Renouvellement Let's Encrypt

[Jules Perrelet]

Bonsoir,

Tout allait bien jusqu'à aujourd'hui. En effet, j'ai perdu le https et j'ai découvert que mon certificat let's encrypt pour mon nom de domaine et mes sous-domaines avait expiré (alors qu'il était censé se renouveler automatiquement). Impossible de le renouveler, j'ai le message "échec de la connexion à Let's Encrypt. Assurez vous que le nom de domaine est valide". J'ai donc bien les ports ouverts (80 et 443) sur mon routeur. J'ai donc supprimer le certificat et ai tenté d'en créer un nouveau pour mon ndd et sous-ndd. Même message d'erreur.

Quelqu'un pourrait m'aider ?

Merci d'avance !

[maxou56]

il y a une heure, Jules Perrelet a dit :

J'ai donc bien les ports ouverts (80 et 443) sur mon routeur.

Les ports en plus d'être routé vers le NAS, sont aussi autorisé dans le pare-feu du NAS?

[Jules Perrelet]

Oui ! Je n'ai rien changé dans mes paramètres. Par contre j'ai une IP dynamique. Est-ce que le problème viendrait du fait qu'elle a changé ?

Edit : voici la configuration de mon pare-feu (qui était bizarrement désactivé et que j'ai donc réactivé).
Les deux autres captures sont les règles du pare-feu de mon routeur ainsi que les règles de redirection.

Modifié le 5 juillet 2020 par Jules Perrelet

[pluton212+]

bonjour:

tu refuses tout et ensuite tu autorises le port 80 => le port 80 est bloqué.

Mais avant tu autorises 443,80 => c'est le cirque dans tes règles FW: tu devrais lire le tuto sur la sécurisation des nas de @Fenrir

Modifié le 7 juillet 2020 par pluton212+

[maxou56]

Bonjour, @Jules Perrelet

Pourquoi ouvrir dans ta box les port en sortie, sauf si tu as modifier le pare-feu de cell-ci pour bloqué aussi les connexions sortantes. Les port en sortie sont toujours ouverts par défaut.

Et l'UPnP est une (très) mauvaise idée.

 

2nd point, dans le pare-feu du NAS le port pour le terminal "22" ouvert à tous le monde ?? Il est déjà ouvert pour le réseau local via les règles suivantes.

Ensuite tu n'es pas obligé de mettre "tous", tu peux aussi autorisé pour certain pays uniquement. (pour Let's encrypt il faut au moins les USA)

 

Il y a une chose que tu ne montre pas dans la capture. Les règles du pare-feu du NAS sont pour "Toutes les interfaces" ou pour une interfaces particulière.

Il n'y a pas des règles contradictoire sur les réglages pare-feu de la LAN1, LAN2 ou BOND...?

 

Plex est accessible par le port 443, via un reverse proxy?? Il est configuré comment sous domaine vers le port 32400 (https://plex.xxxxxndd.fr vers le port 32400) ou le port 443 vers le port 32400.

Dans le second cas tous le port 443 est transféré vers le 32400, donc plus utilisable pour d'autres services.

Modifié le 7 juillet 2020 par maxou56

[goerges]

Salut,

Stupide question.

Tu as quand même bien assigné ta nouvelle IP à ton nom de domaine ?

Georges

[maxou56]

il y a 22 minutes, goerges a dit :

Tu as quand même bien assigné ta nouvelle IP à ton nom de domaine ?

👍 Bien vu, j'avais pas vu ce "détail important"

Le 05/07/2020 à 10:53, Jules Perrelet a dit :

Par contre j'ai une IP dynamique. Est-ce que le problème viendrait du fait qu'elle a changé ?

Dans le cas d'un ip dynamique, il doit être possible mette un DynDNS plutôt que l'ip pour le nom de domaine.

Modifié le 7 juillet 2020 par maxou56

[Jules Perrelet]

Bonsoir à tout le monde,

Navré pour la réponse tardive, je suis parti quelques jours et ai laissé mon ordinateur à la maison. Merci beaucou pour vos précieuses réponses !

@pluton212+ j'ai pourtant suivi le tuto de Fenrir à la lettre. Je n'exclus par contre pas des modifications ultérieures dues à d'autres tutos, ayant servis à faire fonctionner l'accès à distance.

@maxou56 je suis un noob total, je me suis contenté de répliquer ce que j'ai trouvé ça et là sur le web pour le cas particulier de ce routeur. Je vais suivre tes recommandations et désactiver l'UPnP. Je vais enlever la règle du port 22 par contre j'ai lu que désormais il fallait laisser "tous" pour le renouvellement Let's Encrypt. Je n'ai par contre aucune idée de où je peux trouver les spécificités du pare-feu. Chez moi, il y a des règles qui s'appliquent au profil "default". Et pour terminer, Plex est accessible via un reverse-proxy (j'ai suivi un tuto ici pour le configurer). Ci-dessous une capture d'écran de la configuration

@goerges je pensais justement qu'il n'y avait plus besoin de faire de changement si on activait la prise en charge DDNS via l'accès externe ? Ci-dessous, une capture d'écran de comment j'ai paramétré la mienne

 

Modifié le 15 juillet 2020 par Jules Perrelet

[maxou56]

il y a 8 minutes, Jules Perrelet a dit :

Je vais enlever la règle du port 22 par contre j'ai lu que désormais il fallait laisser "tous" pour le renouvellement Let's Encrypt. Je n'ai par contre aucune idée de où je peux trouver les spécificités du pare-feu. 

Bonjour,

⚠️Attention il faut mieux dans tes captures, masquer les DDNS et ton IP publique.⚠️

 

C'est les port 80 et 443 pour le certificat, en aucun cas le 22 (SSH)

dans "panneau de configuration > sécurité > pare-feu > modifier les règles" on peu modifier le profil par défaut ou créer un nouveau qu'il faudra mettre en profil actif.

Modifié le 10 juillet 2020 par maxou56

[Jules Perrelet]

Merci pour l'aide !

J'ai modifié selon vos commentaires :

- les ports de la box

- refait les règles du FW de mon NAS selon le tuto de Fenrir

- désactiver l'UPnP

Reste que l'accès externe au NAS est impossible, que ce soit via l'IP ou le reverse-proxy. Impossible également de renouveler le certificat.

 

 

 

 

 

Modifié le 15 juillet 2020 par Jules Perrelet

[alan.dub]

Comme l’a indiqué maxou : 

Masque ton nom de domaine et ton IP publique sur tes captures !

C’est un conseil... 😕

[Thierry94]

Dans ton Dynhost chez OVH il faut que tu mettes ndd.tld à la place de nas.ndd.tld car actuellement tu n'as que nas.ndd.tld qui reçoit une adresse ip !
Comme tu as limité les entrées à la Suisse tu fais bien tes essais de connexion depuis la Suisse ?
Dans ton firewall à la fin des règles il te manque la règle qui refuse tout ce qui n'a pas été accepté par les règles précédentes

Modifié le 11 juillet 2020 par Thierry94

[Jules Perrelet]

Merci pour votre aide ! Et navré, je ferais attention à masquer le NDD et l'IP sur mes prochaines publications !

J'ai finalement réussi à renouveler le certificat en autorisant les connexions pour les ports 80/443 via le firewall. J'ai ensuite supprimé la règle du port 80 et laissé celle du 443 comme suit (est-ce correct ?)

 

Modifié le 15 juillet 2020 par Jules Perrelet

[alan.dub]

Tu peux éditer tes anciens messages pour refaire tes captures 😉

C’est un conseil 😉

[oracle7]

@Jules Perrelet

Bonjour,

il y a 20 minutes, Jules Perrelet a dit :

je ferais attention à masquer le NDD et l'IP sur mes prochaines publications !

Ok sage résolution mais il te faut aussi revenir sur chacun de tes posts précédants pour en modifier les images, sinon tes infos personnelles seront toujours visibles. C'est ballo, non ? Maintenant c'est toi qui voit ...

Cordialement

oracle7😏

[Jules Perrelet]

Bonjour,

C'est fait, j'ai supprimé les traces 🙂