Yohann83 Posté(e) le 31 juillet 2019 Partager Posté(e) le 31 juillet 2019 (modifié) Bonjour à tous, j'ai commencé à configurer mon premier NAS, DS218J, complètement néophyte en la matière j'ai tenté de déchiffrer et d'appliquer avec rigueur les différents et excellents tuto de Zeus et Fenrir, merci pour le temps que vous avez dû passer pour faire ces tutos, alors à priori en local tout se passe bien, par exemple je peux accéder au contenu du NAS depuis le Macbook de mon épouse depuis son compte utilisateur... Cependant je n'arrive toujours pas à me connecter à DS File en 4G depuis mon Iphone et c’est bien mon objectif, pouvoir accéder à mes documents en étant à l’extérieur, au bureau, en vacance... alors qu'en WIFI à la maison ça se connecte de suite, je n'ai pas pu encore essayer depuis un autre réseau wifi ou connexion extérieure. Je commence à désespérer, je ne sais plus où chercher, j'en suis à ma troisième boite de Doliprane en deux jours 🤕, je pensais même faire un reset et tout reprendre à zéro... 🥺 J'ai vu des sujets similaires mais les réponses ne m'ont pas apportées de solution... Quelques éléments pouvant aider votre diagnostic : 1) je suis chez SFR Fibre, IP fixe si je ne me trompe pas, 2) je suis sur Imac, 3) j'ai pris un domaine OVH (suite tuto Zeus), 4) j'ai appliqué le tuto de Fenrir pour sécuriser le NAS, 5) j'ai Nordvpn 6) j'ai appliqué le tuto pour le reverse proxy 7) j'ai appliqué le tuto DNS Server 8 ) dans DSM (6.2.2) j'ai autorisé dans le part feu les différents ports précisés dans les tutos, et dans mon espace box SFR j'ai transféré les ports précisés dans les tutos vers le NAS. 9) j'ai désactivé Quick connect Quelques questions sur certains points : 4) en suivant le tuto sécuriser le NAS je bloque sur l'étape obtenir un certificat LE, j'ai le msg "nom de domaine non valide", alors qu'il est créé via OVH, j'ai suivi un tuto qui précisait d'installer Webstation, Maria Db, Word press... sur Word press quand je fais visualiser le site je tombe sur "site en cours de construction" OVH... en même temps je n'ai rien créer sur ce site mais est-ce obligatoire suite mise en place de webstation/Word press ? Et concernant le certificat, j'en ai bien un d'activé sur OVH mais je ne sais pas comment l'importer pour l'injecter avec DSM... 5) Ayant Nordvpn, faut-il l'activer en suivant le tuto de leur site ? ou activer Openvpn via Tunnelblick ? Faire les deux ? J'ai essayer avec l'un ou l'autre mais ça ne change rien à mon problème de connexion 4G. 7) En suivant le tuto DNS Server je bloque pour définir un DNS secondaire, je ne comprend pas la démarche à réaliser, c'est encore un peu du chinois pour moi... est-ce que ça peut être ça qui bloque ma connexion en 4G ??? Bonus : dans panneau de config/réseau/général quelles valeurs faut-il renseigner dans "configurer manuellement le serveur DNS" ? et où trouve t-on ces adresses ? ou faut-il laisser par défaut ? Merci pour votre aide !!! J'espère avoir été assez complet et précis dans mes éléments, si besoin je peux ajouter des imprim écran de mes configs, je dois juste masquer mon adresse IP c'est bien ça ? Modifié le 31 juillet 2019 par Yohann83 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 31 juillet 2019 Partager Posté(e) le 31 juillet 2019 (modifié) As tu mis en place le routage de ports sur ta box ? Modifié le 31 juillet 2019 par Thierry94 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yohann83 Posté(e) le 31 juillet 2019 Auteur Partager Posté(e) le 31 juillet 2019 Sur ma box je suis allé dans NAT, redirection des ports, j’ai les ports 80, 443, 53 et 1194 dirigés vers l’IP du NAS. C’est bien ça ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yohann83 Posté(e) le 1 août 2019 Auteur Partager Posté(e) le 1 août 2019 pour compléter, j'ai essayé de me connecter au NAS depuis le domicile d'un collègue via son PC qui était en WIFI, impossible de me connecter au NAS depuis son PC en http ou en https... 😭 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 1 août 2019 Partager Posté(e) le 1 août 2019 443 ok pour dsfile si tu passes par le reverse proxy ... As tu ouvert les accès dans le firewall du Nas ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yohann83 Posté(e) le 1 août 2019 Auteur Partager Posté(e) le 1 août 2019 il y a une heure, Thierry94 a dit : 443 ok pour dsfile si tu passes par le reverse proxy ... As tu ouvert les accès dans le firewall du Nas ? J'ai ouvert les ports suivants (voir image), par contre j'ai un doute, si il faut choisir port source, ou port de destination ? pour reverse proxy j'ai appliqué le tuto en question je n'ai pas souvenir de point bloquant, est-il possible de vérifier le bon fonctionnement du reverse proxy ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 1 août 2019 Partager Posté(e) le 1 août 2019 C'est le port destination qu'il faut utiliser ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yohann83 Posté(e) le 1 août 2019 Auteur Partager Posté(e) le 1 août 2019 il y a 39 minutes, Thierry94 a dit : C'est le port destination qu'il faut utiliser ! J’ai tout basculé en port destination mais problème toujours présent.... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 1 août 2019 Partager Posté(e) le 1 août 2019 (modifié) Question tu vas utiliser tout ce que tu as installé ? Si non, désinstalle les applications et retire les du firewall, tu pourras toujours les ajouter le moment venu. DHCP Serveur : Normalement c'est ta box qui assure le service DHCP, si oui désinstalle DHCP Server du NAS DNS Serveur : Tu es sur une box SFR donc elle gère le loopback c'est à dire qu'elle à la capacité de faire du DNS local. L'idée étant de pouvoir utiliser les mêmes url en local et en extérieur. A voir dans les paramètres de la box si tu trouves un onglet DNS qui te permettra d'associer ton nom de domaine à ton NAS (désolé mais je suis sur Orange donc peux pas t'indiquer précisément ou). Dans ce cas tu n'auras plus besoin de DNS Server Maintenant on va essayer de résoudre ton problème d'accès extérieur, pour file station, ... - Comment as tu paramétré la zone DNS de ton domaine chez OVH - Comment as tu paramétré le reverse proxy sur file station - Comment as tu paramétré le routage NAT sur ta box SFR - As tu activé l'IPV6 sur la box Modifié le 1 août 2019 par Thierry94 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yohann83 Posté(e) le 2 août 2019 Auteur Partager Posté(e) le 2 août 2019 (modifié) Il y a 7 heures, Thierry94 a dit : Question tu vas utiliser tout ce que tu as installé ? Si non, désinstalle les applications et retire les du firewall, tu pourras toujours les ajouter le moment venu. DHCP Serveur : Normalement c'est ta box qui assure le service DHCP, si oui désinstalle DHCP Server du NAS DNS Serveur : Tu es sur une box SFR donc elle gère le loopback c'est à dire qu'elle à la capacité de faire du DNS local. L'idée étant de pouvoir utiliser les mêmes url en local et en extérieur. A voir dans les paramètres de la box si tu trouves un onglet DNS qui te permettra d'associer ton nom de domaine à ton NAS (désolé mais je suis sur Orange donc peux pas t'indiquer précisément ou). Dans ce cas tu n'auras plus besoin de DNS Server Maintenant on va essayer de résoudre ton problème d'accès extérieur, pour file station, ... - Comment as tu paramétré la zone DNS de ton domaine chez OVH - Comment as tu paramétré le reverse proxy sur file station - Comment as tu paramétré le routage NAT sur ta box SFR - As tu activé l'IPV6 sur la box Alors j'ai installé les paquets et ouvert les ports associés dans le firewall en suivant les divers tuto pensant que tout était lié et indispensable, mais je n'ai peut être pas besoin de tout finalement, je peux donc en retirer certains. Pour DHCP, en effet c'est activé dans ma box, image ci-jointe, je peux donc désactiver DHCP Server DNS Serveur : dans ma box j'ai pu associer mon IP NAS avec mon NDD, je peux donc désinstaller DNS Server Pour File station : - j'ai paramétrer la zone DNS en suivant le tuto, j'ai ajouté une entrée, champ A, sous-domaine laissé vide, TTL personnalisé 60, cible mon IP Fixe de ma box. - le reverse proxy j'ai appliqué le tuto également, mais dans le tuto les paramètres se font dans DSM, je n'ai pas vu qu'il fallait mettre des paramètres dans File station, c'est peut être la cause du problème ? de plus j'ai buté sur l'étape pour obtenir le certificat LET, j'ai un message NDD non valide, pourtant il est bien valide et j'ai un certificat sur OVH..., j'ai essayer de taper l'adresse HTTPS://fichiers.ndd.fr mais ça ne marche pas je tombe sur une page blanche : site inaccessible, impossible de trouver l'adresse IP du serveur fichiers.ndd.fr 😞 j'ai bien un problème de reverse proxy - Routage NAT : 80 et 443 dirigés vers l'IP NAS, image ci-jointe, - Sur ma Box je n'ai pas activé l'IPV6,, il me semble avoir lu qu'il ne fallait pas le faire, c'est bien ça ? Merci pour ton aide ! Modifié le 2 août 2019 par Yohann83 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 août 2019 Partager Posté(e) le 2 août 2019 Tu peux supprimer les routage nat des ports 53 Dans la zone dns chez ovh il faut ajouter les enregistrements CNAME pour fichiers.ndd.fr, videos.ndd.fr, audio.ndd.fr et download.ndd.fr Question : pourquoi avoir changé les ports par défaut des applications puisque tu passes par le reverse proxy ? Non pas d'ipv6 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yohann83 Posté(e) le 2 août 2019 Auteur Partager Posté(e) le 2 août 2019 (modifié) il y a 37 minutes, Thierry94 a dit : Tu peux supprimer les routage nat des ports 53 Dans la zone dns chez ovh il faut ajouter les enregistrements CNAME pour fichiers.ndd.fr, videos.ndd.fr, audio.ndd.fr et download.ndd.fr Question : pourquoi avoir changé les ports par défaut des applications puisque tu passes par le reverse proxy ? Non pas d'ipv6 ok j'ai supprimé les routages 53. Pour les ports j'ai mis les mêmes que dans le tuto reverse proxy...., et je ne connaissais pas les ports par défaut Dans OVH j'ai ajouté les CNAME, c'est sensé résoudre le problème de connexion à DS file depuis l'extérieur ? Pour l'instant ça ne marche pas, peut être il y a t-il un temps de mise en place ? pour se connecter à DS File depuis l'Iphone, je rentre bien l'IP NAS, mon pseudo utilisateur, mot de passe, je laisse https décoché ? C'est bien ça ? pour l'IP NAS, faut-il ajouter le port xx.xx.x.x:45002 ? ou juste l'IP sans :45002 ? Sinon sur internet, en tapant https://fichiers.ndd.fr, je tombe maintenant sur la page me prévenant que ce site n'est pas sécurisé, puisque je n'ai pas réussi à faire l'étape de certificat LET je suppose, par contre même en faisant poursuivre vers ce site ça ne marche pas.... Modifié le 2 août 2019 par Yohann83 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 août 2019 Partager Posté(e) le 2 août 2019 (modifié) Enlever le routage du port 80 sur la box (il ne faut accéder à votre NAS qu'en https, sinon vos login et mot de passe circulent en clair sur Internet ! Dans portail des applications remettre le port http par défaut 7000 Depuis l'extérieur il faut mettre votre ip fixe publique, celle de la box (pas son adresse locale), ou encore mieux votre nom de domaine ! Depuis DSfile : - nom du serveur fichiers.ndd.fr:443 (ajouter :443 car vous allez passer par le reverse proxy et non pas par le port https de File Station. C'est le reverse proxy qui enverra en local votre requête sur le port de File Station 7000) - votre login et mot de passe - cocher la case HTTPS Depuis un navigateur web : https://fichiers.ndd.fr (pas besoin d'ajouter :443 car c'est le port par défaut pour les connexions https) Pour le certificat Let's Encrypt il faut le temps de la validation mettre dans la box un routage du port 80 vers le NAS pour let's Encrypt. Une fois le certificat validé il faut désactiver ces routages. Il devront être réactivés dans 3 mois pour le renouvellement du certificat. Attention ce certificat est mono domaine ndd.fr et ne sera inopérant sur les autres domaines (fichier.ndd.fr, audio.ndd.fr et download.ndd.fr) Modifié le 2 août 2019 par Thierry94 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
dd5992 Posté(e) le 2 août 2019 Partager Posté(e) le 2 août 2019 Pour le certificat Let's Encrypt, un seul certificat peut servir pour plusieurs domaines. Il suffit d'en préciser la liste lors de la demande de certificat en mettant comme nom de domaine www.ndd.tld par exemple, et en listant les autres noms demandés ("files.ndd.tld,audio.ndd.tld,video.ndd.tld par exemple) en les séparant par une virgule dans le champ "Autre nom de l'objet". Si tu as déjà demandé un certificat avec un seul nom, il faut en redemander un avec tous les noms et supprimer le précédent. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 août 2019 Partager Posté(e) le 2 août 2019 Donc dans ce cas il n'est pas nécessaire de prendre un certificat wildcard ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
dd5992 Posté(e) le 2 août 2019 Partager Posté(e) le 2 août 2019 Tu peux l'éviter par cette méthode si tu connais la liste exhaustive des domaines dont tu as besoin. Mais si tu en ajoutes un (ou supprime un) il faut redemander un certificat tout neuf avec tous les noms de domaine. L'intérêt est tout de même le renouvellement automatique qui fonctionne dans ce cas. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 août 2019 Partager Posté(e) le 2 août 2019 Ah cool je ne savais pas ... j'avais ai pris un certificat chez sslforfree pour mes domaines. je vais revenir vers Let'sEncrypt via le NAS car ma liste de domaines est limitée et connue et le renouvellement automatique est tout de même plus sympa Merci dd5992 pour l'info 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
dd5992 Posté(e) le 2 août 2019 Partager Posté(e) le 2 août 2019 (modifié) Pour le renouvellement (et aussi pour la création initiale), il faut que le port 80 soit ouvert pour chacun des domaines choisis. Pour augmenter la sécurité, j'ai mis une règle dans mon pare-feu qui n'ouvre ce port que pour les deux IP sources utilisées par Let's Encrypt pour le renouvellement (64.78.149.164 et 66.133.109.36), ce qui me permet d'éviter toute manip pour le renouvellement (2 mois, ça passe vite!). Modifié le 2 août 2019 par dd5992 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 août 2019 Partager Posté(e) le 2 août 2019 Par contre la liste des domaines couverts est visible dans le certificat ce qui n'est pas le cas avec mon certificat wildcard car il pour *.ndd.xx. Mais cela est-il vraiment gênant ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
dd5992 Posté(e) le 2 août 2019 Partager Posté(e) le 2 août 2019 C'est vrai. Je ne pense pas que ce soit gênant, mais peut être nos amis auront-ils un autre avis. A voir. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yohann83 Posté(e) le 2 août 2019 Auteur Partager Posté(e) le 2 août 2019 Il y a 6 heures, Thierry94 a dit : Enlever le routage du port 80 sur la box (il ne faut accéder à votre NAS qu'en https, sinon vos login et mot de passe circulent en clair sur Internet ! Dans portail des applications remettre le port http par défaut 7000 Depuis l'extérieur il faut mettre votre ip fixe publique, celle de la box (pas son adresse locale), ou encore mieux votre nom de domaine ! Depuis DSfile : - nom du serveur fichiers.ndd.fr:443 (ajouter :443 car vous allez passer par le reverse proxy et non pas par le port https de File Station. C'est le reverse proxy qui enverra en local votre requête sur le port de File Station 7000) - votre login et mot de passe - cocher la case HTTPS Depuis un navigateur web : https://fichiers.ndd.fr (pas besoin d'ajouter :443 car c'est le port par défaut pour les connexions https) Pour le certificat Let's Encrypt il faut le temps de la validation mettre dans la box un routage du port 80 vers le NAS pour let's Encrypt. Une fois le certificat validé il faut désactiver ces routages. Il devront être réactivés dans 3 mois pour le renouvellement du certificat. Attention ce certificat est mono domaine ndd.fr et ne sera inopérant sur les autres domaines (fichier.ndd.fr, audio.ndd.fr et download.ndd.fr) J'ai remis 7000 pour File station, et j'ai ajouter :443 pour me logger, à présent depuis DS File j'arrive à me connecter en 4G ! Merci beaucoup ! par contre depuis je n'arrive toujours pas à avoir le certificat LET, j'ai bien redirigé le port 80 sur ma box vers l'IP NAS, mais j'ai toujours le même message, je suis bloqué.... Depuis un navigateur web, je tape https://fichiers.ndd.fr, mais j'ai une page d'erreur... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 août 2019 Partager Posté(e) le 2 août 2019 tu as visiblement un problème avec la zone DNS chez OVH. Peux tu mettre un copie d'écran de ta zone DNS OVH ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yohann83 Posté(e) le 2 août 2019 Auteur Partager Posté(e) le 2 août 2019 (modifié) Il y a 2 heures, Thierry94 a dit : tu as visiblement un problème avec la zone DNS chez OVH. Peux tu mettre un copie d'écran de ta zone DNS OVH ? Je viens de me connecter à OVH, dans zone DNS il apparait une nouvelle ligne A qui n'existait pas, avec une IP que je ne connais pas... qui serait l'IPv4 attribué par OVH pour mon NDD ? Ajouté par OVH ? Moi j'ai créé une ligne A qui renvoi vers l'IP Fixe de ma box ça pourrait être ça le problème ? j'ai juste fais une copie écran des A, faut-il les cname ? je suis obligé de masquer mon NDD pour poster ? pas de soucis de sécurité ? Modifié le 2 août 2019 par Yohann83 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thierry94 Posté(e) le 2 août 2019 Partager Posté(e) le 2 août 2019 (modifié) L'écran que tu montres est pour le service hébergement gratuit (10Mo) chez OVH offert avec le nom de domaine. L'adresse d'OVH indiquée est normale. Pour la zone DNS il faut aller dans le menu "Domaines", sélectionner ton nom de domaine et voir Zone DNS La tu devrait avoir au moins : - 2 enregistrements de type NS pointant sur les serveurs de noms d'OVH - 1 enregistrement type pointant vers ton adresse IP publique de ta box - des enregistrements CNAME pour des autres domaines (fichier.ndd.fr, …). Tu peux aussi n'avoir qu'un seul CNAME générique (*.ndd.fr) mais qui pourra poser problème avec ton certificat non wildcard ps. évite de mettre dans les posts ton nom de domaine ou ton adresse IP fixe … ! Modifié le 2 août 2019 par Thierry94 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Yohann83 Posté(e) le 2 août 2019 Auteur Partager Posté(e) le 2 août 2019 il y a 28 minutes, Thierry94 a dit : L'écran que tu montres est pour le service hébergement gratuit (10Mo) chez OVH offert avec le nom de domaine. L'adresse d'OVH indiquée est normale. Pour la zone DNS il faut aller dans le menu "Domaines", sélectionner ton nom de domaine et voir Zone DNS La tu devrait avoir au moins : - 2 enregistrements de type NS pointant sur les serveurs de noms d'OVH - 1 enregistrement type pointant vers ton adresse IP publique de ta box - des enregistrements CNAME pour des autres domaines (fichier.ndd.fr, …). Tu peux aussi n'avoir qu'un seul CNAME générique (*.ndd.fr) mais qui pourra poser problème avec ton certificat non wildcard ps. évite de mettre dans les posts ton nom de domaine ou ton adresse IP fixe … ! j'ai bien les deux type NS, deux type A, et les CNAME (voir image) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.