oracle7

@Thierry94 Parfait, content d'avoir pu t'aider à mon tour ... 😀 Tu as raison, en y réfléchissant bien la clé privé devrait rester chez toi. J'avoue que je n'y avais pas pensé auparavant. En conséquence, il faudrait faire le test de conversion en omettant le paramètre "-inkey privatekey.pem" et recharger le nouveau certificat ".p12" dans le smartphone. A voir donc ... Cordialement oracle7😉

@Thierry94 Sous quelle forme as-tu rechargé le certificat LE sur le smartphone ? Si ce sont des fichiers ".pem" cela ne marche pas. Il te faut convertir les fichiers ".pem" en ".p12". Pour cela il faut : installer sur le PC "OpenSSL". Touche Win + X : et ouvrir une fenêtre de CMD en mode Admin Faire un "cd" sur le répertoire contenant les fichiers .pem Taper la commande : "openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem" Ensuite tu importe ton certificat ".p12" sur le smartphone et là il devrait être reconnu par OpenVPN client. Cordialement oracle7😉

@Thierry94 J'ai eut aussi ce message et j'ai simplement sélectionné mon certificat wilcard LE. Cordialement oracle7😉

@Outimeme Bonjour, Personnellement j’accède à DSM depuis mon PC via un "nom-du-nas.ndd.tld" ce qui est plus facile (et à retenir aussi) que de taper une @IP:NumPort. J'ai en plus la double authentification qui elle s'applique à chaque connexion (sauf si tu as coché faire confiance au périphérique) qu'elle soit en local ou de l'extérieur (ce qui est la plus intéressante dans ce dernier cas, du point de vue sécurité d'accès). Cordialement oracle7😉

@Thierry94 Tout bêtement, et en supprimant ton profil OpenVPN sur le smartphone et en le recréant avec un nouvel export du fichier .ovpn ... (+ reboot du Tél). Des fois, cela tiens à pas grand chose ... Cordialement oracle7😉

@GrOoT64 En fait, oui on peux, il suffit de modifier l'objet OpenVPN. Cordialement oracle7😉

@Thierry94 Bonjour, Tu peux essayer de régénérer (exporter) ton fichier de configuration .opvn depuis ton serveur VPN puis de le recharger dans ton profil de connexion sur ton smartphone. Normalement ce fichier contient les clés du certificat (plus simple que d'utiliser un fichier externe à pointer par "ca_bundle"). Je peux me tromper mais il y a dû avoir sur le serveur VPN une modification de configuration ou autre (suite à une Mise à jour peut-être) qui a eut pour impact de modifier la clé privée dans le certificat d'où la discordance annoncée dans ton message d'erreur. C'est une interprétation du message qui en vaut une autre sûrement ... Cordialement oracle7😉

@GrOoT64 J'aurais besoin de tes lumières STP. Comme je le présentais, en connexion OpenVPN, c'est bien un problème de reverse proxy qui bloque l'accès aux ressources via un "https://xxxxx.ndd.tld". En creusant un peu, je me suis aperçu que le problème venait en fait du contrôle d'accès ajouté à certaines redirections. Pour les redirections sans contrôle d'accès ajouté, c'est OK la connexion de fait bien. Pour les autres donc, j'ai bien essayé de rajouter et d'autoriser dans les paramètres de ce contrôle d'accès, le sous-réseau en 10.8.0.0/24 mais cela ne marche pas mieux et là je sèche vraiment. Il doit pas manquer grand chose que je ne vois pas ... D'où ma demande d'éclairage. Une idée peut-être ? Cordialement oracle7😉

@TuringFan Avec le recul, maintenant que j'ai testé la connexion OpenVPN, je dirais qu'il n'y a pas photo pour moi, avec "SSLVPN" et donc avec le VPN dans la plage d'@IP locales, j'ai bien accès à TOUS mes périphériques et applications des NAS depuis l'extérieur en connexion VPN. Connexion que j'estime sécurisée car seul moi avec des "xxxxx.ndd.tld" peut accéder à toutes ces ressources grâce au reverse proxy qui lui marche dans cette configuration. Il est vrai que je ne peux en dire autant sous OpenVPN, mais c'est sûrement un problème de configuration que je n'ai pas encore identifié. Excuses-moi de ne pas être d'accord, le client lourd d'OpenVPN n'a de lourd, selon moi, qu'en ce qu'il lui faut en plus un fichier de configuration pour fonctionner. Certes ce fichier permet plus de réglages mais pour une utilisation lambda comme nous le faisons, cela me paraît suffisant. A part cela, ce n'est jamais aussi qu'une interface de connexion et en cela, "SSLVPN" est plus simple car ce n'est qu'une interface très dépouillée qui fait la même chose : réaliser la connexion VPN. Pas besoin de plus ... Normalement ce sera réglé lorsque tu auras configuré le reverse proxy. Rien de compliqué, le Tuto est vraiment bien fait et clair. Tu t’apercevras aussi qu'il est d'une redoutable puissance mais je te laisse le découvrir. Cordialement oracle7😉

@TuringFan et pour info @GrOoT64 Juste une remarque quant à la configuration d'Open VPN sous VPN Plus. C'est peut-être l'origine du problème mais sans aucune garantie ! Je m'explique : Si tu configures OpenVPN en choisissant le protocole TCP (*) (comme j'ai cru le comprendre au travers de tes copies d'écrans précédentes), il te faut alors dans le parefeu modifier la règle système installée par défaut avec VPN Plus sur le RT. C'est à dire pour cette règle : Sélectionner la ligne correspondante dans le parefeu et modifier (ou 2xClic) Dans "Destination / ports / Sélectionner dans une liste d'applications intégrées", cliquer sur Sélectionner Désactiver la ligne correspondant au port 1194 et valider 2 x OK Dans le parefeu, créer un règle nommée par ex "1194_TCP" Dans "Protocole" sélectionner "TCP" Dans "Destination / Adresse IP" : sélectionner SRM Dans "Destination / Port / Personnalisé" : saisir 1194 et valider 2 x OK Voilà c'est tout. Pourquoi cette manipulation ? Essaies de créer un règle dans le parefeu en activant uniquement (ne pas faire d'autres réglages que celui-ci) dans "Destination / ports / Sélectionner dans une liste d'applications intégrées" la ligne correspondant au port 1194 pour l'application VPN Plus. Tu verras alors de retour dans le parefeu que le port 1194 est ouvert pour le protocole UDP et non pas en TCP comme tu le voulais initialement : Cela est à ajouter aussi au fait que si tu veux utiliser le protocole TCP pour OpenVPN, il te faut aussi modifier le fichier de configuration "VPNconfig.ovpn" et adapter la commande "proto" pour remplacer "proto udp" par "proto tcp". Voilà si çà peut t'aider à avancer. (*) Deux liens d'information vis à vis du choix de protocole TCP/UDP pour OpenVPN : Le premier un peu simpliste et le second beaucoup plus détaillé (mais en anglais, c'est pas ma langue maternelle et c'est plus dur 🤪), qui expliquent pourquoi choisir l'un plus que l'autre. Sachant que par défaut c'est UDP qui est proposé à l'installation du protocole OpenVPN par les applications. Dans le cas du NAS, je crains que l'encapsulation de TCP sur TCP ne soit la source des problèmes rencontrés mais ce n'est que mon interprétation .... Je te laisses en tirer les conclusions qui s'imposent. Mais les deux utilisations sont possibles. __________________________________ EDIT_1 : Comme je suis aussi un peu joueur et curieux à la fois, je viens d'installer OpenVPN pour voir. Voici mon retour : 1er constat : impossible de choisir la plage d'@IP local. j'ai le message : "Les sous-réseaux 'OpenVPN' et 'Local Network' se recouvrent" lorsque j'essaie d'affecter la plage d'@IP locale à l'objet 'OpenVPN'. Du coup, je lui ai affecté la plage "10.8.0.0/24". 2 ème constat : par rapport à la configuration initiale du fichier "VPNconfig.opvn" j'ai dû rajouter la commande "dhcp-option dns 10.8.0.1" 3 ème constat : pour la première connexion depuis mon smartphone android, lors de la création du profil de connexion OpenVPN, j'ai du indiquer un certificat et j'ai donc sélectionné mon certificat wilcard LE. Enfin, la connexion OpenVPN s'établit sans problème (vue sur VPN Plus serveur avec une @IP en 10.8.0.6), j'arrive à me connecter sur mes NAS 1&2 en tapant simplement "nom-du-nas1/2.ndd.tld" dans un navigateur sur le smartphone. Mais, eh oui il y a un mais, cela n'aurait pas été drôle sinon 🤥, je n'arrive pas à me connecter directement aux applications des NAS (file, surv, audio, ou même directement aux caméras, etc...) via "xxxxx.ndd.tld". Tout se passe comme si le reverse proxy ne fonctionnait pas et là je sèche ... Donc pour ce dernier cas, je reste ouvert à toutes suggestions de résolution. EDIT_2 : Détail intéressant à relever, ce qu'auparavant, j'avais interprété et donc pris pour un bug, n'en serait, peut-être bien au final, pas un (le doute reste toutefois). En effet, durant mes tests de connexion, j'ai eu aussi bien des connexions (vues sur le smartphone) en IPv4 et UDPv4 qu'en IPv6 et UDPv6 et ce sans rien modifier mais toujours avec une @IPv4 privée en 10.8.0.6 affichée et dans les deux cela marche. Allez comprendre ... Cordialement oracle7😉

@GrOoT64 Pas de problème, c'est fait... Cordialement oracle7😉

@Jeff777 Bonjour, IL y a une solution au problème pour générer un wilcard Let'sEncrypt "GRATUIT", c'est la méthode dite "acme" que j'ai décrit ici et qui marche chez moi. Seul truc pour l'instant, c'est qu'il faut surveiller la date de renouvellement pour faire celui-ci "à la main" et recharger ensuite le certificat sur le NAS/Routeur. De toutes façons, mis à part que SSLforFree nous prévenait par mail de l'échéance, il fallait avec eux aussi re-générer le certificat pour le recharger manuellement après. Donc pas de changement notable avec "acme" dans la pratique. Y-a plus qu'à attendre qu'une bonne âme fasse un script qui automatise cela. Cela dit il y avait bien une base de script initiée et décrite ci-avant dans le Tuto par @unPixel et @PPJP qu'il suffirait de reprendre et d'adapter, pour ma part mes connaissances du moteur du NAS sont encore trop insuffisantes pour réaliser cela même si je me débrouille en shell. Donc s'il y a des amateurs ... @.Shad. Tu ne pourrais pas nous faire un Tuto (au moins une trame de principe, détaillée) sur ta méthode (qui semble intéressante au demeurant) car rien que le mot "Docker" pour sa mise en œuvre, en effraie encore plus d'un ici. Moi le premier ... Cordialement oracle7😉

@Jeff777 Bonjour, J'ai moi aussi reçu ce mail de SSLforFree, comme je suis "joueur" j'ai essayé la création d'un certificat wilcard sur mon domaine. er constat : tout est fait pour que tu utilises l'abonnement Premium à 50$ par mois. IL faut bien faire attention où tu cliques. Pas cool .... ème constat : impossible de créer un certificat wilcard comme avant. Cela te revoie et t'impose de prendre du Premium. Donc pour du gratuit initialement : eh bien pas totalement au final ! Cela passe à 10$ par mois en version Basic. Finalement, je vais laisser tomber cette solution SSLforFree dès l'expiration de mon certificat actuel, pour en créer un, le moment venu avec la méthode acme avec un chargement manuel sur NAS et Routeur. Du coup cela me renforce dans l'idée de reprendre et adapter si besoin la méthode d'automatisation du renouvellement initiée et décrite ci-avant dans le Tuto par @unPixel et @PPJP. Cordialement oracle7😉

@Kramlech Bonjour, Merci de ton complément de réponse. Du coup, je comprends mais c'est pourtant ce que j'ai fait (installé mon certificat wilcard LE), notamment pour mon smartphone et de fait, je n'ai plus de messages d'alerte de sécurité. C'est pas bon alors ? Cordialement oracle7😉

@Jeff777 Bonjour, Effectivement, depuis ton dernier passage, le sujet a quelque peu dérivé. la cause en est un changement de portage de ma part quant à la configuration de mon installation. Je suis passé avec l'aide généreuse de @GrOoT64 , d'une configuration Serveur DNS et Serveur VPN installés sur le NAS (client du routeur) à une configuration Serveur DNS et Serveur VPN installés tous les deux directement sur le Routeur, ce qui en soit est plus "naturel", enfin je le crois. Avec le recul, je puis dire maintenant qu'il ne faut pas chercher à en faire faire trop à un NAS et qu'il faire simple tout simplement quand la configuration matérielle le permet bien sûr. Depuis cela, ce qui me conforte dans nouveau choix c'est que je ne constate plus les comportements étatiques (entre serveurs DNS et VPN) que j'avais précédemment, avec au passage les mêmes constats relevés chez @TuringFan qui avait une configuration similaire à la mienne et qui lui aussi, est passé avec succès me semble-t-il à la nouvelle configuration sus-citée. Au final, cela marche parfaitement, j'accède à tous mes périphériques (NAS, Routeur, Caméras, etc ..) comme je le souhaitais aussi bien en local que de l'extérieur en tapant un simple "xxxxx.ndd.tld" dans un navigateur. Ce qui est extrêmement souple. De plus, grâce à une astuce de @GrOoT64 liée au profil d'accès dans le reverse proxy, personne ne peut utiliser mes "xxxxx.ndd.tld" de l'extérieur car ils sont "filtrés" (même si ne n'est pas tout à fait le bon terme) pour une connexion uniquement en local ou initiée sous VPN de l'extérieur par moi seul. C'est pour moi un top du point de vue sécurité ! Cela dit, je te remercie pour l'aide apportée pour essayer de résoudre mes problèmes rencontrés avec la première configuration. Cordialement oracle7😉

@TuringFan Bonjour, C'est exactement la même chose que tu utilises un PC/Mac client ou ou un Smartphone/iPhone, sans certificat installé sur ces clients lorsque tu te connectes en HTTPS via un navigateur en saisissant une URL liée à ton domaine, automatiquement tu récupères une alerte de sécurité (qui reste cependant non bloquante car tu peux passer outre en acceptant les risques inhérents). Fais le test tu verras ... Cordialement oracle7😉

@GrOoT64 Bonjour, C'est tout à fait vrai et je me permettrais d'ajouter une petite précision complémentaire si tu veux bien à propos de cette redirection automatique des connexions HTTP vers HTTPS. cette précision est juste issue du Tuto sur la sécurisation des accès. Je cite : Donc cette case n'est à cocher que si on n'utilise pas le "reverse proxy". Cordialement oracle7😉

@Kramlech Bonjour, Merci beaucoup pour ces précisions qui viennent fort à propos compléter et/ou corriger mon information sur certains points. Comme quoi les échanges ont du bon ... Cordialement oracle7😉

@GrOoT64 Tout à fait d'accord. Cordialement oracle7😉

@Juan luis Bonjour, Merci du tuyau et pardonnes mon ignorance, mais comment une prise programmable peut "rebooter" ma LB et mon routeur ? La prise envoie un signal compris par la LB ? Ok, avec une coupure de courant la LB "reboot" seule et sachant qu'une coupure brutale de courant n'est jamais indolore pour l'électronique. Mais alors quid de l'onduleur sur lequel elle branchée justement pour assurer sa protection ? J'avoue ne pas trop comprendre là ... Cordialement oracle7😉

@GrOoT64 Bonjour, Certes, tu as tout à fait raison mais il suffit alors de se déconnecter physiquement du réseau local et d'utiliser un smartphone comme point d'accès 4G. Cordialement oracle7😉

@TuringFan Un certificat s'applique à un domaine uniquement. Comme son nom l'indique il est "une preuve" que tu maîtrises le domaine concerné, il est en quelque sorte, l’équivalent d’une carte d’identité numérique. Il est délivré par une autorité de certification au près de la quelle tu auras fournis une clé publique (liée à ta clé privée) qui permet d'authentifier explicitement ton domaine et donc son propriétaire. Ainsi, par la suite avec ce certificat, les navigateurs te reconnaitront de façon transparente, et tu pourras mettre en place une connexion HTTPS de confiance, ce devient aujourd'hui la norme pour naviguer sur les sites WEB sécurisés. Le certificat ainsi installé, permet notamment aux navigateurs de contrôler l’intégrité des données transmises. Il est ainsi impossible pour un pirate de substituer un message pendant son acheminement. Je voudrais pas trop m'avancer, mais je crois que l'on peut assimiler et ce par abus de langage, le NAS et/ou le Routeur à un site WEB par le fait qu'ils hébergent entre autres un serveur DNS mais pas seulement. D'où la nécessité de leur installer un certificat (idem sur ton smartphone/iphone et tout périphérique par le biais du quel tu établis une connexion de type HTTPS pour naviguer de façon sécurisée). En ce qui concerne la LB, là je suis plus "sec". Je ne pense pas qu'elle soit "assimilable" à un site WEB, pour moi ce n'est qu'un simple modem/routeur qui véhicule et retransmet des données elles mêmes déjà "sécurisées" de par le protocole de transport utilisé. Voilà une explication simpliste qui vaut ce qu'elle vaut, et qui n'engage que moi ... Mais si tu veux aller plus loin dans cette connaissance des certificats, je t'invite à fouiller la toile .... Cordialement oracle7😉

@Juan luis Bonjour, Oui, si tu as pris la précaution d'ajouter dans ta Zone DNS chez OVH les lignes MX adéquats vers les serveurs mail d'OVH avec une priorité inférieure à celle donnée pour ton domaine personnel. Ainsi ces serveurs prennent le relais au cas où ton serveur tombe ou que tu l'arrête volontairement. De toutes façons, sans ce dispositif je te cites ce que m'avais dit @Thierry94 : Cordialement oracle7😉

@TuringFan Bah pour un coup de bol, c'est un coup de bol. Ce port ne semble pas être utilisé, voir ici. Il est habituellement de bon ton (en fait recommandé) de choisir ses ports privés (ou dits éphémères) dans la plage supérieure à 49152. Maintenant le port 4443 risque un jour d'être réservé et utilisé par une application tierce. Mais ne t'inquiètes pas il n'y a rien de grave, c'est juste pour ton information. Cordialement oacle7😉

@TuringFan Rien vu dans la LB qui permette ce genre de chose. En plus ta LB est en DMZ quel en serait alors l'intérêt ? Drôle d'idée que tu as là 🤭 Cordialement oracle7😉