Problème Let's Encrypt et port 80

[medpurple]

Bonjour, 

 

Je suis sous HP gen8 avec la version DSM 7.1.1-42962 Update 4. 

J'ai un nom de domaine chez OVH que j'ai lié à mon NAS, j'ai créer des sous domaine, ouvert les bons port sur ma box (free 4k mini), demandé le certificat Let's Encrypt et tout fonctionnait jusqu'a il y a quelques semaines...

 

Depuis, quand je demande un certificat Let's Encrypt j'ai une erreur de port 80 (voir pièce jointe). J'ai pourtant ce port ouvert dans ma box ainsi que sur mon NAS: routeur et firewall.

J'ai tenté de désactiver ces derniers mais toujours rien, fermer et ouvrir à nouveau les ports sur ma freebox mais toujours rien.

En testant l'ouverture des ports via un site web, ceux de mes sous domaines son bien ouverts excepté le port 80... Je me suis dit que ça venait de la box et non du NAS, j'ai appelé l'assistance free (sans grand espoir), ils ne gèrent pas ce genre de problèmes...

 

Pour finir, (même si je ne voulais pas) je suis passé en ipv4 full stack mais toujours rien... 

J'ai cherché un peu partout sur le web mais rien. j'ai testé le certificat ACME mais c'est une procédure assez longue et puis ça ne résout pas ce problème de port...

 

Si vous avez une idée, je suis preneur.

Merci.

[nicoueron]

C'est dommage de ne pas avoir transmis le résultat de la commande en SSH, ça n'aidera pas les autres qui auraient eu le même pb que toi. 

Bref tout semble indiquer que le pb venait bien de ton installation de ton serveur Web et non de ta box comme on le présumait. Quoi qu'il en soit maintenant pour ta nouvelle question, je répond par une nouvelle question : pourquoi vouloir créer des DynHost sur OVH si tu as une IP fixe ???

 

L'idée, je me répète, c'est de créer : 

• 1 enregistrement de type A qui pointe vers ton IP publique fixe, exemple :
  • Type A : mondomaine.fr --> 93.15.45.455
• et n enregistrements de type CNAME qui pointent vers ton enregistrement de type A qui correspondent donc à tes n sous-domaine : 
  • CNAME : dsm.mondomaine.fr --> mondomaine.fr
  • CNAME : www.mondomaine.fr --> mondomaine.fr
  • CNAME : test.mondomaine.fr --> mondomaine.fr
  • etc. etc.

 

Ensuite pour les certificats, vu qu'ils pointent tous vers ton domaine, tu peux demander à Let's Encrypt via le client intégré de DSM de ne générer qu'un seul certificat pour l'ensemble de ces sous-domaines, et là je te renvoi à mon 1er post.

 

Enfin, et certainement le plus important, la configuration du reverse proxy au niveau de DSM : 

Dans le panneau de configuration > Portail de connexion > Avancé > Proxy inversé :

 ajoute autant d'entrée que de sous-domaine et matche chacun d'entre-eux vers le bon service. 

Ensuite dans la partie sécurité, tu affectes le bon certificat au bon service

[Orphée]

Hello,

 

Ca ne répondra pas forcément directement à ton problème.

Je ne sais pas si Synology permet de le faire, mais je te recommande de voir s'il n'est pas possible de faire l'authentification letsencrypt via DNS challenge ou TLS Challenge...

 

Actuellement, ton problème de port 80 c'est parce que Let's Encrypt, en mode HTTP challenge veut impérativement accéder à ton NAS sur le port 80 pour "confirmer" que tu es bien propriétaire du nom de domaine que tu tentes de signer...

 

Je ne crois pas que l'interface graphique de Synology gère autre chose que le HTTP challenge...

 

Il existe des tutos pour le faire en ligne de commande avec le DNS Challenge :

 

https://lippertmarkus.com/2020/03/14/synology-le-dns-auto-renew/

 

https://dr-b.io/post/Synology-DSM-7-with-Lets-Encrypt-and-DNS-Challenge

 

Si tu utilises la double authentification sur ton Synology, j'ai créé une pull request (toujours en attente de validation) :

https://github.com/acmesh-official/acme.sh/pull/4477#discussion_r1174694538

 

Pour permettre d'utiliser docker/oathtool pour générer le token à 6 chiffre à la volée plutôt que de chercher à récupérer le DID depuis une session d'un navigateur internet...

 

L'avantage du DNS challenge, aucun port à ouvrir... Il faut juste une clé API pour mettre à jour en live ta zone DNS de ton nom de domaine.

 

Dans le cas d'OVH, il te faudra  voir pour générer la clé d'API et voir quelles sont les bonnes variables d'environnement à charger avant de lancer la commande acme.sh

 

un exemple :

https://www.edouard.bzh/guide-certificat-wildcard-lets-encrypt-acmesh-nginx-ovh/

 

Edit :

https://www.nas-forum.com/forum/topic/68046-tuto-certificat-lets-encrypt-avec-acmesh-api-ovh-en-docker-dsm67-update-070922/

Edited May 11, 2023 by Orphée

[nicoueron]

Merci @Orphée pour ces explications, c'est effectivement un bon moyen mais incompatible avec le mécanisme de DSM hélas, il faut tout faire à la mano dans ce cas précis.

--------------------------------------------------

 

Mais normalement la procédure doit fonctionner - en tout cas chez moi elle fonctionne depuis des années avec ma freebox revolution et ma Delta que je sois chez OVH ou plus récemment chez LWS pour mon nom de domaine.

 

Il faut impérativement une IP V4 full stack afin d'avoir "accès" au port 80. Cela peut prendre jusqu'à 24-48h chez Free pour définitivement t'attribuer l'IP V4 finale.

Depuis l'interface de ta box, les ports 80 et 443 doivent être redirigés vers l'IP locale de ton NAS sur les ports 80 et 443 (et non 5000/5001) :

Ce qui implique obligatoirement d'avoir installé le paquet Web Station depuis le gestionnaire de paquets car il me semble que par défaut seul le port 5000 (et 5001) sont exposés par DSM.

 

Par ailleurs lors de la demande de certificat depuis DSM via Let's Encrypt, je rajoute systématiquement le nom de domaine classique dans la liste des autres noms de domaines (et sous-domaine) car je sais que j'ai eu des difficultés au début sans comprendre pourquoi si je ne le faisais pas :

[medpurple]

Merci @Orphée pour tes infos, je test ça tout à l'heure, il est possible d'importer des certificats manuellement, je l'ai fais avec ACME, je trouve que c'est assez long étant donné que je créer pas mal de sous domaines pour mes projets.
 

 

Merci également @nicoueron je suis déja en ipv4 full stack depuis la semaine dernière, mes ports sont bien ouvert dans ma freebox (TCP, UDP).

Je n'avais pas ce problème il y a quelques semaines tout fonctionnait normalement...
Quand j'effectue un test sur les ports 80 & 443 dans : "accès externe => Configuration du routeur" le test me retourne : "ok" ça veut bien dire que les ports sont ouverts, le problème c'est que l'accès au site web via webstation ne fonctionne pas, j'ai refait une installe propre mais rien n'y fait le port 80 est bouché et je n'ai aucune idée de pourquoi.

Je me dit que peu être j'ai changé une option et que ça bloqué, est-ce qu'il existe un paramètre ou une commande pour rétablir les paramètres du NAS a 0 sans le formater ? 

[nicoueron]

Supprime cette règle j'ai peur qu'elle entre en conflit avec la config de ta Box. 

 

Depuis un PC sur le réseau du NAS, si tu ouvres http://[IP_NAS] ça donne quoi ? tu vois la racine de Web Station ?

Et de même, si tu ouvres http://[IP_V4_FULL_STACK] ça donne quoi ?

[medpurple]

J'ai supprimé les règles et désactivé la config routeur, pareil pour le pare-feu

Ip NAS = ERR_CONNECTION_REFUSED 

Ip V4 = ERR_CONNECTION_REFUSED  

[nicoueron]

OK, donc le pb ne vient pas de ta box.

 

t'es sur d'avoir un serveur web qui tourne genre Web Station et qu'il écoute sur le port 80 ???

 

En SSH, que donne la commande  ?

netstat -anpe | grep 80

 

[Orphée]

1 hour ago, medpurple said:

Merci @Orphée pour tes infos, je test ça tout à l'heure, il est possible d'importer des certificats manuellement, je l'ai fais avec ACME, je trouve que c'est assez long étant donné que je créer pas mal de sous domaines pour mes projets.

Avec le DNS challenge, tu peux faire un certificat wildcard *.domaine.tld

Plutôt pratique.

[medpurple]

il y a une heure, nicoueron a dit :

OK, donc le pb ne vient pas de ta box.

 

t'es sur d'avoir un serveur web qui tourne genre Web Station et qu'il écoute sur le port 80 ???

Oui j'ai bien Web Station qui tourne, par contre quand je clique sur ouvrir le site web, ça renvoi vers mon nom de domaine et plus l'adresse local. Je ne sais pas si ça peu avoir un impact

[nicoueron]

peux-tu tester en désactivant ton Wordpress ?

[medpurple]

Même résultat en désactivant wordpress. 

[nicoueron]

OK...

 

• Et du coté d'OVH, tu as créé autant d'enregistrement CNAME que de sous-domaine qui pointent vers ton domaine.fr lui-même étant de type A avec ton IP Publique fullstack ?
• La racine qui correspond normalement à un répertoire partagé nommé "web" de ton Web Station n'apparait pas, c'est normal ?

[medpurple]

Je viens de modifier sur OVH mais toujours pareil, je pense vraiment que ça vient de ma box...

Sur le site https://www.yougetsignal.com/ en mode: "port forwarding tester" il me dit que le port 80 est fermé, le 443 ouvert alors que les deux sont redirigés dans ma box.

 

[Orphée]

Franchement, suis le tuto  ici :

 

https://www.nas-forum.com/forum/topic/68046-tuto-certificat-lets-encrypt-avec-acmesh-api-ovh-en-docker-dsm67-update-070922/

 

ensuite tu mets une crontab mensuelle, et ça fait le taf tout seul.

Tu le fais en mode wildcard donc un seul certificat à gérer, et tu attaches tous tes portaux au même certificat.

[nicoueron]

Le 12/05/2023 à 16:40, medpurple a dit :

Je viens de modifier sur OVH mais toujours pareil, je pense vraiment que ça vient de ma box...

Sur le site https://www.yougetsignal.com/ en mode: "port forwarding tester" il me dit que le port 80 est fermé, le 443 ouvert alors que les deux sont redirigés dans ma box.

 

si tu n'y accèdes pas même en local c'est que ta box n'a rien à voir la dedans. 

Un port peut tout à fait être ouvert sur Internet au niveau du routeur mais si derrière rien n'écoute après la translation de port, c'est comme s'il était fermé.

 

Plusieurs pistes à vérifier avant d'enclencher la piste d'@orphée :

• Vérifie si tu n'aurais pas activé le FW de DSM dans le panneau de configuration et bloqué le port 80
• Vérifie ta config réseau de ton poste local notamment le serveur DNS et la gateway, idem dans DSM.
• Vérifie que ton NAS accède bien à Internet également
• Vérifie en SSH si le port 80 est réellement ouvert et en écoute sur ton DSM, j'ai l'impression que non :

  netstat -anpe | grep 80

• Au pire tente une réinstallation du paquet Web Station

 

 

@orphée : perso je ne suis pas fan des certificats wildcard pour des raisons de sécurité, mais après je conçois que ça simplifie la config : 1 certificat pour les gouverner tous!

[medpurple]

Le 15/05/2023 à 15:50, nicoueron a dit :

si tu n'y accèdes pas même en local c'est que ta box n'a rien à voir la dedans. 

Un port peut tout à fait être ouvert sur Internet au niveau du routeur mais si derrière rien n'écoute après la translation de port, c'est comme s'il était fermé.

 

Plusieurs pistes à vérifier avant d'enclencher la piste d'@orphée :

• Vérifie si tu n'aurais pas activé le FW de DSM dans le panneau de configuration et bloqué le port 80
• Vérifie ta config réseau de ton poste local notamment le serveur DNS et la gateway, idem dans DSM.
• Vérifie que ton NAS accède bien à Internet également
• Vérifie en SSH si le port 80 est réellement ouvert et en écoute sur ton DSM, j'ai l'impression que non :

  netstat -anpe | grep 80

• Au pire tente une réinstallation du paquet Web Station

 

 

@orphée : perso je ne suis pas fan des certificats wildcard pour des raisons de sécurité, mais après je conçois que ça simplifie la config : 1 certificat pour les gouverner tous!

J'ai pris le temps, cette histoire me donne des suées  
Pour commencer :

 

• Quand je change la redirection de ports dans ma box le port est bien ouvert
  
   
• Je suis passé en ip fixe du coup je ne sais plus paramétrer mon dns pour les certificats -_- j'ai cherché des tuto mais je ne trouve que ceux en ip dynamique DynDns avec vous un tuto ? :p 
• J'ai vérifier ma config local, j'ai testé sur plusieurs ordi de mon réseau 1x mac, 2x pc, même problème. 
• J'avais déjà désinstallé web station sans succès 
   
• Je vais vérifier si mon nas accède à l'extérieur et le port 80 en SSH 

Merci

Edited May 17, 2023 by medpurple

[nicoueron]

ta capture me fait peur, je vois de l'UDP et du port 5001?! tu devrais être en TCP et 80. On est d'accord que tu avais bien ça : 

 

Il y a 3 heures, medpurple a dit :

Je suis passé en ip fixe du coup je ne sais plus paramétrer mon dns pour les certificats

hum aucun rapport, tout se fait chez OVH.

 

Il y a 3 heures, medpurple a dit :

Je vais vérifier si mon nas accède à l'extérieur et le port 80 en SSH 

le port 80 en SSH???????? là je ne comprend plus rien à ton test!?

 

[medpurple]

il y a 1 minute, nicoueron a dit :

ta capture me fait peur, je vois de l'UDP et du port 5001?! tu devrais être en TCP et 80. On est d'accord que tu avais bien ça : 

 

Oui oui j'ai bien ça pour le 80 et le 443, le 5001 c'était pour tester.

 

il y a 3 minutes, nicoueron a dit :

le port 80 en SSH???????? là je ne comprend plus rien à ton test!?

 Je suis ton conseil plus haut =>

 

Le 15/05/2023 à 15:50, nicoueron a dit :

• Vérifie en SSH si le port 80 est réellement ouvert et en écoute sur ton DSM, j'ai l'impression que non :

netstat -anpe | grep 80

 

[benou33]

Bonjour,

 

Et dans le pare-feu de DSM, le port n'est pas bloqué?

[medpurple]

à l’instant, benou33 a dit :

Bonjour,

 

Et dans le pare-feu de DSM, le port n'est pas bloqué?

Bonjour, mon pare-feu est désactivé

[Orphée]

3 minutes ago, medpurple said:

Bonjour, mon pare-feu est désactivé

en root sur le syno :

 

lsof -i :80

 

Edit :pour cette commande tu auras surement besoin d'installer le package "SynoCli Monitor Tools" disponible dans les packages community 

 

https://packages.synocommunity.com/

 

Edited May 17, 2023 by Orphée

[nicoueron]

il y a 11 minutes, medpurple a dit :

 Je suis ton conseil plus haut =>

OK, je n'avais pas compris^^ et du coup ce serait le principal indice pour connaitre le statut du port 80 et du service associé

[Orphée]

Tu peux aussi, toujours en root :

 

curl -kv localhost:80

[medpurple]

Bon j'ai craqué, j'ai un vieux NAS (ds113j) que j'a rebranché et j'ai réussi à récupérer un certificat avec celui-ci, j'ai donc comparé les settings avec mon gen8 et je n'ai rien trouvé... Au final j'ai remis à zéro le loader et je suis reparti sur les settings de base. Tout fonctionne à nouveau ! 

Maintenant mon problème est coté config OVH => NAS pour que mes certificats soient valide sur tous mes sous domaines.

J'ai bien entré le champ A  sur l'onglet Zone DNS et un champ CNAME : " * IN CNAME ndd. " créer mes sous domaines dans DynHost mais sur NAS il faut que je fasse un certificat pour chaque sous domaine, bon je peux rester ainsi mais si y'a plus simple, je suis preneur    
En tous cas merci pour vos pistes et votre aide 

[medpurple]

J'avoue que je n'ai pas pensé à transmettre le résultat de la commande, j'en suis dsl... J'avais besoin des mes sous domaines pour bosser j'ai donc tenté de remettre à zéro. Effectivement je pense que ça venait du webstation pourtant réinstallé plusieurs fois.

 

Ce que je n'avais pas capté c'est la partie CNAME (créer un enregistrement pour chaque sous-domaine).

Merci beaucoup pour ce petit rappel. 

 

Bonne journée.