Recommended Posts

Bonjour à tous,

 

voilà, j'ai un petit soucis avec la configuration du NAT sur ma livebox.

j'ai fait une installe qui fonctionnait bien et j'ai voulu l'améliorer en apportant un vrai nom de domaine à mon syno.

J'ai acheté le nom chez OVH, j'ai configuré mes redirecteurs, tout fonctionne, je n'ai plus besoin de mettre le numéro de port pour accéder à distance sur mon syno.
Sauf que maintenant, mon certificat Let's Encrypt  arrive à expiration et je n'arrive pas à faire en sorte qu'il se renouvelle... je pense que le soucis vient de la configuration de ma livebox

voici comment elle est configurée :

configuration NAT/PAT livebox
Application/service Port Interne Port Externe Protocole Equipement
SYNO-HTTP 5000 80 TCP SYNO
SYNO-HTTPS 5001 443 TCP SYNO

 

J'ai le pare-feu de mon synology qui est aussi activé et qui est ouvert pour les ports liés aux applications "Web Mail, HTTPS, Reverse Proxy" (port 80 et 443) qui sont configurés pour communiquer uniquement avec les adresses IP française et celles des USA (1ère règle) et uniquement sur l'adresse IP public de ma box (2ème règle). Je me dis que ça joue peut être sur le blocage du renouvellement de mon certificat ?!

 

En fait, mon objectif à terme c'est de pouvoir utiliser le reverse proxy et de pouvoir utiliser toutes mes applications sans avoir à renseigner le port au bout de l'adresse, mais là, à court terme ça reste le renouvellement de mon certificat de sécurité 😁

 

Je ne sais pas si j'ai été très clair ou même si je suis au bon endroit, en tout cas je vous remercie à tous d'avance pour l'aide que vous pourrez m'apporter.

 

bonne journée/soirée à vous tous 😊

 

Vlaneo

Share this post


Link to post
Share on other sites

hello,  sauf erreur, en tout cas ça fonctionne chez moi comme ça, Let's Encrypt a besoin que le port externe 80 mène au port 80 interne du NAS, idem pour le 443 même si je ne me suis jamais préoccupé de ce port. Personnellement je ne lierai d'ailleurs pas mes ports DSM 5000 et 5001 aux 80 et 443 puisqu'ils sont justement utilisés à d'autres fins, mais peut-être avez-vous une raison de le faire. Il faut également installer le package "web station". N'hébergeant pas de site web sur mon Nas, j'active le forwarding du port 80 sur mon routeur uniquement lorsque j'ai besoin d'updater le certificat et le désactive le reste du temps.

Un extrait d'un mini how-to en anglais:

Let's Encrypt will query your Synology NAS on port 80/TCP and 443/TCP. I can't find the nice technical document I read before. When I do I will add the link to this document. By default the Synology NAS device does not listen on 80/TCP or 443/TCP nor does it have a website.

Go to Package Center and install 'Web Station'. Once that finishes go to the main menu and launch 'Web Station'. Follow the steps below to configure the virtual host.

 

Je pense que votre problème vient d'une confusion entre les ports HTTP/HTTPS d'accès au DSM (500/5001 par défaut) et ceux permettant un accès au NAS hébergeant par exemple un site web, sécurisé ou non (ports 80 ou 443).

Si je dis des âneries, dites le moi, mais à moins d'avoir une connexion qui bloque les ports 5000 ou 5001, je trouve étrange d'utiliser les 80 ou 443, sachant que l'on peut changer les ports d'accès au DSM de 1024 à 65535..?

Edited by pmchan

Share this post


Link to post
Share on other sites
15 hours ago, pmchan said:

hello,  sauf erreur, en tout cas ça fonctionne chez moi comme ça, Let's Encrypt a besoin que le port externe 80 mène au port 80 interne du NAS, idem pour le 443 même si je ne me suis jamais préoccupé de ce port. Personnellement je ne lierai d'ailleurs pas mes ports DSM 5000 et 5001 aux 80 et 443 puisqu'ils sont justement utilisés à d'autres fins, mais peut-être avez-vous une raison de le faire. Il faut également installer le package "web station". N'hébergeant pas de site web sur mon Nas, j'active le forwarding du port 80 sur mon routeur uniquement lorsque j'ai besoin d'updater le certificat et le désactive le reste du temps.

Un extrait d'un mini how-to en anglais:

Let's Encrypt will query your Synology NAS on port 80/TCP and 443/TCP. I can't find the nice technical document I read before. When I do I will add the link to this document. By default the Synology NAS device does not listen on 80/TCP or 443/TCP nor does it have a website.

Go to Package Center and install 'Web Station'. Once that finishes go to the main menu and launch 'Web Station'. Follow the steps below to configure the virtual host.

 

Je pense que votre problème vient d'une confusion entre les ports HTTP/HTTPS d'accès au DSM (500/5001 par défaut) et ceux permettant un accès au NAS hébergeant par exemple un site web, sécurisé ou non (ports 80 ou 443).

Si je dis des âneries, dites le moi, mais à moins d'avoir une connexion qui bloque les ports 5000 ou 5001, je trouve étrange d'utiliser les 80 ou 443, sachant que l'on peut changer les ports d'accès au DSM de 1024 à 65535..?

Bonjour pmchan,

 

merci pour votre réponse, je vais essayer de tester ça ce soir en rentrant. Je fais effectivement peut être une confusion de port.

 

J'ai bien "web station" d'installer, mais je n'ai pas de vHost dedans, il est vide.

par contre, quand je lis le 80 au 80 et le 443 au 443 ça me renvoie sur la page de web station et non pas vers la portail de connexion de mon NAS. c'est pour ça que je liai le 5000 au 80 et le 5001 au 443 et ça m'évitait aussi de rentrer le port à la fin de l'adresse... mais ça, ça doit surement pouvoir se régler dans le reverse proxy...

Share this post


Link to post
Share on other sites

Hello, mes réglages web station sont également ceux par défaut, sans vHost ou autre,  puisque je l'ai juste installé pour cette histoire de port 80 à ouvrir sur le Nas, afin d'effectuer les mises à jour Let's Encrypt.

Il est normal que vous atterrissiez sur la page webstation  avec les ports 80 et 443 externes forwardés aux ports internes identiques du Nas. Encore une fois, si vous hébergiez un site web personnel sur le Nas grâce à Web Station, cela permettrait aux internautes d'y accéder en tapant votre adresse de domaine OVH sans ajouter de port à l'adresse, comme un site web normal.

Si je comprends bien, votre forwarding de 80 vers 5000 était surtout lié à une question de commodité, au pire, la mise à jour Let's Encrypt n'étant à faire qu'une fois tous les 3 mois, lorsque la date de fin de validité approche vous pouvez modifier temporairement le forwarding de 80 externe vers 80 interne sur le routeur, vous connecter en root par ssh au syno et lancer "/usr/syno/sbin/syno-letsencrypt renew-all". Cela renouvellera les certificats et vous pourrez remettre votre forwarding 80 vers 5000. C'est ce que je fais, même si je n'utilise pas le port 80 pour me connecter à DSM, mais un autre choisi entre 1024 et 65535, comme cela est prévu par Synology.

SInon, il existe ce petit tuto bien expliqué en français pour renouveler le certificat.

 

Edited by pmchan

Share this post


Link to post
Share on other sites

roh lala, je ne m'en sors plus ^_^

il va falloir que je revois tout ça... maintenant que le port 80 est bien ouvert et redirigé, le renew-all ne fonctionne pas et la création d'un nouveau certificat me dit "Echec de la connection à Let's Encrypt. Assurez-vous que le nom de domaine est valide" ... sauf qu'en vérifiant mon nom de domaine, celui-ci est bien valide... (oui, j'ai supprimé mon certificat pour en recréer un nouveau du coup)

J'ai vraiment du mal avec le réseau c'est fou... 😂

Share this post


Link to post
Share on other sites

Pour faire simple avec Let's Encrypt :

 

Il faut ouvrir les ports 80 et 443 vers ces mêmes ports 80 et 443 de DSM ==> pas les 5000 et 5001. Il faut le faire 1 fois afin que Let's Encrypt puisse réaliser la génération du certificat. Une fois que le certificat a été généré tu peux remettre les ports 80 et 443 vers les ports 5000 et 5001 si tu veux - tout dépend de ton usage. Pour le renouvellement il n'utilise pas le même mécanisme -ie. les ports 80/443.

 

Pour info, Let's Encrypt s'appuie sur WebStation (80/443) de DSM et non nginx de DSM (5000/5001).  Il s'agit bien de 2 serveurs web différents.

 

Share this post


Link to post
Share on other sites

Je viens de faire le test à l'instant sur le mien et ai effectué ces actions dans l'ordre:

sur le routeur:

-port 80 externe vers 80 interne du Nas.
-aucune règle pour le 443 que je n'utilise pas, il est donc bloqué et ne communique pas avec le Nas.

sur le Nas:

- le package web station installé et lancé.

- j'utilise le pare-feu sur mon Nas, dans Panneau de configuration/ Sécurité/ Pare feu et celui-ci est bien configuré pour laisser le port 80 ouvert vers web station.

 

résultat, lorsque je me connecte de l'extérieur de mon réseau local, depuis internet via mon nom de domaine, sans ajouter de numéro de port, j'arrive sur la page d'accueil Web Station du Nas.

 

À partir de là, je vais dans Panneau de configuration/Sécurité/Certificats, je fais bouton droit sur mon certificat let's Encrypt puis "Renouveler le certificat" et c'est bon, la date de validité change. 


Dans le doute, je vous propose de désactiver temporairement le pare-feu du Nas car il semble que vous ayez une configuration très restrictive basée sur les régions du monde. Je le fais également mais pour lever tout doute, je désactiverais le pare feu pour voir si cela influe sur cette histoire de renouvellement, voire même de création de certificat si j'en crois votre dernier post.

Edited by pmchan

Share this post


Link to post
Share on other sites

d'accord, merci à tous.

pour information, le pare-feu sur mon syno est désactivé (pour ces tests de certificats uniquement) et les redirections sont bien faites du 80 vers le 80 sur ma Livebox... fichu box !! elle est vraiment naze ! je regrette de plus en plus d'être parti de chez Free...


Je vais essayer de revoir ma configuration chez OVH aussi, j'ai l'impression que j'ai un soucis...
Je vais voir si j'ai le temps ce soir, sinon ce ne sera surement pas avant ce we...
(j'en profiterai pour faire des captures d'écrans pour que ça soit plus parlant)

Edited by vlaneo

Share this post


Link to post
Share on other sites
il y a 41 minutes, vlaneo a dit :

pour information, le pare-feu sur mon syno est désactivé (pour ces tests de certificats uniquement) et les redirections sont bien faites du 80 vers le 80 sur ma Livebox... fichu box !! elle est vraiment naze ! je regrette de plus en plus d'être parti de chez Free...

J'ai tenté aussi de partir de chez Free pour aller chez Orange il y a 6mois... je suis resté 13jours montre en main^^ La Livebox est tellement pourr*** comparée aux services offerts par la Freebox Revolution - et je ne parle pas du fait que le VDSL chez Orange est limité à 1000,000000 mètres de façon logicielle dans leur infrastructure là où la Freebox tente toute seule de se synchronisée pour offrir le meilleur débit montant et descendant.

 

il y a 43 minutes, vlaneo a dit :

Je vais essayer de revoir ma configuration chez OVH aussi, j'ai l'impression que j'ai un soucis...

N'oublie pas qu'il y a la notion de réplication DNS à prendre en compte. Si tu crées une entrée en général c'est très rapide, mais si tu en modifies une alors ça peut prendre plus de temps pour la propagation. Si tu es sous Windows, tu peux tenter de faire un :

ipconfig /flushdns

pour purger le cache DNS de ton PC Windows. Tu peux aussi pointer vers d'autres serveurs DNS dont la latence de réplication est bien plus réactive (perso je pointe vers opendns).

Share this post


Link to post
Share on other sites

Au pire, passez l'adresse ip du Nas temporairement en DMZ dans la box Orange pour les tests, mais un problème de domaine est effectivement possible.


Sinon, cela ne vous aide pas vraiment dans l'immédiat mais pour s'affranchir de la médiocrité des routeurs intégrés aux box internet et ne pas perdre ses réglages à chaque changement de fournisseur d'accès internet,  l'achat d'un routeur externe est également une solution, idéalement capable d'être flashé en DD-WRT ou autre firmware alternatif.

J'ai personnellement un Netgear R7000 passé sous firmware Tomato by Shibby, la version Multiwan, cela me permet d'utiliser deux connexions internet simultanément; celle à 10Mbits/s de la freebox adsl, médiocre puisqu'habitant à la campagne mais permettant d'avoir la tv/telephone fixe, ainsi que celle d'un modem 4G qui me permet d'avoir 150Mbits/s quand les dieux des ondes sont avec moi :D 

 

Edited by pmchan

Share this post


Link to post
Share on other sites
il y a 54 minutes, pmchan a dit :

cela me permet d'utiliser deux connexions internet simultanément

Je l'ai fait aussi sur un routeur chez moi auquel j'avais branché mon ancien iphone 5 avec une carte sim 4G. Ça marche effectivement mais ça n’agrège pas les 2 liens.

Et surtout dans mon cas je me suis retrouvé face au mur technique de la 4G d'un opérateur qui n'est pas capable de faire du NAT, du coup exit la possibilité d'accéder au NAS depuis l'IP public de la 4G. Du moins sans passer par une connexion VPN initialisée depuis l'intérieur du vlan vers un serveur VPN externe - solution à mon sens tordue et complexe.

Share this post


Link to post
Share on other sites
Le 03/04/2019 à 14:00, pmchan a dit :

 

celle à 10Mbits/s de la freebox adsl, médiocre puisqu'habitant à la campagne mais permettant d'avoir la tv/telephone fixe, ainsi que celle d'un modem 4G qui me permet d'avoir 150Mbits/s quand les dieux des ondes sont avec moi :D

 

Franchement, si tu en as déjà une, pourquoi ne pas passer via satellite pour la réception et utiliser la médiocre pour l'ermission.

Tu vas gagner en rapidité.

 

 

Share this post


Link to post
Share on other sites

Du satellite à plus de 150Mb/s?! Si tu en connais, je veux bien regarder, mais la dernière fois que je m'étais renseigné, ça plafonnait à 30 ou 40Mb/s dans les meilleurs cas, avec une enveloppe d'à peine 100Go et un coût mensuel stratosphérique. 150Mb/s font à peu près 15Mo/s en débit descendant.

Edited by pmchan

Share this post


Link to post
Share on other sites
Le 03/04/2019 à 14:59, nicoueron a dit :

Je l'ai fait aussi sur un routeur chez moi auquel j'avais branché mon ancien iphone 5 avec une carte sim 4G. Ça marche effectivement mais ça n’agrège pas les 2 liens.

Et surtout dans mon cas je me suis retrouvé face au mur technique de la 4G d'un opérateur qui n'est pas capable de faire du NAT, du coup exit la possibilité d'accéder au NAS depuis l'IP public de la 4G. Du moins sans passer par une connexion VPN initialisée depuis l'intérieur du vlan vers un serveur VPN externe - solution à mon sens tordue et complexe.

Effectivement, l'accès par l'ip 4G reste problématique avec des solutions "bricolées" à base de modem + puce forfait mobile, par contre, les box 4G opérateur semblent pour certaines gérer le NAT. Je voulais me lancer dans la solution consistant à louer un serveur externe + une machine en local pour la redirection mais n'ai pas encore eu le courage.

Share this post


Link to post
Share on other sites

Bonjour à tous,

 

désolé de mon absence pendant 1 mois, j'ai eu pas mal de choses à faire, mais je m'y remets XD
Donc, j'ai décidé d'attendre que mon certificat expire complètement pour en refaire un.
Je vais m'y remettre et vous tenir au courant.

Pour le moment, j'ai le message suivant : "Failed to connect to Let's Encrypt. Please make sure the domain name is valid" (oui, j'ai passé mon syno en anglais pour faciliter mes recherches)

 

Pour résumer, j'ai découvert plusieurs point bloquant qu'il va falloir que je travaille :

  - un DynDNS qui n'est pas très propre sur mon interface OVH, quand je lance mon VPN sur mon Syno, l'adresse IP est modifiée et n'est plus celle de ma box, donc forcément, plus d'accès au syno par son nom de domaine... (contourner en fixant l'adresse IP de la box dans la partie DDNS des accès externe du syno)

  - un Firewall du syno mal réglé, il va falloir que je revois tout ça... en attendant, là je l'ai désactivé pour essayer de remettre un certificat

 

je ne sais pas si c'est possible, mais quand j'aurai tout refait au propre, je me disais que j'aurai bien fait un tuto, peut être sur ce forum pour aider d'autres personnes ?! et surement avoir des avis pour peut être améliorer ?!

 

En tout cas, merci pour votre aide et votre gentillesse ! 😊

Share this post


Link to post
Share on other sites

Bon, du coup, j'ai réussi à faire une demande de certificat

voilà ce que j'ai fait :

 

- redirection sur ma livebox des ports 80 et 443 sur les interfaces 80 et 443 du NAS (ce qui coupe ma connexion via nom de domaine, donc attaque de mon NAS via son adresse IP en local)

- nettoyage du pare-feu de mon NAS pour revenir au propre

- j'ai suivis ce tuto pour revérifier ma conf de sécurisation : securisation des acces a son nas

- dans la partie pare-feu du lien au dessus, j'ai rediriger les ports 80 et 443 vers les adresses France et USA

 

à la suite de ça, j'ai fait une demande de certificat lets encrypt et ça a fonctionné à merveille

 

j'ai enfin remis la redirection de port 5001 > 443 pour avoir de nouveau accès à mon nas par son nom de domaine sans le port.

 

voilà une bonne chose de faite en tout cas ^^

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.