssoudre ça , j'ai un doute sur la redirection http=>https.

     

    Edit : Problème DS Cam résolus en rajoutant les lignes header "web-sockets" dans mon block :

    server {
            listen 443;
    	server_name cam.domain1.fr;
    	ssl_certificate /etc/nginx/domain1.crt;
    	ssl_certificate_key /etc/nginx/domain1.key;
            ssl on;        
            
            location / {
                    proxy_pass https://10.8.0.10:9901/;                
                    proxy_http_version 1.1;
                    proxy_set_header Upgrade $http_upgrade;
                    proxy_set_header Connection "Upgrade";               
            }
    }

     

  3. A mon avis c'est un problème de DNS.

    Essayez de le changer pour faire un test.

    Panneau de Configuration => Réseau 

    Mettez le dns de google (8.8.8.8) en serveur préféré.

     

    Sinon pour ma part je suis passé sur openvpn community , j'ai mis en place les ip fixes et ça roule nickel.

    Il y a juste le port forwarding que je n'arrive pas a faire.

    J'ai essayé avec iptables mais ça n'a pas fonctionné , je pense que j'ai du rater quelques chose.

    Je vais faire un peu plus de recherche là dessus.

  4. Est-ce que vous avez un nom de domaine ?

     

    Edit : autant prendre de l'avance

     

    Si vous avez un nom de domaine vous le faites pointer sur l'adresse ip de votre pvs.

    Si vous n'avez pas de nom de domaine vous devez directement utilisez l'adresse ip du vps.

     

    Ensuite sur l'interface admin de openvpn , vous allez dans les permissions des utilisateurs , vous éditez l'utilisateur que votre NAS utilise pour se connecter.

    Vous cochez l'option DMZ comme dans l'exemple de Einsteinium et dans la case vous mettez :

    IPDEVOTREVPS:tcp/21

    Validez et c'est bon pour openvpn.

    N'oubliez pas d'ouvrir le port 21 tcp dans le firewall ovh ainsi que sur votre NAS.

     

  5. J'aime bien essuyer les plâtres ^^.

    Je me suis lancé juste pour découvrir le VPS et finalement je me suis laisser prendre au jeu comme pour tout le reste avec nos nas.

    Du coup j'ai config nginx en reverse (n'y connaissant rien) , j'ai mis mes certificats dans un dossier et j'ai fais des tests avec différent blocks que j'ai trouvé par ci par là sur le net jusqu'a ce que ça fonctionne.

    Et je dois dire que ça fonctionne vraiment bien , du coup j'ai mis tous mes domaines sur l'ip vps et j'ai fermé tous les ports de mes box.

    Je repartirais de zéro quand Einsteinium nous fera sa deuxième partie.

    J'hésite a me lancer dans openvpn opensource (x clients gratuis) pour contourner la restrictions du nombres de connections de la version AS (2 clients gratuis puis 150 €/an pour 10 clients).

  6. Salut Einsteinium , merci pour ton tuto !

    J'ai essayé le VPS par curiosité en voyant ce post.

    J'ai suis directement parti sur Debian10 un peu a l'arrache je dois dire mais ça tient la route ^^.

    Il manque juste une chose au début du tuto , il faut rajouter : 

     

    wget https://openvpn.net/downloads/openvpn-as-bundled-clients-latest.deb

    et

    dpkg -i openvpn-as-bundled-clients-latest.deb

     

    Sinon lors de la tentative d'installation on a un message comme quoi il manque une dépendance.

    Pour l'instant j'ai pu connecter un de mes NAS et transféré des ports pour tester , celà fonctionne très bien !

    Encore merci de nous mâcher le travail comme ça 🙄😋 .

    J'ai hâte de voir la partie sur les domaines et certificats Let's Encrypt.

  7. Non malheureusement je n'arrive plus a mettre la main dessus , et après réflexion , si Let's Encrypt change d'ip le renouvellement sera bloqué.

    Je vous conseil de laisser le port 80 fermé , vous recevrez des mails pour vous avertir que le certificat arrive a expiration , il vous suffira de rouvrir le port et de faire le renouvellement.

     

  8. Oui vous pouvez le fermer directement sur le modem.

    Avec Quickconnect votre nas établie une liaison avec les serveurs de synology et votre navigateur se connecte au serveurs synology pour se rendre sur le NAS.

    Avec cette méthode vous ne passez pas par les serveurs de synology , en contre partie vous rendez directement accessible votre NAS.

    Donc cela dépend de votre niveau de sécurité , compte admin actif , mdp fort avec caractères spéciaux , castrés les comptes a risque en matières de permissions....etc

    Mais grâce a Fenrir on a toutes les infos ici :

     

  9. Parfait ,

    Pour la sécurité , maintenant que vous avez le certificat vous pouvez fermer le port 80 , il nous était utile seulement pour communiquer avec le server let's encrypt.

    Il faudra le ré-ouvrir dans 89 jours pour le renouvellement automatique du certificat , ou alors faire une règle dans le par-feu du NAS en indiquand l'ip de let's encrypt (trouvable sur ce forum).

    Le tuto sur la sécurisation du nas est complet , il se trouve dans la section "Tutoriels" et je vous le conseil vivement !

  10. Essayez de faire un certificat avec votre DDNS en xxxx.synology.me

    Si vous y arrivez c'est que le problème vient du domaine infomaniak.

     

    Edit : il n'y a pas besoin de mettre votre nom de domaine 2 fois , la 3eme case sert pour les sous domaine que vous avez éventuellement fait (cname).

    exemple:

    807250814_lets1.JPG.fb4dd15bc38476083e02c49b6a0d2999.JPG

  11. Donc maintenant vous transférez les ports tcp 80 (http) et 443 (https) de votre box internet sur l'ip local de votre NAS.

    Et vous ouvrez les ports 80 , 443 et 5001 dans le par-feu du NAS.

    Maintenant vous pouvez faire la procédure de certificats Let's Encrypt dans : Panneau de Configuration => Sécurité => Certificats = Ajouter

    Ensuite il faut dire au NAS quelle url est associé a DSM , ça se passe dans Panneau de Configuration => Réseau => Paramètres de DSM => Tout en bas la case "Ajouter un domaine personnalisé"

    enid1.thumb.JPG.f79c192d726437b7bb665cb59fd496f7.JPG

  12. Bonjour EniD ,

    Pour faire un certificat il faut d'abord que votre domaine redirige bien vers votre adresse ip.

    Vous n'avez pas d'ip fixe donc l'enregistrement de type "A" dans votre zone dns n'est pas adapté a votre situation.

    Il vous faut créer un DDNS (DynHOST chez OVH) , le nas possède cette fonction dans : Panneau de Configuration => Accès Externe => DDNS

    Le NAS s'occupera de communiquer votre IP a votre provider pour rediriger votre domaine dessus.

    Chez quel provider avez vous pris votre domaine ?

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.