Souci avec connexion sécurisée [Résolu]

[pascalg57]

Bon jour à tous.

Je reviens vers vous avec ce nouveau post afin de gagner en lisibilité. (merci @oracle7 et @.Shad. pour leurs conseils).
J'ai profité de ces qq jours pour m'informer plus et mettre à plat la configuration, supprimant qq sources éventuelles de malfonctionnement (Baux sur LB...).

J'ai mis en place mon NAS DS918+ il y a 2 mois.
La configuration de l'installation est une livebox 5 fibre sur laquelle en direct est connecté le NAS.
Depuis la LB en filaire un TP-LINK est configuré en point d'accès WIFI.
Sur le TP-Link, en filaire, est connecté le PC principal du réseau.
Ces trois sont en IP fixe.
Accessoirement, un décodeur TV direct sur LB est opérationnel.
Quickconnect désactivé, NDD OVH et reverse proxy en place.

Je bute toujours sur le même souci.  L'accès en https en local provoque systématiquement une alerte de sécurité (Firefox et Chrome). Je suis obligé de passer outre pour pouvoir accéder à "https://192.168.x.xxx:5001/"

A première vue, il s'agit d'un pb de certificat, rédigé ainsi :
Nom de domaine > NDD.net.
Autre nom de l'objet : xxxxx.NDD.net ; NDD.net  |||  [ xxxxx.NDD.net est défini dans reverse proxy]
Je ne vois pas quelle erreur pourrait interférer ici.

Pour info, via DS file, à distance, j'ai accès à file station sans pb. (server DNS viendra ensuite)
pour connexion avec DS File : xxxxx.NDD.net:443

je ne sais ni quoi ni où chercher.
Qqun peut-il m'aider à y voir plus clair ?

Merci d'avance.
PascalG

 

Modifié le 19 août 2020 par pascalg57

[oracle7]

@pascalg57

Bonjour,

????? Ton domaine n'est pas masqué !!!!!

il y a 8 minutes, pascalg57 a dit :

L'accès en https en local provoque systématiquement une alerte de sécurité (Firefox et Chrome). Je suis obligé de passer outre pour pouvoir accéder à "https://192.168.x.xxx:5001/"

Si tu accèdes avec "https://192.168.x.xxx:5001/" c'est normal que tu ais cette alerte de sécurité vu que ton certificat n'est pas défini pour :'@IP en question. Il faudrait que tu accédes avec un "nas.ndd.net"

il y a 10 minutes, pascalg57 a dit :

A première vue, il s'agit d'un pb de certificat, rédigé ainsi :
Nom de domaine > NDD.net.
Autre nom de l'objet : xxxxx.NDD.net ; NDD.net  |||  [ xxxxx.NDD.net est défini dans reverse proxy]
Je ne vois pas quelle erreur pourrait interférer ici.

Par ailleurs, je relève une incohérence que je ne comprends pas, entre la définition du certificat que tu donnes et ta copie d'écran. Sur la copie d'écran, ton domaine est "nas.ndd.net" et tu dis avoir défini le certificat pour le domaine "ndd.net" (nas.ndd" <> "ndd") et en plus tu répètes "nas.ndd.net" dans autre nom de l'objet ??? (pas facile d'expliquer en masquant ton domaine !).

Cordialement

oracle7😉

[Kramlech]

il y a une heure, pascalg57 a dit :

Je suis obligé de passer outre pour pouvoir accéder à "https://192.168.x.xxx:5001

C'est normal : ton certificat sert à vérifier que le site qui répond est bien celui qui est demandé par l"URL : à savoir "xxxxx.NDD.net".

Quand tu accèdes à "https://192.168.x.xxx:5001/", l'URL demandée est "192.168.x.xxx" qui est différente de celle qui répond "xxxxx.NDD.net", donc alerte de sécurité !!!

Maintenant, il faudra qu'on m'explique l’intérêt de passer par du https pour accéder à un réseau local familial .... (sauf à avoir peur d'être piraté par son conjoint ou ses enfant !!!  😄)

 

(Damned, grillé !!!)

Modifié le 17 août 2020 par Kramlech

[PiwiLAbruti]

@Kramlech Ce n'est pas forcément une question de sécurité, l'intérêt est surtout d'utiliser toujours la même adresse où que l'on soit.

[Kramlech]

Il y a 2 heures, PiwiLAbruti a dit :

l'intérêt est surtout d'utiliser toujours la même adresse où que l'on soit.

Je suis d'accord avec toi, mais l'adresse "https://192.168.x.xxx:5001" est quand même spécifique au réseau local, non ? 😉

De plus, passer systématiquement par le NDD quand on n'a pas un routeur qui gère le loopback cela impose de gérer un serveur DNS sur le NAS. Ceci n'est pas forcément à la portée/compréhension de tout le monde. Je trouve plus simple de gérer deux jeux de favoris : un pour l'accès en local, un pour l'accès depuis Internet ...

Maintenant, je suis bien conscient que certains besoins imposent d'avoir toujours la même adresse (Drive sur un portable par exemple...)

[pascalg57]

Le 17/08/2020 à 12:08, oracle7 a dit :

Si tu accèdes avec "https://192.168.x.xxx:5001/" c'est normal que tu ais cette alerte de sécurité vu que ton certificat n'est pas défini pour :'@IP en question. Il faudrait que tu accédes avec un "nas.ndd.net"

mon certificat non masqué en pj

Le 17/08/2020 à 12:09, Kramlech a dit :

Quand tu accèdes à "https://192.168.x.xxx:5001/", l'URL demandée est "192.168.x.xxx" qui est différente de celle qui répond "xxxxx.NDD.net", donc alerte de sécurité !!!

Maintenant, il faudra qu'on m'explique l’intérêt de passer par du https pour accéder à un réseau local familial .... (sauf à avoir peur d'être piraté par son conjoint ou ses enfant !!!  😄)

Pour le certificat, j'ai compris ! j'ai appliqué le tuto sur le reverse proxy en essayant de comprendre au mieux.
Comme il n'y était pas question de déclarer l'IP local dans le certificat mais bien xxxx.NDD.net je me suis laissé embarquer dans une mauvaise compréhension.

Sur ces indications, je parviens maintenant avec DS file à me connecter en local et à distance à file station : EUREKA !

Passons alors à la suite, la finalité que je recherche :

La mise en place de ces fonctionnalités telles https, reverse proxy, DNS server est un moyen pour découvrir l'univers NAS et étendre mes maigres connaissances dans le domaine.

Comme le dit @PiwiLAbruti il me semble plus aisé d'avoir une adresse unique d'accès (utilisateurs encore plus "simplets" que moi ...heureusement qu'ils ne m'entendent pas 😄 ).

La livebox 5 ne gère pas le loopback donc j'ai implémenté DNS server  (tuto de Fenrir).

Si j'ai bien compris le comportement que je peux espérer, si serveur DNS convenablement paramétré, c'est de pouvoir accéder, en local, à https://nas.pascalg.net. (ou éventuellement en http.)
Firefox me renvoie "échec de la connexion sécurisé" 😞

Ci-joint résultat du test

L'adresse trouvée est bien mon IP actuelle

est-ce que il est possible d'accéder avec https://nas.pascalg.net , si oui le DNS vous semble-t'il convenablement paramétré au vu du nslookup ?

A vous lire si vous avez encore un peu de patience 😉
PascalG

 

 

 

 

 

 

 

Modifié le 19 août 2020 par pascalg57

[kasimodem]

Bonjour,

Pourquoi ne pas désactiver la redirection automatique de http vers https et se connecter plutôt à http://192.168.1.X:5000 quand tu es en réseau local, ce serait quand même bien plus simple. Et ça ne remettrai pas en cause les accès externes sécurisés via https://ndd. Il n'y a aucun risque puisque ta Livebox n'autorise pas le http de toutes façon.

[pascalg57]

il y a 1 minute, kasimodem a dit :

Pourquoi ne pas désactiver la redirection automatique de http vers https et se connecter plutôt à http://192.168.1.X:5000 quand tu es en réseau local, ce serait quand même bien plus simple. Et ça ne remettrai pas en cause les accès externes sécurisés via https://ndd. Il n'y a aucun risque puisque ta Livebox n'autorise pas le http de toutes façon.

Cela me semble plus simple à l'utilisation d'avoir la même adresse notamment pour les utilisateurs qui n'auront pas à "gérer"  qu'ils passent pas un PC ou encore DS file.

Egalement, pour avancer un peu plus dans la connaissance de l'univers NAS : si c'est réalisable et conseillé même par les savants d'ici c'est que cela présente de l'intérêt.

[kasimodem]

Ok, l'autre alternative que je connais et qui a été conçue pour ça c'est justement quickconnect

Quand on tape https://monidquickconnect.quickconnect.to c'est Synology qui fait la résolution automatique et ouvre l'adresse locale si on est sur le même réseau, ou l'adresse externe si on est ailleurs. Mais comme tu l'as désactivé ça marchera pas. C'est pourtant assez pratique quand on veut gérer des accès de béotiens justement 😉

[pascalg57]

Yesss c'est effectivement une possibilité. Je l'ai testée et mise en oeuvre tout au début.

Je tente autre chose en suivant les conseils et les tutos plébiscités.

[oracle7]

@pascalg57

Désolé, tu n'as pas compris ma remarque : il faut MASQUER ton domaine (ainsi que ton @IP externe) quand tu diffuses des copies d'écrans. C'est pour ta sécurité !

il y a 19 minutes, pascalg57 a dit :

c'est de pouvoir accéder, en local, à https://nas.p*******g.net.

Puisque tu as configuré ton serveur DNS local, maintenant pour réaliser ta demande, dans le reverse proxy du NAS il te faut une redirection du type : "https://nas.p*******g.net:443" vers "http://localhost:5000".

Maintenant, je crois aussi que tu te compliques la vie à la vue de la définition de ton domaine. Ton domaine est p*******g.net et non pas nas.p*******g.net (à moins que tu ne veuilles cette dernière notation expressément !). Je pense que cette confusion met le cirque ! Mais ce n'est que mon avis.....

A mon sens tu devrais avoir ceci dans la définition de ton certificat :

• Domaine = p*******g.net
• Autre nom de l'objet : fichiers.p*******g.net; nas.p*******g.net

Ainsi tu accèderais simplement à :

• ton NAS en tapant : nas.p*******g.net
• à FileStation en tapant en local : fichiers.p*******g.net  en de l'extérieur (avec le smartphone) avec DS file en tapant fichiers.p*******g.net:443

Bien évidemment avec les bonnes redirections correspondantes dans le reverse proxy :

• "https://nas.p*******g.net:443" vers "http://localhost:5000"
• "https://fichiers.p*******g.net:443" vers "http://localhost:7000"

@kasimodem

il y a 2 minutes, kasimodem a dit :

Quand on tape https://monidquickconnect.quickconnect.to c'est Synology qui fait la résolution automatique et ouvre l'adresse locale si on est sur le même réseau, ou l'adresse externe si on est ailleurs.

Sauf que ainsi tu passes par les serveurs de Synology et que tu leur donnes un accès total à ton NAS. En terme de sécurité on fait mieux ....

Cordialement

oracle7😉

[PiwiLAbruti]

QuickConnect > 🗑️

La résolution de ton domaine en local doit retourner l'adresse IP privée du NAS et non l'adresse IP publique.

[kasimodem]

il y a 2 minutes, PiwiLAbruti a dit :

La résolution de ton domaine en local doit retourner l'adresse IP privée du NAS et non l'adresse IP publique.

Ah oui mais pour ça il faut un serveur dns interne dans lequel on crée un enregistrement pour pointer le ndd vers une ip interne.

Sinon il reste la bonne vieille méthode de modifier le fichier host de Windows en guise de dns du pauvre 😉

[pascalg57]

il y a 13 minutes, oracle7 a dit :

@pascalg57

Puisque tu as configuré ton serveur DNS local, maintenant pour réaliser ta demande, dans le reverse proxy du NAS il te faut une redirection du type : "https://nas.p*******g.net:443" vers "http://localhost:5000".

Maintenant, je crois aussi que tu te compliques la vie à la vue de la définition de ton domaine. Ton domaine est p*******g.net et non pas nas.p*******g.net (à moins que tu ne veuilles cette dernière notation expressément !). Je pense que cette confusion met le cirque ! Mais ce n'est que mon avis.....

 

😉

 

Pour le NDD en clair, c'est déjà pas facile ainsi donc je prends ce petit risque 😉

Mon domaine OVH est pascalg.net (utilisé depuis 10 ans par ailleurs notamment pour héberger des sites). Chez OVH pour créer un Dynhost il faut passer par un sous domaine (sinon je ne vois pas comment faire) c'est la raison de l'ajout de "nas."

il y a 21 minutes, oracle7 a dit :

• Domaine = p*******g.net
• Autre nom de l'objet : fichiers.p*******g.net; nas.p*******g.net

 

Pour l'obtention du certificat, j'ai donné :
Domaine : nas.pascalg.net
Autre nom : fichiers.nas.pascalg.net; nas.pascalg.net

NB si je donne pascalg.net comme domaine l'accès Let's Encrypt est refusé.

il y a 25 minutes, oracle7 a dit :

• "https://nas.p*******g.net:443" vers "http://localhost:5000"

Dans reverse proxy, la redirection fichiers.nas.pascalg.net vers http://localhost:port est fonctionnelle (testé avec DS file à distance)

Par contre je ne sais pas comment faire la redirection nas.pascalg.net vers http://localhost:5000 car DSM me refuse nas.pascalg.net comme nom d’hôte (cela me parait normal non ?)
Ta suggestion part peut-être de mon domaine pascalg.net sans le nas devant ?

donc si je suis ta logique, il faut que je crée une redirection par exemple dsm.nas.pascalg.net vers http://localhost:5000 : c'est obligatoire pour être diriger vers le bureau ?

[oracle7]

@kasimodem

il y a 29 minutes, kasimodem a dit :

Ah oui mais pour ça il faut un serveur dns interne dans lequel on crée un enregistrement pour pointer le ndd vers une ip interne.

Dans le cas de @pascalg57 , il a déjà un serveur DNS de configuré mais manifestement celui-ci ne l'est pas bien. C'est ce que @PiwiLAbruti a voulu faire comprendre en relevant l'anomalie de résolution du domaine.

Cordialement

oracle7😉

[pascalg57]

il y a 10 minutes, oracle7 a dit :

@kasimodem

Dans le cas de @pascalg57 , il a déjà un serveur DNS de configuré mais manifestement celui-ci ne l'est pas bien. C'est ce que @PiwiLAbruti a voulu faire comprendre en relevant l'anomalie de résolution du domaine.

Cordialement

oracle7😉

oui j'ai vu le msg de @PiwiLAbrutimais j'essaye de faire une chose à la fois 😄

Modifié le 17 août 2020 par pascalg57

[pascalg57]

@oracle7

Je t'ai donné une réponse deux posts au-dessus 😉

 

[oracle7]

 @pascalg57

il y a 1 minute, pascalg57 a dit :

Chez OVH pour créer un Dynhost il faut passer par un sous domaine (sinon je ne vois pas comment faire) c'est la raison de l'ajout de "nas."

Chez OVH tu mets une étoile " * " dans les champs "sous domaine" et ainsi ce sera sur "pascalg.net" (ton domaine) que pointera alors ton DynDNS.

Bien évidemment ensuite, il te faudra être cohérent avec cette nouvelle définition et mettre à jour :

• d'une part ta zone DNS chez OVH,
• et d'autre part sur le NAS : ta zone DNS locale dans ton serveur DNS et éventuellement le reverse proxy dans les redirections déjà existantes plus quelques paramètres de DSM.

Je ne te caches pas que cela représente pas mal de manipulations mais avec un peu de méthode et surtout beaucoup d'attention tu devrais y arriver sans problèmes (surtout prends ton temps pour bien réfléchir à chaque action ...).

Bon courage.

Cordialement

oracle7😉

@pascalg57

il y a 24 minutes, pascalg57 a dit :

Ta suggestion part peut-être de mon domaine pascalg.net sans le nas devant ?

donc si je suis ta logique, il faut que je crée une redirection par exemple dsm.nas.pascalg.net vers http://localhost:5000 : c'est obligatoire pour être diriger vers le bureau ?

OUI pour les deux question.

Cordialement

oracle7😉

[pascalg57]

il y a 7 minutes, oracle7 a dit :

 @pascalg57

Chez OVH tu mets une étoile " * " dans les champs "sous domaine" et ainsi ce sera sur "pascalg.net" (ton domaine) que pointera alors ton DynDNS.

je suppose que tu parles de la définition de Zone DNS et de la création de *.pascalg.net en lieu et place de *.nas.pascalg.net (déclaration actuelle). A noter que j'ai plusieurs autres sous-domaines XXXX.pascalg.net en exploitation (sites), je ne peux pas les faire pointer tous sur le DynHost qui est nas.pascalg.net ou alors je ne comprends plus rien du tout . 😞

Je n'ai pas l'impression de me précipiter. c'est surtout que je m'attends à un comportement qui me semble cohérent et que sans doute il n'est pas adéquat.

Reste confiant, pas mal d'erreurs ont déjà été corrigées 🙂

il y a 23 minutes, oracle7 a dit :

 

@pascalg57

Citation

Ta suggestion part peut-être de mon domaine pascalg.net sans le nas devant ?

donc si je suis ta logique, il faut que je crée une redirection par exemple dsm.nas.pascalg.net vers http://localhost:5000 : c'est obligatoire pour être diriger vers le bureau ?

 

OUI pour les deux question.

Pour info, sans redirection comme suggéré ci-dessus, j'accède, à distance, avec Firefox au bureau DSM avec cette adresse https://nas.pascalg.net

Purée c'est pas évident toutes ces imbrications !!

 

[oracle7]

@pascalg57

il y a 4 minutes, pascalg57 a dit :

A noter que j'ai plusieurs autres sous-domaines XXXX.pascalg.net en exploitation (sites), je ne peux pas les faire pointer tous sur le DynHost qui est nas.pascalg.net

Ah voilà une nouvelle information, je comprends mieux maintenant.

Donc ton domaine à prendre en compte est bien "nas.pascalg.net" (c'est moins simple mais bon, ce sera comme cela). Donc tous tes sous-domaines devront alors être du type "xxxxxx.nas.pascalg.net". Par conséquent tu as raison pour accéder au NAS il faudra utiliser quelque chose comme "dsm.nas.pascalg.net". Voilà pourquoi cela clochait avec ton certificat : tu omettais "dsm." pour le sous domaine lié à ton NAS.

A toi maintenant d'être aussi cohérent partout où tu utilises ton domaine "nas.pascalg.net".

Pour l'obtention du certificat, il te faut donc donner :
Domaine : nas.pascalg.net
Autre nom : fichiers.nas.pascalg.net; dsm.nas.pascalg.net

Maintenant cela devrait le faire ...

Cordialement

oracle7😉

[pascalg57]

il y a 11 minutes, oracle7 a dit :

@pascalg57

Ah voilà une nouvelle information, je comprends mieux maintenant.

Donc ton domaine à prendre en compte est bien "nas.pascalg.net" (c'est moins simple mais bon, ce sera comme cela). Donc tous tes sous-domaines devront alors être du type "xxxxxx.nas.pascalg.net". Par conséquent tu as raison pour accéder au NAS il faudra utiliser quelque chose comme "dsm.nas.pascalg.net". Voilà pourquoi cela clochait avec ton certificat : tu omettais "dsm." pour le sous domaine lié à ton NAS.

A toi maintenant d'être aussi cohérent partout où tu utilises ton domaine "nas.pascalg.net".

Pour l'obtention du certificat, il te faut donc donner :
Domaine : nas.pascalg.net
Autre nom : fichiers.nas.pascalg.net; dsm.nas.pascalg.net

Maintenant cela devrait le faire ...

Cordialement

oracle7😉

yesss on avance voici la situation actuelle :

A distance, j'ai accès par DS Finder à DSM avec nas.pascalg.net:443
A distance, j'ai accès par DS File à File Station avec fichiers. nas.pascalg.net:443

avec le certificat rédigé ainsi :
Domaine : nas.pascalg.net
Autre nom : fichiers.nas.pascalg.net; nas.pascalg.net

Cela veut donc dire que pour accès en local, dsm.nas.pascalg.net serait bien obligatoire (reverse proxy et certificat) ? donc deux traitement différents ?
A ce moemnt précis, fichiers.nas.pascalg.net est la seule redirection du reverse proxy.

 

La raison en est-elle le fait que mon serveur DNS est mal configuré ?

 

Modifié le 17 août 2020 par pascalg57

[oracle7]

@pascalg57

il y a 14 minutes, pascalg57 a dit :

Cela veut donc dire que pour accès en local, dsm.nas.pascalg.net serait bien obligatoire (reverse proxy et certificat) ?

je crains que OUI. Donc redirection à créer dans le reverse proxy pour un accès local comme de l'extérieur.

il y a 15 minutes, pascalg57 a dit :

donc deux traitement différents ?

Je suis étonné qu'avec DSFinder tu puisses accéder à DSM avec un nas.pascalg.net:443 parce que nas.pascalg.net pointe sur ton @IP externe (voir le nslookup précédent) et donc pas sur l'@IP LOCALE de ton NAS.

il y a 16 minutes, pascalg57 a dit :

La raison en est-elle le fait que mon serveur DNS est mal configuré ?

Là il faudrait une copie d'écran de ta zone DNS sur le NAS pour confirmer ou non, mais il y a de fortes chances que Oui.

Cordialement

oracle7😉

[pascalg57]

il y a 4 minutes, oracle7 a dit :

 

Je suis étonné qu'avec DSFinder tu puisses accéder à DSM avec un nas.pascalg.net:443 parce que nas.pascalg.net pointe sur ton @IP externe (voir le nslookup précédent) et donc pas sur l'@IP LOCALE de ton NAS.

 

Précision faite plus haut, cela a de l'importance je crois, l'accès par DS Finder est réalisé par les données mobile donc "à distance"...

Grand merci pour ta patience, là je dois aller au boulot 🙂

Je te donne ta soirée😄 
  je fais le point de tout ceci une fois digéré l'ensemble.

Bonne continuation
PascalG

[oracle7]

@pascalg57

il y a 49 minutes, pascalg57 a dit :

l'accès par DS Finder est réalisé par les données mobile donc "à distance"...

Le problème n'est pas "à distance", il est dans le fait que tu utilises "nas.pascalg.net:443" comme URL de connexion. C'est cela qui ne va pas car je le répète "nas.pascalg.net" pointe sur ton @IP externe donc tu ne devrais pas pouvoir atteindre le NAS ainsi car ce dernier (ton NAS) est dans ton réseau local avec une @IP en 192.168.XXX.XXX. C'est tout.

Cordialement

oracle7😉

[pascalg57]

Le 17/08/2020 à 20:57, oracle7 a dit :

@pascalg57

Le problème n'est pas "à distance", il est dans le fait que tu utilises "nas.pascalg.net:443" comme URL de connexion. C'est cela qui ne va pas car je le répète "nas.pascalg.net" pointe sur ton @IP externe donc tu ne devrais pas pouvoir atteindre le NAS ainsi car ce dernier (ton NAS) est dans ton réseau local avec une @IP en 192.168.XXX.XXX. C'est tout.

Cordialement

oracle7😉

bon jour à tous 🙂

J'ai recréé ma zone master. A priori c'est correct maintenant : NDD pointe bien vers mon IP locale (voir pj)
Accès opérationnel en local et à distance avec mon NDD en https ... j'ai même l'impression de comprendre pourquoi cela fonctionne 😄

Je vous remercie chacun et plus particulièrement Oracle7 pour sa patience.

Amicalement
PascalG

 

 

Modifié le 19 août 2020 par pascalg57