HTTPS & certificats let's encrypt

[cubitus_syno]

Bonjour,

Je ne suis pas du tout familier avec les certificats de sécurité.

J'avais suivi un tuto pour activer le certificat let's encrypt cela me permet à l'extérieur d'accéder à l'interface du NAS.

Aujourd'hui, j'ai installé WireGuard et pour créer un client, j'ai besoin d'accéder à une page HTTPS sur le port 51821. Je n'arrive pas à l'afficher.

Quand je regarde dans les paramètres de sécurité, j'ai l'impression que les certificats ne sont attribués qu'à certaines choses.

Comment est-ce que je peux attribuer ce certificat au port 51821 ?

Merci

Modifié le 17 juin par cubitus_syno

[cubitus_syno]

Personne ne sait ?

[Lelolo]

@cubitus_synoOn se calme...
Merci de ne pas relancer si peu de temps après ta question, et de faire preuve de patience

[Mic13710]

Un certificat n'a aucun rapport avec les ports. Il ne s'applique qu'à un nom de domaine et ses éventuelles déclinaisons (nom en dur ou wildcard).

Et comme je viens de l'écrire, un certificat ne concerne qu'un seul nom de domaine, vous avez une incohérence dans le votre puisque dans la liste de votre certificat xxxx.me, se trouve des domaines xxxx.fr qui ne peuvent être couverts par ce certificat.

Vous devez créer un certificat pour votre ou vos xxxx.fr.

[cubitus_syno]

Bonjour,

Les domaines en xxx.fr sont une redirection de mon nom de domaine, mais il pointe vers l'adresse en xxxx.me.

Si je lance : http://xxxx.myds.me:51821/login, j'ai ceci :

Si je lance : https://xxxx.myds.me:51821/login, j'ai ceci :

[Mic13710]

Il y a 3 heures, cubitus_syno a dit :

Les domaines en xxx.fr sont une redirection de mon nom de domaine, mais il pointe vers l'adresse en xxxx.me.

Je ne suis pas sûr de bien comprendre ce que vient faire un xxxx.fr dans un certificat qui n'est pas le sien. Un redirection c'est dans la zone du xxxx.fr que ça se fait, pas dans la zone de destination. Bref.

Est-ce que vous arrivez à joindre  https://xxxx.myds.me:51821/login lorsque wireguard est désactivé ?

[cubitus_syno]

Lorsque le paquet docker est désactivé, je n'ai pas accès à la page http.

Si je désactive le paquet Wireguard en laissant le paquet docker activé, j'ai toujours accès au login http

 

C’est le paquet  WireGuard-rtd1619b-1.0.20220627.spk qui serait mal installé ?

[Mic13710]

Pour que ça fonctionne avec un nom de domaine au travers de wireguard ou de n'importe quel autre VPN, il faut qu'il y ait une résolution locale de l'URL et un reverse proxy pour diriger la requête vers le service demandé, ici votre application docker. Sans cela, c'est l'adresse que vous utilisez localement qu'il faut prendre.

Vérifiez aussi que Wireguard autorise toutes les IP à traverser le VPN (allowedIPs = 0.0.0.0/0). 

Il faut que le parefeu du NAS autorise les IPs de Wireguard (10.x.x.x/xx).

Il y a 12 heures, cubitus_syno a dit :

j'ai toujours accès au login http

Mais pas en https je présume, que ce soit localement ou à distance sauf à faire une exception. Ce qui signifie que le certificat n'est pas sollicité et/ou qu'il ne couvre pas le ndd. Pour cela, il faut mettre une règle dans le reverse proxy qui dirige https://xxxx.myds.me port 51821 vers localhost et le port de votre application docker. Ce serait d'ailleurs plus simple d'utiliser le port 443 dans le reverse proxy avec un nom de domaine dédié, par exemple : https://votreapplication/xxx.myds.me port 443 vers localhost et le port de votre application.

Je vous conseille d'aller faire un tour dans la section des tutoriels et de regarder le tuto sur le serveur DNS et celui sur le reverse proxy.

[cubitus_syno]

Merci Mic,

C'est bien le reverse proxy qui bloquait.

J'ai avancé d'un pas et je trébuche de nouveau 🥴

Au lancement de l'interface web de wireguard, j'avais entré un mot de passe. A force de bricoler et de m'acharner sur le HTTPS, je ne sais plus ce que j'ai mis ! 😭

J'ai cherché des trucs à pouvoir reseter le mot de passe, les commandes trouvées sont obsolètes.

J'ai désinstallé WireGuard docker et le réinstaller, ça ne change rien. J'ai désinstallé le paquet WireGuard et réinstallé, ça ne change rien.

 

J'avoue que ça commence à me saouler ces histoires de NAS.

L'installation sur un Raspberry PI a pris moins de 10 Min et ça fonctionne plutôt mal. Je me demande franchement encore pourquoi j'essaie de me casser la tête à essayer de le faire tourner sur mon NAS. Je vais m'acharner encore eu quelques heures et je mets tout à la poubelle si ça ne marche pas 😈

Dans tous les cas merci pour tes compétences.

 

Modifié le 19 juin par cubitus_syno

[Mic13710]

Le 19/06/2025 à 8:41 PM, cubitus_syno a dit :

Au lancement de l'interface web de wireguard, j'avais entré un mot de passe.

Je ne connais pas d'interface web wireguard. Sauf erreur, la seule interface est le client officiel Wireguard. Et à moins que j'ai raté un truc, il n'y a pas à ma connaissance de sécurisation de la connexion Wiregard par mot de passe. Donc, je ne comprends pas bien la phrase ci-dessus.

Pour ma part, j'utilise wireguard mais le serveur est installé sur mon routeur, pas sur le NAS. Si ce dernier peut faire office de serveur VPN (sans wireguard malheureusement), ce n'est pas le meilleur endroit pour cela. Si le NAS tombe en panne par exemple, adieu le VPN et la connexion au LAN.

Le 19/06/2025 à 8:41 PM, cubitus_syno a dit :

Je me demande franchement encore pourquoi j'essaie de me casser la tête à essayer de le faire tourner sur mon NAS.

A mon avis, il est préférable de dédier cette tâche à votre routeur, et si ce n'est pas possible, un Rasp fera très bien le taf, sera mieux adapté à cette fonction et surtout bien plus facile à mettre en oeuvre que Docker.

Le 19/06/2025 à 8:41 PM, cubitus_syno a dit :

je mets tout à la poubelle si ça ne marche pas 😈

Donnez moi l'adresse de la poubelle 😉

[cubitus_syno]

Hello

La version 15 de WireGuard a pas mal amélioré l'interface d'administration pour créer les clients.

Sur les versions précédentes, il fallait créer un mot de passe et l'intégrer dans le YALM.

Sur la version 15, c’est au moment du premier lancement qu’il demande d'insérer un mot de passe.

J'ai quand même retrouvé mon mot de passe preuve que je ne suis pas encore complètement gâteux.

Néanmoins, la communication entre l'interface WireGuard et le service WireGuard ne semble pas passer.

 

Avoir un routeur perso est une chose que j'ai déjà envisagée, néanmoins, avec les box des opérateurs, ce n’est pas une opération qui est forcément facile. Et en ce qui me concerne, la Livebox ne permet pas ce genre d’intégration…

[Lelolo]

Bien sûr que si.
J'en suis la preuve (cf. ma signature)

[cubitus_syno]

J'ai testé TailScale ça fonctionne, mais bon. J'espérai faire mieux qu'un raspberry PI, mais mon NAS qui est DS 214, est une bouse !
Lorsque je fais un speed test, les performances ne sont pas extraordinaires. La jauge CPU du NAS monte à 100% durant ce test, ce qui limite le débit.

Pire, si j'essaie de télécharger un gros fichier sur mon NAS avec le CPU à 100% le débit au bout de quelques secondes s'effondre...

Conclusion, j'arrête mes bêtises avec ces différents trucs sur le NAS et je vais rester avec WireGuard sur le Raspberry PI.

Débit direct en 4G+

débit avec Tailscale avec le CPU à 100%

Débit avec WireGuard sur Raspberry pi 4

il y a 5 minutes, Lelolo a dit :

Bien sûr que si.
J'en suis la preuve (cf. ma signature)

pour la Livebox ?, j'ai la Livebox 5 🙂

[Lelolo]

J'avais précédemment une LB4 avec le même routeur, en double Wan sans problème.

[Mic13710]

Il y a 2 heures, cubitus_syno a dit :

La version 15 de WireGuard

Vous êtes sûr qu'on parle de la même chose ? Wireguard est encore à la version 1 et la dernière mouture est toute récente puisqu'il s'agit de  la v1.0.20250531 soit du 31/05/2025. Quant au client Windows v0.5.3

Le 18/06/2025 à 8:21 PM, cubitus_syno a dit :

Lorsque le paquet docker est désactivé, je n'ai pas accès à la page http.

 

Si je désactive le paquet Wireguard en laissant le paquet docker activé, j'ai toujours accès au login http

 

il y a 10 minutes, cubitus_syno a dit :

mon NAS qui est DS 214, est une bouse !

Alors là, je suis perdu. Docker sur un 214 ? Impossible.

il y a 1 minute, Lelolo a dit :

J'avais précédemment une LB4 avec le même routeur, en double Wan sans problème.

Salut @Lelolo je crois que vous avez un language de sourds avec @cubitus_syno c.a.d. d'avoir Wireguard sur la Livebox, pas sur un routeur séparé comme nous avons toi et moi. A ma connaissance, il n'y a guère que les Freebox qui embarquent un serveur et un client Wireguard.

[cubitus_syno]

Rectification mon NAS est un DS124 😁

La version 15 c'est pour wg-easy (l'interface web sous docker)

[Mic13710]

Mon dernier conseil : abandonnez wireguard sur votre NAS et installez le sur un Rasp.

[cubitus_syno]

Oui, c'est ce que je compte faire.

L'utilisation de Tailscale m'a montré que mon NAS manque franchement de puissance pour faire quoi que ce soit d'autre que donner accès au fichier du disque dur. j'abandonne WireGuard et je garde Tailscale en réserve au cas où.

Merci et bonne continuation 🙂