Salut à tous,

Me revoilà avec encore un problème de paramétrage à résoudre... :p

 

J'ai parcouru longuement le forum sans trouver de solution à mon problème.

J'ai tout d'abord créé un accès externe à mon Nas avec un service ddns : nom.synology.me 

Tout fonctionne très bien avec l'utilisation du certificat auosigné Synology.

Lors d'une connexion sur l'adresse : https://nom.synologe.me depuis l'extérieur, le navigateur me demande d'ajouter un exception de sécurité car certificat non fiable.

J'ai donc voulu créer un certificat Let's Encrypt pour régler ce problème.

J'ai suivi l'assistant de Dsm pour télécharger un certificat Let's Encrypt.

Voilà les capture écran de ce que je met en réglages

 

 

 

 

Ensuite je clique sur appliquer et voici le message d'erruer qui s'affiche :

Pourtant j'ai bien ouvert les ports 80 et 443 sur le parefeu du Synology (voir ci-dessous), et également enregistré les règles NAT de ma Box.

Pour info, j'ai changé les port de DSM en 1979 (http) et 1980 (https)

Parefeu du Nas :

Mes redirections NAT sur la livebox (j'ai surement trop fait de redirections pour les applicatons mais faudra que j'affine) ;)

Avez-vous une idée de ce qui pose problème ?

Modifié le 30 janvier 20187 a par Clypse

Salut,

As-tu un service web ouvert sur ton port 80 ? (est-ce qu'une page web s'affiche si tu tapes http://nom.synology.me ?)  

Car si rien ne répond sur ce port, Let's encrypt ne peut pas valider ton domaine.

 

Oui, lorsque je tape cette adresse depuis l'extérieur sur un navigateur j'arrive à l'interface de connexion de Dsm :)

Voilà le statut de DDNS

Modifié le 30 janvier 20187 a par Clypse

Bonjour , je crois que ce n'est pas possible avec un DDNS , car le nom de domaine ne vous appartient pas (synology.me).

Pourtant j'ai suivi le tuto ici : https://www.nextinpact.com/news/98199-lets-encrypt-et-dsm-6-0-comment-creer-certificat-pour-votre-nas-synology.htm

Ils n'ont pas l'air de dire que ça ne marche pas.

C'est surtout parce que l'autre nom de l'objet (communément appelé le SAN) n'est pas un nom valide. Un certificat ne peut pas être émis sur un domaine inexistant. Et sauf erreur, le domaine certif.nas.com n'est qu'un nom imaginaire. Si vous n'avez que le nom de domaine à certifier, vous laissez cette ligne (SAN) en blanc.

Super ça fonctionne !! Un GRAND MERCI !

Je croyais que le champ "autre nom de l'objet" servait plutôt à décrire le certificat.

J'ai laissé vide et ca marche.

Super forum 

 

Et concernant le port 80 et les réglages du parefeu, faites donc un tour sur cette réponse que j'ai faite pour son paramétrage dans le tuto serveur VPN.

Je l'avais lu au cours de mes recherches sur le forum, je vais regarder de plus près ;)

Regardez d'encore plus près alors. Les ports 5000 et 80 ouverts sur l'extérieur, ce n'est pas ce qui se fait de mieux. Et regardez aussi l'ordre des lignes de votre parefeu. C'est important.

Voilà j'ai qq peu modifié ma config. Je pense que c'est mieux comme ça.

Me reste plus qu'à tester si tout fonctionne :)

Ce n'est pas tout à fait ce que j'ai dit. Il faut bien que le port 80 du routeur soit dirigé vers le NAS. Mais il faut en diminuer la portée aux seules IP servant au renouvellement du certificat. Les 2 adresses sont données un peu plus loin par PiwiLABruti. Il suffit de créer 2 règles sur le port 80, une pour chaque IP. Ainsi vous pouvez laisser le 80 ouvert en permanence sans risque d'attaque externe.

Ensuite, la règle de refus doit obligatoirement être placée en dernier. Les règles sont lues à la suite. Et actuellement, votre service ntp (dernière ligne) est bloqué

Ok, merci pour ces précisions.

J'ai fait les modifications.