Mic13710 Posté(e) le 8 mai 2017 Partager Posté(e) le 8 mai 2017 OK vu. Merci pour l'info. Il faut donc surveiller tous les 61 jours. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jérôme_D Posté(e) le 15 mai 2017 Partager Posté(e) le 15 mai 2017 Le 21/10/2016 à 16:38, Fenrir a dit : Dans ton cas, tu as juste à faire en sorte que rien d'autre n'écoute sur le port 80 le temps de la manip. J'aurais besoin d'un petit décodage de cette phrase... Pour la mise en place du certif je dois aussi ouvrir le port 80 et la lecture du forum me laisse penser que tous les hackers du monde m'attendent au tournant... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 15 mai 2017 Partager Posté(e) le 15 mai 2017 Il ne faut pas être parano non plus (il n'y a que moi qui ait ce droit ), ce n'est pas pas parce qu'un port est ouvert que tu vas te faire pirater (certains vont essayer, c'est certain). Si la sécurité globale de ton nas est correcte (cf tuto) et que tu n'as pas d'application pleine de trous sur les ports en question (par exemple un worpress pas à jour), tu ne risque pas grand chose de plus que n'importe quel site internet. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oli.oli Posté(e) le 15 mai 2017 Partager Posté(e) le 15 mai 2017 Sinon, tu peux l'ouvrir sur demande uniquement, mais c'est un peu plus pénible... Pour la création, pas de problème, tu ouvres le port 80, tu crées le certificat, tu refermes le port. Pour le renouvellement, ça va échouer car le port 80 sera fermé. Dans ce cas, tu ouvres le port 80, tu forces le renouvellement avec la commande suivante : /usr/syno/sbin/syno-letsencrypt renew-all Et tu refermes le port 80. Ce n'est pas super pratique, mais ça a bien fonctionné pour moi... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
titi007 Posté(e) le 16 juillet 2017 Partager Posté(e) le 16 juillet 2017 Bonjour, j'ai un Nas synology et je cherche à créer un certificat pour un sous domaine. J'ai l'impression que je ne suis pas loin d'y arriver mais j'ai beau tout essayer et toujours le même problème ! je desespère ... à l'aide Donc voilà, via le dns syno, j'ai créé un domaine : nastiti.synology.me (pour l'exemple) j'ai créé un sous domaine via le proxy inversé : titi.nastiti.synology.me qui me renvoie vers le port 192.168.1.34 en https Sur ma livebox, j'ai fait 2 redirections vers le syno pour le http (port 80) et https (443). Quand je créé un certificat pour nastiti.synology.me, aucun problème ça passe. je cherche alors a créer un certificat pour titi.nastiti.synology.me et là, patatra, toujours l'erreur 80 (je dirai presque normal car titi n'est accessible qu'en https..) j'ai essayé dans les certificats (via sécurité/ certificat/ configurer) de joindre titi.nastiti.synology.me à nastiti.synology.me mais quand je tente d’accéder à titi.nastiti.synology.me, j'ai une erreur de certificat.. et là, je sèche .. si quelqu'un a la patience de m'aider, je suis preneur ! par avance, merci 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
KSCM Posté(e) le 19 juillet 2017 Partager Posté(e) le 19 juillet 2017 Le 15/05/2017 à 23:34, oli.oli a dit : Sinon, tu peux l'ouvrir sur demande uniquement, mais c'est un peu plus pénible... Pour la création, pas de problème, tu ouvres le port 80, tu crées le certificat, tu refermes le port. Pour le renouvellement, ça va échouer car le port 80 sera fermé. Dans ce cas, tu ouvres le port 80, tu forces le renouvellement avec la commande suivante : /usr/syno/sbin/syno-letsencrypt renew-all Et tu refermes le port 80. Ce n'est pas super pratique, mais ça a bien fonctionné pour moi... Bonjour, Y aurait'il la possibilité de programmer une tâche permettant l'ouverture et la fermeture de ce port 80 après la mise à jour du certificats ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 19 juillet 2017 Partager Posté(e) le 19 juillet 2017 @KSCM : sur le syno si, il faut créer un script qui ajoute une règle avec iptables puis lancer la commande de renouvellement, attendre qu'elle soit bien terminée et retirer la règle, par contre ça sous entend que la règle de transfert de port de ta box soit toujours active 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 19 juillet 2017 Partager Posté(e) le 19 juillet 2017 Il y a peut-être plus simple. Grâce à PiwiLAbruti, nous connaissons les IP utilisées par Let's Encrypt pour la création et la maj des certificats. Il suffit de laisser le 80 ouvert dans le routeur, et créer 2 règles dans le parefeu pour laisser les adresses Let's Encrypt utiliser le http : 66.133.109.36 64.78.149.164 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 19 juillet 2017 Partager Posté(e) le 19 juillet 2017 Ce n'est pas incompatible, en passant, les ips peuvent changer, en toute rigueur il faudrait utiliser le PTR de outbound1.letsencrypt.org et outbound2.letsencrypt.org mais même comme ça, c'est sans garantie : https://community.letsencrypt.org/t/ip-addresses-of-outbound-validators-stability-over-time/11731 Les IP ont déjà changé 2 fois depuis le début du projet ... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
KSCM Posté(e) le 19 juillet 2017 Partager Posté(e) le 19 juillet 2017 Il y a 1 heure, Fenrir a dit : @KSCM : sur le syno si, il faut créer un script qui ajoute une règle avec iptables puis lancer la commande de renouvellement, attendre qu'elle soit bien terminée et retirer la règle, par contre ça sous entend que la règle de transfert de port de ta box soit toujours active Pas forcement gênant car derrière le routeur le port du syno est fermé. Par contre je n'ai aucune idée de comment créer ce script, je vais commencer à chercher 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ben337 Posté(e) le 12 janvier 2018 Partager Posté(e) le 12 janvier 2018 Bonsoir tout le monde, Je viens de suivre deux tutoriels sur la sécurité et le VPN de Fenrir que je remercie au passage. Ça m'a grandement aidé pour la prise en main du NAS. Mon objectif est assez simple : partager des dossiers entre mes différents collaborateurs qu'ils soient en local au bureau ou en déplacement. Pour ce faire, j'ai créé un lecteur réseau en local et à distance via OpenVPN. Le tout fonctionne bien (même si un peu lent mais ça n'est pas le sujet). Mon NAS est derrière ma bbox qui dispose d'une IP fixe. J'ai une URL pointe vers l'IP (sousdomaine.mondomaine.fr). L'url mondomaine.fr est mon site internet qui est hébergé en mutualisé chez 1and1. Ce domaine a déjà un https (via l'offre de 1and1). Le sous domaine n'en profite pas. J'ai donc essayé de créer un certificat lets encrypt depuis mon NAS, sans succès. J'ai toujours les mêmes messages d'erreur : - Échec de la connexion à Lets Encrypt. Assurez-vous que le nom de domaine est valide (j'ai mis sousdomaine.domaine.fr / monemail@mondomaine.fr / Rien) - Echec de l'opération. Reconnectez vous à DSM - Un dernier dont j'ai pas copié malgré quelques tentatives comme celles-ci : - Désactiver mon pare feu (NAS et Bbox) pour simplifier les tests tout en laissant le tcp, udp 1194 autorisé - Essayer en SSH de wget google (ça mon retourne bien un connecté) - Changer mes NAT et j'en passe. Voici les règles NAT de ma bbox : La règle "HTTPS NAS" redirige le protocole TCP pour les flux Internet ayant le port 443 de la bbox vers le port 5001 du périphérique 192.168.1.100. La règle "HTTP NAS" redirige le protocole TCP pour les flux Internet ayant le port 80 de la bbox vers le port 5000 du périphérique 192.168.1.100. La règle "VPN NAS " redirige le protocole UDP pour les flux Internet ayant le port 1194 de la bbox vers le port 1194 du périphérique 192.168.1.100. La règle "NAS Http" redirige le protocole TCP pour les flux Internet ayant le port 5000 de la bbox vers le port 80 du périphérique 192.168.1.100. Pouvez-vous m'aider :-) merci beaucoup ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oli.oli Posté(e) le 12 janvier 2018 Partager Posté(e) le 12 janvier 2018 Hello, il y a 28 minutes, Ben337 a dit : La règle "HTTP NAS" redirige le protocole TCP pour les flux Internet ayant le port 80 de la bbox vers le port 5000 du périphérique 192.168.1.100. De mémoire, pour Let's Encrypt, il faut natter le port 80 de la box vers le port 80 du NAS (et non pas le port 5000). Essaie comme ça pour voir. Pour le renouvellement, c'est comme ça qu'il faut procéder en tout cas. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PPJP Posté(e) le 12 janvier 2018 Partager Posté(e) le 12 janvier 2018 Ls règles NAT : 80 vers 80, 443 vers 443 et 5000 vers 5000 et 5001 vers 5001 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ben337 Posté(e) le 12 janvier 2018 Partager Posté(e) le 12 janvier 2018 Merci, ça a l'air d'être actif désormais. J'ai remis 80 -> 5000 mais dois-je laisser 80->80 ? Pas sûr de comprendre. Quand je tape https://sousdomaine.domaine.fr je tombe sur ma box... une idée ? Pourtant, mes NAT montre bien 443->5001. Pas si simple tout ça :) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PPJP Posté(e) le 12 janvier 2018 Partager Posté(e) le 12 janvier 2018 Pour que le certificat puisse se renouveler il faut laisser 80 vers 80, 443 vers 443 Je déconseille d'ouvrir le port 5000 (non sécurisé) sur internet Plutôt nater 5001 vers 5001 et se connecter avec https://sousdomaine.domaine.fr :5001 Et puisque qu'un serveur VPN est installé, la meilleure solution serait de l'utiliser et dans ce cas de ne pas ouvrir le port 5001. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oli.oli Posté(e) le 13 janvier 2018 Partager Posté(e) le 13 janvier 2018 (modifié) Pour les opération concernant Let's Encrypt (création, renouvellement), il faut toujours que le port 80 du NAS soit accessible, Let's Encrypt ne sait pas travailler sur le port 443 actuellement. Personnellement, j'ai toujours une règle de NAT "port 80 -> Port 80 du NAS" de créée que j'active uniquement quand j'en ai besoin (notamment pour le renouvellement de certificat : cf. mon post un peu plus haut dans ce fil). Maintenant, pour ce qui est de tes règles : L'idéal : Limiter les ports ouverts à ceux du VPN et tout faire par ce biais comme indiqué par @PPJP . Mais si comme moi, tu ne peux pas toujours te connecter en VPN (selon les restrictions des sites sur lesquels je me trouve) et que les ports autres que ceux habituels sont bloqués, tu peux faire la chose suivante : Sur le NAS, rediriger systématiquement les connexions sur le port 5000 (en clair) vers le port 5001 (chiffré) => Panneau de Config, Réseau, Paramètres DSM, rediriger le HTTP vers HTTPS. Pour le NAT, tu laisses simplement le VPN et tu rediriges le 443 vers le 5001 du NAS. Enfin, tu bloques les tentatives de connexion qui échoue : Sécurité, onglet Comptes, et tu coches "Activer le blocage auto" et tu règles les paramètres comme tu préfères. (Perso blocage auto définitif au bout de 3 tentatives). Modifié le 13 janvier 2018 par oli.oli 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 13 janvier 2018 Partager Posté(e) le 13 janvier 2018 il y a 10 minutes, oli.oli a dit : Personnellement, j'ai toujours une règle de NAT "port 80 -> Port 80 du NAS" de créée que j'active uniquement quand j'en ai besoin (notamment pour le renouvellement de certificat : cf. mon post un peu plus haut dans ce fil). Si le port 80 ne sert qu'à ça, il est plus simple de n'autoriser que les ports Let's Encrypt dans le parefeu qu'on peut laisser ouverts en permanence. Les ports sont donnés plus haut dans ce fil. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ben337 Posté(e) le 13 janvier 2018 Partager Posté(e) le 13 janvier 2018 Mon usage est assez simple au final, je veux juste qu'on puisse se connecter en lecteur réseau en local et à distance donc en effet, le VPN me suffit. J'ai donc laissé uniquement 80->80 / 443->443 / 1194->1194 dîtes moi si vous pensez que je doive supprimer quelque chose. Pour le pare feu, je testerai plus tard les règles. J'ai testé hier d'activer le forcer Http vers Https qui m'a vallu un aller retour au bureau, je ne pouvais plus accéder à mon Nas... Pourtant si je tape sous.mondomaine.fr:5001 j'y accède bien (mais le https est rouge) alors que sur DSM j'ai bien lets encrypt authority X3 avec le cadenas vert le tout "par défaut". Une idée ? Merci en tout cas :-) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ben337 Posté(e) le 13 janvier 2018 Partager Posté(e) le 13 janvier 2018 J'ai redémarré le NAS et ça fonctionne désormais en https. Merci à vous. Par contre, est-on obligé de mettre le port 5001 à la fin de l'url ? D'après vos dires et mes usages (lecteur réseau local et à distance via VPN), je peux finalement laisser uniquement le port 1194 ouvert ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oli.oli Posté(e) le 13 janvier 2018 Partager Posté(e) le 13 janvier 2018 Si le VPN fonctionne bien, tu te connectes d'abord au VPN et ensuite tu fais https://192.168.1.100:5001 pour accéder à ton NAS et dans ce cas, oui, tu es obligé de mettre le 5001 à la fin. Autrement, si tu te connectes à ton NAS sans passer par le VPN donc avec : https://sous.mondomaine.fr, Tu peux faire le NAT suivant : 443 -> 5001 (seulement si tu ne te sers pas du port 443) Enfin, pour tes règles de NAT, tu auras besoin régulièrement du 80->80 pour le renouvellement du certificat, tous les 3 mois. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ben337 Posté(e) le 13 janvier 2018 Partager Posté(e) le 13 janvier 2018 ça roule parfaitement ! Thanks ! J'ai encore deux petites lignes en rouge sur OpenVPN, est-ce grave ? > WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. > WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this > celle-ci, j'ai trouvé comment l'enlever mais est-ce grave de stocker le mot de passe ? Car mes users vont pas le retaper à chaque fois... J'aimerai que ça soit transparent comme solution. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ben337 Posté(e) le 14 janvier 2018 Partager Posté(e) le 14 janvier 2018 Hello, Petite question supplémentaire > J'ai chiffré ma connexion VPN, mon nas est en https. Je vais donc stocker mes données sur les dossiers partagés utilisés en local. Faut il que je chiffre ces dossiers, est-ce important (sachant qu'ils s'agît de documents confidentiels pro). La clés de chiffrement doit elle être longue ? Est-ce que ça ralentit beaucoup l'usage du lecteur réseau (je suis sur un 918+) ? Merci 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Kiroha Posté(e) le 21 mars 2018 Partager Posté(e) le 21 mars 2018 (modifié) Bonsoir à tous :) Je me permets de poster ici car je rencontre un problème pour déclarer un nouveau certificat let's encrypt. Je dispose d'un routeur Synology RT1900 AC en frontal avec l'IP public sur l'ONT (pas de box en DMZ) et d'un DS713 +. Actuellement j'utilise le DDNS en myds.me et j'ai déclaré un certificat let's encrypt sur celui-ci sans problème il y a de ça plus d'une année. Ce soir j'ai décider de faire l'acquisition d'un nom de domaine "kiro-ho.me" . Étant à l'aise avec l'informatique car c'est mon métier, j'ai installé DNS server sur mon routeur et je me suis créé une zone kiro-home.lan qui répond uniquement sur mon LAN et une zone kiro-ho.me qui répond uniquement sur le WAN, sur le serveur DNS de mon RT1900AC. J'ai ensuite modifié les names server chez mon registar et tout fonctionne nikel. Naturellement j'ai donc poursuivi mon périple pour remplacer mon certificat let's encrypt pour le signer sur mon nouveau domaine. C'est là que je rencontre un soucis. Le nas refuse d'aller au bout avec l'erreur qu'il n'arrive pas à joindre let's encrypt. J'ai donc vérifié sur mon routeur que le NAT et le Firewall soit bien OK. Pour info, le Firewall du NAS n'est pa activé (un seul suffit :D ). Vous trouverez en PJ les screen de mes erreurs. Mon but final est d'avoir nas.kiro-ho.me sans alerte https sur le NAS et routeur.kiro-ho.me sans alerte https sur le RT1900AC Je vous remercie par avance pour l'aide que vous m'apporterez sur mon problème. Cdt, Cédric Modifié le 21 mars 2018 par Kiroha 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 21 mars 2018 Partager Posté(e) le 21 mars 2018 Ce message indique que : soit le port 80 n'est pas ouvert ou est bloqué par le FAI et/ou n'est pas dirigé vers le NAS soit un ou plusieurs noms de domaine n'existe(nt) pas Question : pourquoi avoir utilisé deux ndd différents pour le LAN et pour le WAN ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 22 mars 2018 Partager Posté(e) le 22 mars 2018 Au pire, passe par mon tuto et importe ton certificat manuellement. C'est aussi rapide que d'essayer de le créer dans le NAS et il aura pour avantage d'être Wildcard. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.