Synology DS216J - Problème de renouvellement du certificat...

Strenght

Apprenti
9 Juin 2017
31
0
0
Bonjour,

J'ai un certificat Let's Encrypt qui périme le 7 Septembre...

Je l'utilise pour mon nom de domaine XXX.ddns.net obtenu via No-Ip.

Synology dit que DSM s'occupe de renouveler automatiquement le certificat si le port 80 du pare-feu du NAS est ouvert ainsi que le port 80 du routeur.
C'est le cas pour moi.

Sur ma Livebox les ports 80 et 443 sont bien ouverts.

Sur le pare-feu de mon NAS, j'ai crée les règles suivantes:

>> Type de port: Port de destination / Protocole: TCP / Port : 80 / IP Souce: Tous / Action : Autoriser
>> Ouverture port 80 pour Web Station, Photo Station et Webmail
>> Ouverture port 443 pour Web Station, Photo Station et Webmail


Mes réglages sont bons, n'est-ce pas?


Synology dit aussi que : "DSM renouvelle automatiquement les certificats avant qu'ils n'expirent si la validation du domaine s'est effectuée avec succès"

Cela veut dire que le renouvellement a lieu si le domaine est toujours valide?







Merci d'avance pour vos réponses et votre aide.
 
Ce que je peux te dire, c'est qu'ouvrir le port 80 du routeur, n est pas une tres bonne idee sur du long terme ;o) sauf si gère derrière.
Si tu veux savoir si ca marche, tu supprimes ton certif et tu le recrees... ca prends 2 min.. et tu refermes tes ports.
ou tu l'ouvres seulement au moment de la reactualisation.

idem cote NAS.
Je rajouterai qq regles dont un qui bloque tout sur la tte derniere ligne
(Les regles ont des priorites du haut vers le bas)
 
Esteban a dit:
Ce que je peux te dire, c'est qu'ouvrir le port 80 du routeur, n est pas une tres bonne idee sur du long terme ;o) sauf si gère derrière.
Si tu veux savoir si ca marche, tu supprimes ton certif et tu le recrees... ca prends 2 min.. et tu refermes tes ports.
ou tu l'ouvres seulement au moment de la reactualisation.

idem cote NAS.
Je rajouterai qq regles dont un qui bloque tout sur la tte derniere ligne
(Les regles ont des priorites du haut vers le bas)

Bonjour Esteban,

Pourquoi ouvrir le port 80 n'est pas une bonne chose? Synology le conseille pour la réactualisation.

Le moment de la réactualisation, je ne sais pas c'est quand justement... J'ai tout fait correctement et mon certificat ne s'est pas mis à jour :(

Pourquoi rajouter une ligne qui bloque tous les ports?
 
Il ne faut pas oublier que lets encrypt Cest pas synology. Ils partent peut être du principe que ce qu'il y a comme système en amont tient la route.. LooL. Si tu ouvres le 80 à tous, mm ton pot de fleur connecte (s'il possède un serveurweb) pourrais être piraté. Ormis pour site web. Ou la, la gestion est diff.
La regle cest, je bloque tout et n autorisé que ca ou ca. Plus secure
Ton certif cest le 7/9 non ?
Supprime et refait. Cest plus simple. Normalement tes règles sont bonnes. Fais une capture stp du pare-feu du nas. Au pire désactive le qd tu refait. LOL


Envoyé de mon iPhone en utilisant Tapatalk
 
Esteban a dit:
Il ne faut pas oublier que lets encrypt Cest pas synology. Ils partent peut être du principe que ce qu'il y a comme système en amont tient la route.. LooL. Si tu ouvres le 80 à tous, mm ton pot de fleur connecte (s'il possède un serveurweb) pourrais être piraté. Ormis pour site web. Ou la, la gestion est diff.
La regle cest, je bloque tout et n autorisé que ca ou ca. Plus secure
Ton certif cest le 7/9 non ?
Supprime et refait. Cest plus simple. Normalement tes règles sont bonnes. Fais une capture stp du pare-feu du nas. Au pire désactive le qd tu refait. LOL


Envoyé de mon iPhone en utilisant Tapatalk

Salut,

Pas compris pourquoi tu mets tous ces "lol"...

J'ai supprimé l'ouverture des ports 80 et 443 sur le pare-feu du NAS. Mais ils sont toujours ouvert sur ma Livebox.

Le truc c'est que j'aurais souhaité ne pas avoir à supprimer et récréer un certificat moi-même.
Mais aussi comprendre pourquoi mon certificat ne se renouvelle pas tout seul...
 
Promis jte mettrais plus de LOL mais des [emoji16]. (Et encore yen avait que 2)
Désactive ton pare-feu - laisse ton port 80 ouvert sur ton routeur - et ca va se synchro tt seul. Y'a rien de plus à faire.
Reboot le nas au cas où.



Envoyé de mon iPhone en utilisant Tapatalk
 
Esteban a dit:
Promis jte mettrais plus de LOL mais des [emoji16]. (Et encore yen avait que 2)
Désactive ton pare-feu - laisse ton port 80 ouvert sur ton routeur - et ca va se synchro tt seul. Y'a rien de plus à faire.
Reboot le nas au cas où.



Envoyé de mon iPhone en utilisant Tapatalk

LOL

J'ai supprimé toutes les règles du pare-feu de mon NAS, mais je ne l'ai pas désactivé, c’est bon quand même? :?:
 
Désactive - Fait un test comme ca.

Par contre niveau sécu dans toute ces conditions cest tres bof, .....mais t'auras un renouvellement de certif .

Qd je disais de supprimer / renouveler, ca ne serait pas à faire à chaque fois. Mais si ça fonctionne, le renouvellement devrait fonctionner aussi.


Envoyé de mon iPhone en utilisant Tapatalk
 
Esteban a dit:
Désactive - Fait un test comme ca.

Par contre niveau sécu dans toute ces conditions cest tres bof, .....mais t'auras un renouvellement de certif .

Qd je disais de supprimer / renouveler, ca ne serait pas à faire à chaque fois. Mais si ça fonctionne, le renouvellement devrait fonctionner aussi.


Envoyé de mon iPhone en utilisant Tapatalk

Salut,

Quand j'avais crée le certificat, je n'avais pas désactivé le pare-feu du NAS... Donc je pense que je n'ai pas besoin de le désactiver. Mais je vais essayer pour voir.

Si je le réactive, je suis bon niveau sécurité, n'est-ce pas?
 
Bonjour,

Je suis arrivé à la date fatidique et mon certificat n'a pas été renouvelé... Incompréhensible... Help...
 
Esteban a dit:
On a loupé un épisode dans cette histoire - tu peux en créer un dans cette config ?


Via Tapatalk

Oui, je viens, sans problème, d'en créer un nouveau qui remplace l'ancien.
Vu que ça marche manuellement, bizarre que DSM ne l'ait renouvelé seul...
 
Sinon, comment installer un certificat SSL pour un site hébergé sur le NAS? (Adresse du style XXX.ddns.net/Nomdusite/)

J'ai installé le certificat en question dans DSM mais cela ne donne rien...
 
Désolé - pas eu beaucoup de temps... mais jtavais pas oublié. [emoji4]
De mon côté, je supprime et refais. Mais un pote qui a un 216+ii vient de me faire savoir qu’il a le même problème pour l update du certif. Du coup il supprime et refait.
Qd j’arriverai à échéance, je regarderai ce que ça donne... mais cest dans 1.5 mois... loool

Pour la question du site: J’en ai pas.

Si qqun passait par là avec la réponse, ça pourrait être cool !


Via Tapatalk
 
Salut Esteban,

Bon pas de réponse des autres membres apparemment...

Sinon tu saurais comment accéder à mes dossiers sur le NAS via le protocole WebDav directement depuis l'explorateur Windows? (En dehors de WinSCP et Netdrive).

Pour l'instant j'arrive à accéder aux dossiers présents sur mon NAS, via l'explorateur Windows, mais seulement avec le protocole CIFS/SMB.


EDIT: Bon, j'ai réussi (pas en local) mais impossible de lire des vidéos via ce procédé, limite de taille pour les fichiers -_-

EDIT2: Pas très important que mes communications entre mon PC et mon NAS ne soient pas cryptées quand je suis en local? (Cas du CIFS/SMB)?
 
Salut , tu t auto réponds c’est cool [emoji3] -
Par contre je suis obligé de te dire que t’es pas dans la bonne rubrique avec cest questions... [emoji6] - (il est tard là, je te laisse déplacer ton post ?)

Ps: pas grave de ne pas CHIFFRER (on ne dit pas crypter) sur LAN. Sauf si ta file ton wifi à ton voisin ou si t’as un réseau wifi mal configuré et que ton voisin récupère les paquets pour jouer avec. [emoji23]


Envoyé de mon iPhone en utilisant Tapatalk
 
Strenght a dit:
Esteban a dit:
On a loupé un épisode dans cette histoire - tu peux en créer un dans cette config ?


Via Tapatalk

Oui, je viens, sans problème, d'en créer un nouveau qui remplace l'ancien.
Vu que ça marche manuellement, bizarre que DSM ne l'ait renouvelé seul...

Chose promise, chose due.
Je tavais dis que je reviendrai vers toi lors du renouvellement de mon cote...
Pas de probleme, et ce, avec le port 80 qui n'est pas ouvert ni redirigé ! ;o)

@++