Configuration Synology

Démarré par roms0406, 18 Avril 2016, 14:21:16

« précédent - suivant »

Asm0dee

Merci roms pour le lien ;)

Cependant comme je le disais la redirection forcée vers le https n'est, pour des raisons qui m'échappent, pas possible pour web station ...



Etrange et franchement pénible pour le coup, et vu les avantages de l'auto hébergement, pas trop envie de déménager mon serveur ...

Donc si mon souci est lié à cette histoire de cryptage forcé de la connection, c'est cuit pour moi :/

roms0406

Coche "Enable HSTS"

Ça force la connexion sécurisée (on sait jamais ^^)

Asm0dee

J'ai bien essayé mais chez moi ça se présente comme ça (je suis sous DSM 6.0) :





Je dois donc activer un domaine personnalisé pour cocher HSTS ... et je n'ai pas de domaine à activer ^^

roms0406

18 Avril 2016, 17:54:51 #5 Dernière édition: 18 Avril 2016, 17:59:57 par roms0406
Il n'y a que toi en local ou bien des utils depuis l'extérieur ?

Parce que si tu as ouvert ton serveur et fais la redirection de ports, tu as forcément un nom de domaine (même si c'est un dyndns ou autre)

Asm0dee

Oui j'ai un accès depuis l'extérieur avec redirection de ports, et du coup un dyndns (no-ip.org). Désolé, je suis pas très au clair avec tout ce vocabulaire  :-[

J'ai essayé avec la méthode que tu as décrite ci-dessus, mais pour d'obscures raisons, impossible de créer un certificat let's encrypt (nom de domaine invalide). J'essaierai demain avec un autre dyndns, voir si ça change la donne (j'ai actuellement un certificat auto-signé et c'est vrai que c'est pénible les alertes de site dangereux sur les navigateurs) ...

Bref, merci pour ton aide, c'est cool 8) (Et désolé Darknoon d'avoir un peu dévié du topic originel ...)

roms0406

Tkt, moi je suis en auto-signé là, et ça marche bien, malgré le soucis d'avoir à accepter l'exception de sécurité

Tu ne pollues pas au contraire, tous les problèmes des utilisateurs aident à résoudre les soucis, donc continue à poster tes tests/avancements, ça peut vraiment aider les autres et si on peut t'aider on le fera avec plaisir

(bon moi j'ai laché le nas pourtant acheté pour ça au début, mais je peux peut-être aider quand même vu qu'il est toujours co mais pour une autre raison ^^)

DarkNoon

Je déplace ici comme ça vous pouvez continuer tranquillement.

A la fin si vous avez le temps de faire un résumé de ce qu'il faut faire ce serait top :-)
Héberger votre OGSpy : Hébergement

Asm0dee

19 Avril 2016, 12:12:42 #9 Dernière édition: 19 Avril 2016, 12:32:14 par Asm0dee
Merci Darknoon d'avoir déplacé le sujet ^^

Donc pour revenir à nos moutons ..

J'ai effectué la modification décrite par roms, à savoir le remplacement d'un certificat auto-signé par un certificat let's encrypt. J'ai dû pour cela changer de dyndns car ça ne fonctionnait pas avec no-ip.org (pourquoi ? mystère ...). Bref, j'ai utilisé le service proposé par Synology, à savoir le dyndns synology.me qui me semble être très bien pour le moment (à voir dans le temps).

Résultat : plus d'erreur de certificat dans les navigateurs lorsqu'on se connecte de l'extérieur, ce qui est déjà pas mal. En prime, en redirigeant correctement les ports dans la box, l'accès sécurisé semble fonctionner (création d'une règle 'secured web server' pour le nas dans la Livebox, port 443). Donc à priori, l'accès extérieur est ok  :) Donc on dit merci qui ? Merci roms pour ton coup de pouce ^^
(Je dis à priori car je n'ai pu tester que depuis le Safari de mon iphone. La présence du cadenas dans la barre d'adresse une fois la page login passée semble indiquer une connexion sécurisée, mais lorsqu'on force la connexion sécurisée à l'aide du paramètre HSTS dans le panneau de config du syno, on a tout de même un message d'erreur .. Si on désactive HSTS tout est ok, donc ... :/ Quand je pourrai, j'essaierai de tester depuis un ordi si les RC/RE etc .. remontent correctement.)

Mon souci demeure cependant en connexion depuis le réseau local, malgré maj de ma barre Xtense GM en 2.6.9.17 : pas de remontée des RE/RC etc. Seuls les ss et les infos liées à l'espace personnel s'uploadent correctement.
Vous l'avez compris, je suis loin d'être expert en réseau, donc je tâtonne, je tâtonne .. Je suppose que passant par une connexion type 192.168.x.x, l'accès ne peut pas être sécurisé en https .. si ? Peut-être est-ce là que ça coince dans la liaison avec OGSpy ? Car autant la méthode décrite ci-dessus semble fonctionner depuis l'extérieur, autant en local rien à faire  :-[

DarkNoon

Tu as un screenshot de RC et RE qui ne passerait pas ? On pourrait de notre côté essayer avec le meme type de RC ou RE.

Sinon grâce â letsencrypt je suppose que tout tes liens sont en https désormais. (Accès OGSpy, config module xtense,...)

Une bonne chose que tu aies un dns correct désormais ça evite les 10€/an pour un domaine ?
Héberger votre OGSpy : Hébergement

roms0406

Tu peux tout à fait te connecter en https en local, suffit de taper https://192.168.x.x  ;)

Asm0dee

Citation de: roms0406 le 19 Avril 2016, 13:13:52
Tu peux tout à fait te connecter en https en local, suffit de taper https://192.168.x.x  ;)

Bah c'est ce que je pensais aussi, sauf que le https reste barré dans la barre d'adresse de Chrome malgré les manips décrites ci-dessus, ça me dit toujours que le certificat n'est pas valide ... Après, la connexion est peut-être sécurisée (connexion chiffrée, voir screen ci-dessous), c'est peut-être juste le certificat qui ne lui plaît pas (mais dans ce cas, pourquoi pas de message d'erreur signalé depuis l'extérieur ce matin ..?) ...



Citation de: darknoon le 19 Avril 2016, 13:00:07
Tu as un screenshot de RC et RE qui ne passerait pas ? On pourrait de notre côté essayer avec le meme type de RC ou RE.

Sinon grâce â letsencrypt je suppose que tout tes liens sont en https désormais. (Accès OGSpy, config module xtense,...)

Une bonne chose que tu aies un dns correct désormais ça evite les 10€/an pour un domaine ?

L'accès OGSpy a toujours la même forme qu'au dessus, https barré pour raison de certificat .. Côté config module Xtense, le lien serveur est toujours indiqué en http :/ C'est normal docteur ..? :p

Pour le reste, voici deux screenshots, mais je précise que plus aucun RC/RE/recyclage ne remonte vers le serveur, pas simplement ces deux là .. Je sais que je me répète, mais je ne comprends pas pourquoi tout fonctionnait normalement avant que je fasse la maj ..





Encore merci à vous deux pour votre aide :)

roms0406

19 Avril 2016, 15:15:05 #13 Dernière édition: 19 Avril 2016, 15:16:37 par roms0406
Bon le https barré en local c'est normal, vu que ton certificat est fait pour le nom de domaine
En local du coup tu as l'adresse ip qui ne correspond pas au domaine du certificat mais la connexion se fait bien en https

Pour la remontée des infos c'est plus problématique du coup, et les screens ne vont pas aider en fait, il faudrait qu'on voit le debug pour savoir ce qui coince
Avant tout c'est bête je sais mais tu as bien vérifié ta config xtense, notamment bien coché toutes les cases dans l'onglet "Pages" (dsl pour la question mais j'ai souvent eu ce souci avec des utilisateurs ;) )

Tu peux te co sur hipchat ??
Ce serait plus simple d'échanger en direct pour t'aider

Asm0dee

Bonsoir tout le monde :)

Alors pour résumer, la solution Let's Encrypt est parfaitement fonctionnelle. Il faut suivre les étapes décrites dans le lien que roms a donné :

http://www.nextinpact.com/news/98199-lets-encrypt-et-dsm-6-0-comment-creer-certificat-pour-votre-nas-synology.htm

A noter que l'utilisation de no-ip.org comme dyndns ne fonctionne pas chez moi, j'obtiens une erreur à la création du certificat. J'ai personnellement utilisé le dyndns synology.me qui s'avère enfantin à mettre en place. Comme je disais plus haut, à voir dans le temps ce que ça donne (niveau mise à jour, disponibilité, etc. Y'a pas de raison mais bon ...).

Le certificat Let's Encrypt permet d'éviter les alertes de site douteux généralement renvoyées par les navigateurs lors de l'utilisation d'un certificat auto-signé. Roms a pu tester de l'extérieur l'accès au serveur, et la connexion en https est parfaitement fonctionnelle. A noter que si, comme moi, vous accédez au serveur via votre réseau local (adresse type 192.168.x.x), le navigateur renvoie tout de même une alerte de certificat. Ceci est normal, puisque votre certificat est enregistré pour une ip externe (celle de votre box), et non pour celle que vous utilisez en local (sauf que vous, vous savez que votre site n'est pas douteux hein, puisque c'est le vôtre, et que vous n'êtes pas en train de vous auto-pirater  :P).

Ne pas oublier, comme dit dans le tuto, d'ouvrir les ports qui vont bien dans votre routeur (le https est par défaut configuré sur le port 5001, mais il est conseillé de le changer par sécurité, via le 'panneau de configuration' du nas > 'réseau' > onglet 'paramètres de DSM'. Il faut également ouvrir le port 80 dans le routeur et le rediriger vers le nas pour que Let's Encrypt fonctionne.
Dans le panneau de config du Syno, penser à cocher également 'rediriger automatiquement les connexions http vers le https' ainsi que 'activer http/2'.

Voilà, normalement avec tout ça le serveur installé sur le nas est fonctionnel ... de l'extérieur du moins.

Subsistent pour ma part des soucis via la connexion locale : messages d'erreur renvoyés par la console de débug lors de l'upload de RC/RE/expéditions. Les ss, espace perso, sondages ennemis, rapports de recyclage remontent toutefois correctement.
Pourtant, en externe tout fonctionne, comme a pu le constater roms, donc la config serveur n'est pas en cause. Nous avons vérifié ensemble la config de ma toolbar chrome qui est ok aussi ...

[To be continued]  :)