Titi-73

Je pense que tu le signales à un Modo comme @Mic13710 par exemple. Et il le fera quand il passera par là. Très bien, merci. Je vais lui envoyer un MP. Au plaisir.

Super, merci à tous les deux pour vos conseils ! Je vais voir ce qui correspondra le mieux à mes besoins pour le port 80, je sais de quoi il en retourne maintenant. Et merci également à Fenrir, Kawamashi, unPixel (entre autres...) pour leurs tutos très instructifs. Je pense que tout seul, je n'y serais jamais arrivé, ou du moins j'aurais galéré encore plus, avec certainement des doutes sur le résultat final. Le VPN, je m'y intéresserai assez rapidement. Mais maintenant que je peux exploiter mon NAS de manière "un peu plus sécurisé", je vais déjà passer un peu de temps pour stocker, trier, ranger (en bref, faire du ménage 🙂) mes données réparties sur beaucoup trop de supports à mon goût, et configurer des profils utilisateurs pour la famille. Et puis 3 mois, ça passe vite ! Je regarderai pour l'automatisation du renouvellement du certificat... Enfin, vu qu'il s'agit d'un premier sujet posté (en ce qui me concerne), comment le passe-t-on au statut "résolu" ? Autant que ça serve à d'autres... Encore un grand merci. Titi-73 PS: Jeff777, est-ce que je peux te joindre en MP STP ?

C'est bon, je viens de trouver d'où venait le problème... C'est le pare-feu du NAS. Voici la config, quand ça ne marchait pas : Il n'y avait que le minima (inspiré du tutuo de Fenrir), auquel j'avais ajouté les deux lignes du bas pour la création du certificat de LE. Ces deux lignes étaient bien entendu activées et remontées en tête pour la création du certificat, puis à l'issue de cette étape, décochées et redescendues en dessous la dernière ligne "refuser tout" (capture d'écran ci-dessus) Et voici la config que je viens de mettre en place : J'ai remonté et activé la ligne 443,80 / TCP / France,Martinique (que j'ai récupéré du tuto de Kawamashi). Et là, ça fonctionne. ☺️ Bonjour PPJP, je viens de voir ta réponse, effectivement, le souci venait bien du blocage du port 443 par le pare-feu du NAS. Mais du coup, la nouvelle config est-elle trop "ouverte" ? Est-ce qu'on peut restreindre un peu ? PS: et comme ça fonctionne sans avoir changer quoi que ce soit sur mes appareils mobiles, je reste perplexe sur le sujet des autorités à installer. Je ne comprends pas en fait...

Bonjour, J'espère que vous allez bien. Une fois le certificat créé, je suis allé effectivement le configurer. Comme il n'y en qu'un pour le moment (à part celui auto-signé de synology.com, que je devrais peut-être supprimer définitivement d'ailleurs...), ben c'est vite vu, j'ai basculé tous les sous-domaines sur le nouveau. Y compris 3 autres qui sont a priori liés au fonctionnement du NAS... J'ai bon ? J'ai bien noté qu'avec la création d'un ou plusieurs autres certificats ultérieurement, il faudra bien configurer chaque sous-domaine sur celui qui le concerne, ça semble logique. Mais oui, il est bon de le rappeler 🙂 Suite à ça, j'ai refait les essais (repris ci-dessous avec nouveau résultat complété en bleu) Il ne reste donc que le problème d'accès depuis l'extérieur... Selon le tuto de Fenrir (extrait ci-après) : Le problème semblerait donc venir de l'autorité à installer a priori car je n'ai encore rien paramétré de particulier sur mes appareils mobiles (tel, tablettes...) J'ai regardé vite fait sur le forum, et je n'ai pas trouvé de réponses plus détaillées à ce sujet. J'ai peut-être mal cherché... 😉 PS: ça me fait penser aux avertissements de sécurité qui apparaissaient sur la moitié seulement de mes demandes d'accès aux applications. Cela voudrait-il dire que pour celles qui s'ouvraient (l'autre moitié...) j'aurais accepté de continuer la navigation malgré l'avertissement (même si je sais que ce n'est pas bien...) ? Et que de ce fait, j'ai maintenant une faille de sécurité... comme le dit Fenrir dans la suite de son tuto : Si c'est le cas, y a-t-il un moyen de remédier à la situation et de supprimer quelque part ces "certificats non validés" qui n'ont plus lieu d'être ? La sécurité informatique a un côté passionnant... mais j'ai encore du chemin à parcourir apparemment 😌

Oui, probablement... quand mes besoins augmenteront dans le temps. En attendant, pour info, je viens de réussir la création du certificat, enfin... 🙂 Mais il se fait tard comme tu dis, je vais arrêter là pour aujourd'hui. A bientôt, et encore merci à tous les deux pour votre aide précieuse ! Je vous tiens au courant de la suite bien entendu. Bonne soirée !

Bonjour PPJP, Je n'avais pas fait attention que le premier lien sur les limites de LE venait de toi. Désolé. Dans la suite de l'article, que je n'ai pas décortiqué (mon anglais a aussi ses limites...), il est question de renouvellement il me semble, non ? Si c'est le cas, je n'en suis pas encore là.

Oui, ça correspond bien à ce que j'avais déjà lu quelque part. 50 certificats par semaine, et 100 noms pour chacun, ça laisse quand même de la marge... J'avais du y aller fort pour être bloqué ! 😄

Merci pour le temps passé à me répondre et à analyser ma situation. Effectivement, lors de mes tentatives de création de certificat LE (il y a quelques semaines de cela déjà), je ne connaissais pas encore l'existence de cette limite. Et j'ai été bloqué pour un certain temps en effet. Je ne saurais plus te dire quel message m'était envoyé exactement, ni le temps du blocage, et encore moins le nombre de tentative... Mais je te confirme que ces dernières sont bien comptabilisées ! J'ai lu qu'on pouvait créer plusieurs certificats, avec plus ou moins de sous-domaine (terme impropre en effet mais on se comprend mieux ainsi) sur chacun d'eux. C'est d'ailleurs l'occasion de les regrouper en fonction de l'utilisation faite (applications du NAS, domotique, que sais-je encore...) et de nommer chaque certificat en conséquence pour mieux s'y retrouver. C'est certain ! c'est d'ailleurs la raison pour laquelle j'ai demandé cette dernière confirmation avant d'y aller... C'est que depuis quelques jours, j'ai déjà bien du faire avancer mon compteur chez LE ! Allez, je m'y mets et je dis ce qu'il en est... Titi-73

OK. Dans le doute sur ma façon de rédiger ce fameux fichier ".htaccess" hier, j'ai préféré le refaire en passant par le classique bloc note sur un PC... Le nouveau fichier déposé sous Web en lieu et place de l'autre, puis renommé comme il se doit... Je pense avoir bien fait car la taille est différente et surtout, ça a l'air de fonctionner à présent (c'est le principal). Tous les accès via http aboutissent bien en https sur le navigateur. Sauf que bizarrement, j'ai la moitié de mes applications qui le font sans avertissement de sécurité (ouverture normale de la page demandée avec cadenas dans la barre d'adresse...) et l'autre moitié qui affiche cet avertissement et bloque donc la page de l'application (ce qui parait cohérent puisque mes demandes de certificat LE ont toujours été en échec jusqu'à présent) ça voudrait qu'une partie de mes sous_nom_de_domaine posséderait déjà un certificat ?... Mais bon, je vais effectivement pouvoir réitérer la demande puisque ça redirige correctement maintenant. En lisant le tuto de Kawamashi, dans l'extrait qui suit juste après le code ".htaccess" : J'ai un doute pour la saisie du champ "autre nom de l'objet" Je mettais systématiquement (solution 1) : monndd.fr ; sousndd1.monndd.fr ; sousndd2.monndd.fr ; etc. (jusqu'au dernier sous domaine, et sans espace bien sûr. Ils sont ajoutés pour plus de clarté) Est-ce bon ? ou faut-il plutôt (solution 2) : www.monndd.fr ; monndd.fr ; sousndd1.monndd.fr ; sousndd2.monndd.fr ; etc. (jusqu'au dernier sous domaine, et toujours sans espace...) ou encore (solution 3) : www.monndd.fr ; sousndd1.monndd.fr ; sousndd2.monndd.fr ; etc. (jusqu'au dernier sous domaine, et toujours sans espace...) Merci du retour, pour finaliser et réussir cette demande de certificat LE une bonne fois pour toute (j'espère...) Titi-73

Oui, je parle bien de l'onglet "Zone DNS" d'OVH. Quand je filtre pour ne voir que la cible "A" il n'y a plus que la ligne de monndd avec mon IP (du moins maintenant, après avoir supprimé la deuxième ligne qui ciblait l'IP de leur serveur Webmail, comme précisé ce matin). En regardant l'onglet "Serveur DNS", pour info, il y a deux lignes de serveur DNS au staut "actif" sans adresse IP associé. Si je pousse plus loin avec l'onglet "Redirection" et que je filtre également sur "ipv4 - A", je ne vois que monndd et mon IP également (comme "zone DNS") Pour la deuxième IP, c'est ce que j'ai pu lire via un moteur de recherche (Webmail...), mais je n'ai effectivement pas été plus loin que ça. C'était quoi alors ? Il ne fallait pas la supprimer ? Pour le fichier ".htaccess" Il n'y a rien à modifier dedans ? je l'ai copié tel quel avant de l'enregistrer sous le répertoire Web créé par Web Station. Pour info, je suis passé par TextEdit (sous MAC) et j'ai enregistré au format RTF proposé par défaut. Quand je l'ai copié sous "Web", je l'ai renommé ".htaccess" j'espère que cette manip n'a pas altéré quoi que ce soit. Sinon, j'ai vu d'autres propositions de contenu (légèrement différent) sur le site d'OVH où l'on voit le nom de domaine d'inscrit. Mais je ne suis pas un pro du PHP, donc je préfère demander... Titi-73

Bonjour Jeff777, Bien vu pour les copies d'écran. Merci. Je viens de regarder mon compte OVH. Effectivement, il y a une deuxième redirection vers l'IP de leur serveur Webmail. Je pensais qu'il ne fallait pas toucher au réglage par défaut initial et simplement ajouter mes propres besoins. Ben vu les circonstances, et comme je n'utilise pas ce service chez eux, je l'ai supprimé... Après vérification sur "whatsmydns.net" il n'y a dorénavant que l'IP de mon domaine. Je viens de faire les essais suivants : 1/ Sur navigateur connecté en wifi sur ma BBox: http://sousdomaine.monndd.fr => erreur 500 http://monndd.fr => erreur 500 https://sousdomaine.monndd.fr => OK (accès au NAS pour l'application concernée) https://monndd.fr => erreur 500 2/Sur navigateur connecté via 4G : Les 4 essais ci-dessus n'aboutissent à rien de rien... (ça rame un certain temps, puis le serveur ne répondait plus) Sur le site d'OVH, ils associent l'erreur 500 à une mauvais configuration du site du client (le contraire m'aurait étonné !) Mais ils précisent également que les sources d'erreurs peuvent être liées à ".htaccess", aux permissions/droits ou une erreur de script. C'est une piste de recherche... Titi-73

Bonsoir, Je vous amène enfin les nouvelles (avant d'aller me coucher puisqu'il est 3h passé... LOL) J'ai bien installé Web Station, et j'ai bien créé et ajouté sous le dossier Web, le fichier ".htaccess" pour permettre la redirection automatique http > https. Petit détail qui ne doit pas avoir une énorme importance, j'ai installé plus de paquets PHP que le prévoit le tuto de Kawamashi. Je suppose que ce n'est qu'une question de date et que depuis le tuto, il a dû y avoir ces deux nouvelles versions 7.2 et 7.3. qui se sont rajoutées... En bref, j'ai tout installé et dans les paramètres généraux de Web Station, j'ai bien entendu paramétré la dernière version (7.3) par défaut. Mais pour autant la demande certificat LE n'a toujours pas fonctionné. J'ai donc repris point par point le tuto : - J'ai vérifié sur mon compte OVH. Tout semble OK, j'ai même ajouté (pour faire un essai) le domaine générique "*.monndd.fr" en CNAME. Mais je pense que je le supprimerai très rapidement à terme, si les autres fonctionnent bien - Ma BBox redirige bien a priori les ports 443 et 80 vers l'IP fixe (LAN) de mon NAS - Le Pare-Feu de la BBox est toujours pour le moment désactivé (je regarderai ça après...), et pour celui du NAS, j'ai remplacé les deux lignes précédemment créées avec les IP de LE, par : autorisation du port 80 / TCP / pour tous... (uniquement le temps de créer le certificat...) - J'ai vérifié la configuration du portail des applications, tout est bien en HTTP - J'ai vérifié le bon fonctionnement en tapant pour chaque domaine créé : IP_Locale_du_NAS:port (HTTP de l'application) - Là, tout fonctionnait sauf une application qui refusait de s'ouvrir et me renvoyait un message "l'utilisateur a été désactivé ou supprimé". Or, tout est configuré comme il faut côté "utilisateurs". Après tous ces essais, je me suis dit qu'un petit arrêt / marche ne lui ferait peut-être pas de mal... Et j'ai bien fait, tout est redevenu correct aussitôt (la magie du reset !) - J'ai donc vérifié le Proxy inversé, tout est OK également : https://application.monndd.fr et http://localhost:port (correspondant à l'application bien entendu) C'est là que ça coince. Quand je tape https://application.monndd.fr sur un navigateur depuis l'externe (partage de connection en 4G) et quelle que soit l'application, rien ne répond... Je ne suis redirigé nulle part, et je n'ai aucun avertissement de sécurité. Le problème est donc bien au niveau des noms de domaines. Ils sont non reconnus, mal orientés, rejetés, ou perdus en route... Sachant que finalement (sauf erreur de ma part) : > le nom de domaine n'est pas utilisé dans les paramètres "Accès externe", "Réseau" et "Sécurité", > l'absence de certificat LE ne doit pas être bloquant dans un premier temps. Je devrais au moins avoir l'avertissement ! Je me demande vraiment où ça peut coincer... Existe-t-il un genre de journal (dans le NAS ou la BBox éventuellement) qui permettrait de cibler un peu plus précisément l'endroit du blocage ? En tout cas, même si cela ne marche toujours pas, je suis plutôt satisfait d'avoir appris pas mal de chose aujourd'hui... Et l'installation de Web Station est déjà faite pour la suite, c'est déjà ça ! Allez, je ne tiens plus, je vais me coucher. Au plaisir de vous relire ! (si vous ne me laissez pas dans la mouise...) Titi-73

Ok, merci à tous les deux. Je m'en occupe et je vous tiens au courant...

Jeff777, J'ai refait des copies d'écran (c'est plus parlant...) Accès externe > Avancé Réseau > Paramètre de DSM Quant au portail des applications, j'ai fait exactement la même chose que Kawamashi. Bonjour PPJP, Merci de t'intéresser encore à mon problème. 🙂 Non, je n'ai pas installé le paquet Web Station. Parce que je ne l'avais lu dans aucun tuto, tout simplement... (du moins pour le B.A. BA de l'installation, config, etc.) Et je n'en suis pas à créer mon propre site Web pour le moment... Est-ce que je dois le mettre malgré tout ? Titi-73

OK merci. Sauf erreur de ma part, le proxy inverse, c'est le "reverse proxy" dans la config du NAS... Donc il n'y aurait pas de problème particulier avec OVH (NS ou autre) ? Je regarde ça, et je reviens...