plus d'accès à mes contenair docker

[devilhacker]

Bonjour,
avant toute chose je précise que tout fonctionnait avant et que du jour au lendemain plus.... 

accès au syno via quickonnect OK 

DDNS: configuré et actif: 

pare-feu sur le syno désactivé

certificat OK

options sécurité avancées: 

proxy inversé ok

Synchronisation de l'heure du syno OK

et j'ai des messages ERR_TIMED_OUT sur google chrome quand je tente de parvenir à n'importe quel DDNS

autres paramètres:

 

J'ai testé sur chrome et edge après vidage cache, etc.  http et https avec ou sans le port à la fin.... la redirection sur mon routeur est toujours présente sur le port 443.

J'ai principalement pris des tutos du site de https://mariushosting.com/ et comme je l'ai dis ça fonctionnait avant! 

Bref je ne sais plus où chercher et donc je m'en remets à votre aide. 

 

D'avance merci 

 

[morgyann]

Bonjour,

Il y a 2 heures, devilhacker a dit :

options sécurité avancées: 

 

Mets sur "intermédiaire".

Il y a 2 heures, devilhacker a dit :

Bref je ne sais plus où chercher et donc je m'en remets à votre aide. 

Ouvre "Container Manager" et regarde si tous tes containers sont "sains".

As-tu installé "Portainer" ?

[devilhacker]

Sécurité avancée sur intermédiaire fait!

container tous sain et à jour

Oui j'ai portainer. 

J'ai même Nginx également qui fonctionnait parfaitement. 

J'ai fait aussi le test avec un seul contenair en actif pour voir si ce n’était pas au niveau de docker que le problème venait, mais pareil. 

Entre-temps j'ai rebooter box, synology, etc... et maintenant j'ai une évolution, mais qui me bloque quand même....

 

 

NET::ERR_CERT_AUTHORITY_INVALID

j'ai testé sur un reverse proxy d'activer ou non le HSTS mais ça fait pareil. 

 

[morgyann]

Ton "NDD" Synology a toujours son certif ?,

Ta box n'est pas passée en mode CGnat (l'opérateur le fait sans prévenir) ?

Je réfléchis à d'autres pistes ce soir (à moins qu'un autre membre du forum ait la soluce d'ici là).

[devilhacker]

Nom de domaine ddns certificat ssl toujours dans le vert et date de validité bonne 

Ma box est en bridge et je gère tout par un routeur Asus avec les portail 443 80 5000 5001 ouvert  rediriger vers IP de mon nas. Tout en IP fixe et dns utiliser ceux de Google. 

Je t'avoue aussi que je cherche encore le souci d'où ma présence lol 🤣

[morgyann]

Peux-tu ouvrir les containers en local ? et,

Le problème vient-il uniquement de l'accès externe en https ?

Tous tes dockers sont / étaient accessibles en https et configurés via des certifs wildcard Syno ?

Si c'est le cas,  peux-tu en passer quelques uns en ports https dédiés  (les ouvrir sur ton routeur) et les tester 

ex : monsyno.synology.me:5001 -> DSM

monapp1.monsyno.synology.me -> en -> monsyno.synology.me:9051 

Si cela fonctionne avec cette conf, c'est que le problème vient des wildcard.

Si non ... chercher de nouvelles pistes ....

Peux-tu accéder à Portainer ?

 

[devilhacker]

En local pas de souci tout fonctionne et tous les conteners.

Que je tape http ou HTTPS sur mon domaine basique donc le mondomaine.synology.me ou x.mondomaine.synology.me je n'accèdent a rien. Si je rajoute le port du docker ça ne change rien. 

Si j'ouvre le port exemple 9000 ( port extern et local )pour un contenair alors j'ai accès en HTTPS mais en non sécurisé. 

Donc si j'ouvre port par port j'ai accès mais en non sécurisé .

Donc souci wildcard ?

 

Portainer oui accès comme tous les autres conteners. 

 

 

 

[morgyann]

Donc les containers fonctionnent.

Le problème semble venir du certificat ... En regardant tes captures d'écran, je remarque que le certificat (par défaut) dont tu te sers (pour tes wildcards) est le "Syno auto signé" ???

Tu dois valider en SSL ton DDNS ex. monnas.synology.me (et le mettre par défaut si tu n'as que celui-ci)

Puis tes wilcards s'inscriront et "s'associeront" (en dessous) à ce certificat comme *.monnas.synology.me (ex. portainer.monnas.synology.me = portainer associé au certif SSL).

Si l'erreur provient bien de l'utilisation d'un certificat auto signé Syno, (je me demande d'ailleurs comment tu pouvais avoir tes apps docker en https ?) - suis attentivement le tuto ( comme tu es un bon client de Marius) qui suit

https://mariushosting.com/synology-how-to-add-wildcard-certificate/

[devilhacker]

Bonjour,
 

Justement tout fonctionnait sans problème en SSL. et du jour au lendemain ça ne fonctionnait plus. Voici ce que tu vois dans mon certificat et tout point bien sur mon domaine et mes reverse proxy.

Et le tuto est bien le tuto que j'avais suivi. Donc mis à part tout virer tout refaire.... en plus je ne peux plus refaire le certificat pour l'instant je pense que j'ai fait trop de demande.... l'étape 4 du coup ne fonctionne plus pour l'instant, mais je l'ai déjà fait dans mes précédents tests... 

Sur cette capture ce qui est flouté est bien les différents DDNs des conteneurs donc par exemple conteners1.mondomaine.synology.me avec le certificat qui s'appelle synology en effet. 

Pour le reste il est bien mis par défaut et les reverse proxy aussi. 

 

[morgyann]

Sauf erreur de ma part, (je n'ai pas testé le wildcard Syno) ... 

1. Tu valides (demande de certif) ton nom "DDNS" en SSL à savoir : devilhackerdl.synology.me

2. Lors de la mise de ce certificat par défaut, tu lui attribues un nom alternatif : *.devilhackerdl.synology.me

3. Pas de changement pour les attributions de tes Proxy inversés (par ex. organizr.devilhackerdl.synology.me => localhost:7000

4. Sur le tableau "Sécurité -> Certificats" tous tes services doivent correspondre à "devilhackerdl.synology.me" et pas à "synology"

L'avantage du système wildcard, c'est que tu n'as pas à faire une demande de certif (+renouvellement) à chaque création d'un "sous-domaine".

Dans ton cas, il semblerait que tu ais fait une demande SSL pour chaque "sous-domaine Syno" ???

Si c'est bien le cas, tu dois faire correspondre chaque "service" à son "NDD sous-domaine". Par ex. organizr.devilhackerdl.synology.me => organizr.devilhackerdl.synology.me (dans le panneau "Certificats"). 

 

 

[devilhacker]

Oui je te suis complètement sur ton résonnement et j'ai vérifié encore une fois et tout est bon  de l'étape 1 à l'étape 4. 

Je n'ai pas fait de demande pour tous les sous-domaines, quand tu fais un reverse proxy il se rajoute à celui-là dans le syno. 

donc je n'ai que le certificat SYNOLOGY qui gère tous les sous-domaines comme organizr.devilhackerdl.synology.me

Je pense que je vais tout recommencer avec un nouveau domaine et nouveau certificat, car je tourne en rond depuis trop longtemps... je vais voir si en reprenant de A à Z avec un nouveau ça passe ou pas. 

J'ai un seconde syno qui n'a pas de sous-domaine pas de docker et son DDNS en synology.me également passe sans problème avec certificat SSL ok....

Franchement je ne comprends pas du tout où se trouve ma faute dans tout le résonnement. Surtout le côté que ça fonctionnait avant et plus maintenant. 

[devilhacker]

bon ben je viens de faire un nouveau synology.me... éditer juste les reverse proxy et tout fonctionne... donc il y a bien un souci sur le certificat d'avant, mais lequel je ne vois pas trop..... bref ça fonctionne pour l'instant avec le nouveau domaine et certificat. Un peu embêtant de tout devoir éditer, mais ça va le faire. 

[morgyann]

il y a une heure, devilhacker a dit :

je viens de faire un nouveau synology.me

"synology" (tout seul) n'est pas un "NDD de DDNS" c'est "monnas.synology.me" (à mettre par défaut et valider SSL) et ton wildcard -> "*.monnas.synology.com"  (à indiquer dans la fenêtre autre appellation).

Et dans le Proxy inversé -> déterminer un "sous domaine Syno" comme "monapp.monnas.synology.com" qui s'associera automatiquement à ton "certif wildcard" par défaut.

il y a une heure, devilhacker a dit :

ça fonctionne pour l'instant avec le nouveau domaine et certificat

Normal