Bonjour à tous, je me retrouve devant un problème que je n'arrive pas à comprendre.

 

J'ai reçus ce jour un email de Let's Encrypt me notifiant que les certificats allaient expirés (j'en ai trois différents). J'ai déjà fait cette manip il me semble il y a un an et je n'avais pas rencontré de problèmes particuliers. Je ne pense pas avoir changé quelques choses dans les réglages de mon NAS depuis, mais peut-être que je passe à côté de quelque chose.

 

De ce que je me souvient, je vais dans Panneau de configuration du NAS > Sécurité > Certificats

Je sélectionne l'un de mes certificats (pour les deux autres j'ai le même résultat), clique sur la petite flèche à côté de Ajouter et sélectionne Renouveler le certificat.

Après avoir validé la première fenêtre, le NAS réfléchi et il me met le message suivant:

Echec de l'opération. Reconnectez-vous à DSM et réessayer

 

Je ne comprend pas trop ce qu'il entend par se reconnecter à DSM

J'ai contrôlé l'ouverture des ports:

Sur la Livebox les ports 80 , 443 et 5001 sont redirigés vers le NAS

et sur le NAS au niveau du Pare-feu, j'ai la capture ci-joint.

 

Merci pour votre aide.

 

Modifié le 3 avril 20205 a par marioliv66

Les 2 adresses IP de Let's Encrypt (LE) ne sont plus valables. Maintenant pendant le renouvellement Il faut ouvrir le port 80 sans limitation d'adresse.
Si tu n'utilises pas le port 80 pour autre chose que le renouvellement LE tu pourras le refermer une fois le renouvellement terminé.

Je crois également que LE peut utiliser le port 443 mais je n'ai pas testé.

Sinon d'un point de vue sécurité ce n'est pas terrible d'ouvrir le port 5001 sur Internet

Modifié le 3 avril 20205 a par Thierry94

Bonjour,

 

Effectivement j'ai désactivé temporairement la dernière règle du pare-feu du NAS (celle qui bloque tout).

J'ai pu mettre à jour un certificat.

Le second est resté à tourné en boucle sur "redamarrage du serveur web" j',ai quitté sauvagement le panneau de config et en revenant dessus le certificat semble validé.

Pour le troisième, vu que j'ai testé plusieurs fois dessus, il me marque qu'il y a eu trop de tentatives de renouvellement. Il faut attendre combien de de temps pour que je puisse ré-essayé ?

 

Je suppose que les nouvelles adresse IP de LE sont disponibles sur leur site ?

 

Pour le port 5001, honnêtement ça fait un moment que je n'ai pas touché au NAS. Dans l'idée j'accède à celui-ci de l'extérieur avec l'app DS cam et DS file, le port 5001 est pour avoir accès au DSM du NAS depuis l'extérieur ?

Pour accéder au DSM du NAS depuis l'extérieur il est préférable de passer par le VPN Server. Pour les autres applications, DS Cam, DS File, … tu peux passer par le Reverse Proxy comme cela tu n'auras qu'un seul port ouvert sur internet le 443. Tu trouveras sur ce forum les tutos pour mettre en place ces 2 fonctionnalités de DSM

Ok je vais regarder ça merci et de ce que je viens de comprend LE ne publie plus ses adresses IP pour le renouvellement (ou j'ai mal traduit), donc j'ouvrirais le port 80 au moment des renouvellements.

il y a 1 minute, marioliv66 a dit :

donc j'ouvrirais le port 80 au moment des renouvellements.

A noter que tu peux effectuer le renouvellement manuellement quand tu le souhaite, pas besoins d'attendre le renouvellement automatique.

Ah ok, je ne savais pas, mais je pense que je ne vais pas forcément y penser, heureusement qu'ils envoient des emails 😁 le renouvellement se fait tout les 90 jours maxi c'est ça ?

LE ne donne aucune adresse IP. Ils en utilisent plusieurs. Celles que nous utilisions et qui ne sont plus valables avaient été récupérée à l'époque par PiwiLAbruti et nous avons été chanceux de pouvoir les utiliser jusqu'à encore récemment.

Il y a-t-il un risque de laisser les ports 443 et 80 ouvert tout le temps ?

Pour info j’utilise le reverse proxy avec forçage du https (443 donc) via web station.

Donc toute demande en http (port 80) termine en https. 

Modifié le 3 avril 20205 a par alan.dub

@marioliv66 Je trouve ça dangereux d'ouvrir tous les ports, même si ce n'est que depuis la France. En l'état il ne sert pas à grand chose ton pare-feu.

il y a 3 minutes, .Shad. a dit :

En l'état il ne sert pas à grand chose ton pare-feu.

En espérant que l'UPnP est bien désactivé dans le Routeur/Box opérateur.

La plupart que j'ai eues, c'était activé par défaut... 😅