Forum des NAS

Tous les fabricants de NAS réunis sur un forum unique : Asustor, Qnap, Synology...

Discussion sur le paramétrage du NAS
#102591
Bonjour,

pour renouveler le certificat Let's Encrypt, comme ca marche pas, je le supprime et j'en refais un autre.

A ce stade, ADM me dit dans la fenêtre Settings > Certificate Manager :

"Cadenas vert" + date de péremption dans quelques mois et liste mes domaines ; bref, ça semble nickel.

MAIS .... le certificat n'est pas pris en compte par le Web Server d'ADM (un apache2 mais interfacé dans ADM, je pense).

Ce qui change par rapport à avant c'est que je vous parle dans ce post de mon 1er renouvellement de certificat avec le Reverse Proxy configuré.

Vais je devoir :

_ supprimer la config Reverse Proxy à la main (aucun bouton pour l'exporter en CSV ou autre....)
_ renouveler le certificat "à l'ancienne"
_ reconfigurer le Reverse Proxyà la main (aucun bouton d'import...)

ou bien y a t il une méthode plus pros / propre / ADM inside / commode / sexy / sympa pour procéder ?

Cdt,
#102594
Puis je m'appuyer sur ça pour export / import de la configuration du Reverse Proxy (entre autre...) :

Backup and Restore > System Settings

..... Ca parait sympa et casse figure en même temps....
Pièces jointes
Capture01.JPG
Capture01.JPG (42.31 Kio) Consulté 507 fois
#102602
Salut, comment ou pourquoi tu utilises le reverse proxy ? Pour passer par un port https externe pour attaquer une application Web interne qui tourne en http sur un port spécifique ?
#102603
1er test ( ECHEC ) :

a. J'ai désactivé toutes les règles rerverse proxy puis router la box ADSL port 80 vers port http du web server ADM et port 443 pareil pour https.

b. j'ai décoché le port https du web server et la bascule d'ADM en auto en https.

c. désactivation ancien certificat letsencrypt (j'ai pas supprimé car je suppose que letsencrypt ne va pas me délivrer des milliards de certificats pour des noms de domaines identiques)

d. Ajout d'un nouveau certificat lestencrypt : passé comme une lettre à la poste (voir mieux car La Poste peut porter à polémique sur ce point :-) )

e. roll back sur les actions a. et b.

Echec :
le navigateur ne reconnait pas de certificat et annonce un site web risqué.
tout mes sites sont ok sur le LAN via l'IP dans l'URL.
Reboot du NAS (mode désespoir activé) mais en rebootant le comportement de l'échec persiste.

Il me reste mes 2 yeux pour pleurer sans comprendre où je me rate.

Cdt,
#102604
cutedrake a écrit : 17 avr. 2021 16:57 Salut, comment ou pourquoi tu utilises le reverse proxy ? Pour passer par un port https externe pour attaquer une application Web interne qui tourne en http sur un port spécifique ?

Merci pour ce message ; c'est pour moi une trace de vie réactive donc plaisante.

usage du reverse proxy :
_ pour n'exposer que le 2 ports sur mon routeur internet (réduction de la surface d'attaque et ca cache mon implémentation locale),
_ pour ne pas avoir de numéro de port dans les URLS des sites web de ma communauté. Ca fait plus pro, non ?
_ pour attaquer une application Web interne qui tourne en http sur un port spécifique : oui j'ai une webapp dans ce cas.

#102609
Personnellement j'ai abandonné la solution reverse proxy du NAS, ça m'a gavé à un moment. Je suis passé à Traefik. L'un des avantages de Traefik c'est que ça gère les certif Let'sEncrypt tout seul, tu n'as rien à faire une fois que t'as démarré le docker, c'est assez génial. Ca demande un peu de travail pour configurer le docker pour ta config personnelle, mais ça se fait bien.

Du coup je n'utilise ni let'sencrypt d'ADM ni la solution de reverse proxy d'ADM. Je démarre un docker Traefik configuré avec quelques fichiers aux petits oignons et ça marche du tonnerre. Je ne touche plus à mes config let's encrypt.

En plus ça permet de s'affranchir d'un autre problème de la solution d'ADM : avec ADM tu ne peux pas simplement configurer un sous-domaine qui attaquerait ton appli web sur le port 4444 par ex, eh bien tu ne peux pas utiliser le port 443 en entrée https car ça se téléscope avec le serveur apache du NAS, ça t'oblige à faire un truc du genre :
https://monapp.mondomaine.com:4444 ==> http://NAS:4444

Avec Traefik tu peux faire très facilement
https://monapp.mondomaine.com ==> http://NAS:4444

Et du coup tu n'as d'ouvert que les ports 80 et 443.

C'est quand même plus élégant et plus pro comme tu dis :)
#102684
Merci cutedrake pour cette réponse argumentée, sympa et top !


OK je vais bosser sur un Traefik container, ça parait couvrir 100% de mes besoins avec le seul inconvénient de l'apprentissage mais c'est pour ça qu'on aime nos NAS et l'open-source non ? :-)

bref, ma vie de confiné se poursuit avec joie grâce à cette perspective technique.
#102685
De rien :)
Oserai-je te proposer d'aller voir un post que j'ai rédigé (en espérant que ce post ne soit pas supprimé par un modo :roll: ) pour configurer Traefik, j'ai suffisamment galéré pour en faire profiter les autres:

https://www.webdot.fr/blog/2021/02/inst ... e-traefik/

N'hésite pas à me poser des questions, si je peux y répondre ce sera avec plaisir. Je ne suis pas un expert de Docker ni de Traefik mais je peux sans doute aider quand même.
#102693
JacquesNAS a écrit : 17 avr. 2021 16:59 1er test ( ECHEC ) :

a. J'ai désactivé toutes les règles rerverse proxy puis router la box ADSL port 80 vers port http du web server ADM et port 443 pareil pour https.

b. j'ai décoché le port https du web server et la bascule d'ADM en auto en https.

c. désactivation ancien certificat letsencrypt (j'ai pas supprimé car je suppose que letsencrypt ne va pas me délivrer des milliards de certificats pour des noms de domaines identiques)

d. Ajout d'un nouveau certificat lestencrypt : passé comme une lettre à la poste (voir mieux car La Poste peut porter à polémique sur ce point :-) )

e. roll back sur les actions a. et b.

Echec :
le navigateur ne reconnait pas de certificat et annonce un site web risqué.
tout mes sites sont ok sur le LAN via l'IP dans l'URL.
Reboot du NAS (mode désespoir activé) mais en rebootant le comportement de l'échec persiste.

Il me reste mes 2 yeux pour pleurer sans comprendre où je me rate.

Cdt,

il y a un bug avec la génération des certificats dans la dernière mise à jour d'ADM

#102730
Merci Dami1.

Asustor communique t il sur la date de disponibilité du patch ?

Attention, le problème ne porterait pas (conditionnel) sur la génération du certificat selon le retour de l'IHM car ADM annonce qu'il est bien appliqué (cadena vert).

En revanche, il est ignoré par le serveur web et les services pouvant utiliser ce certificat. (cela étant dit, le problème peut être, comme tu le dis, sur la génération du certificat car l’expérience IHM ne vaut pas des logs techniques dignes de ce nom pour un vrai diagnostique).
Pièces jointes
Sanstitre.jpg
Sanstitre.jpg (25.05 Kio) Consulté 349 fois

J'ai installer Dsm7 et je n'ai plus du tout de sou[…]

Choix Nas DIY

Salut, Dans cette 2eme solution ( Mini-Pc ) il fau[…]

Ha possible. Faudrait poser la question sur le for[…]

@FTP : merci pour ta réponse bien plus d&ea[…]

Site hébergé sur un serveur IKOULA

Ikoula