Accès Sécurisé HCL et HC2 avec Reverse Proxy

[jojo]

 

tu sais, je comprend très vite, mais il faut m'expliquer longtemps.

Pour moi ce n'était pas super clair, d'autant plus que tu avais dit que tu n'avais pas su le valide.

De plus il y avait ceci qui n'était pas super clair (pour MOI) :

Il y a 19 heures, BenjyNet a dit :

Moi je pige pas pourquoi tu crées 2 certificats... c'est quoi l'intérêt ? Perso j'ai tout sous le même.

 

Il y a 18 heures, Lazer a dit :

Tu as un certificat Wilcard ?

C'est une nouveauté relativement récente de Let's Encrypt, quand j'ai commencé ce n'était pas possible, et donc obligé de se créer un certificat par sous-domaine.

 

Il y a 16 heures, BenjyNet a dit :

@Lazer Ouais pour moi c'est un certificat wilcard. Je l'ai fait il n'y a pas très longtemps... 1 mois je crois.

alors sorry, mais j'étais un peux ambrouillé

[MAM78]

pas de problèmes, j’apprends également en marchant

[BenjyNet]

Il y a 9 heures, BenjyNet a dit :

Quand tu crées ton certificat tu mets dans le champs "autre nom de l'objet" la liste des sous domaine séparés par des ;

 

@MAM78 Je crois que t'as une ipx800v4, tu pourras check si ça marche lorsque t'as un acces par mot de passe ? Moi ça reboot en boucle à la demande d'auth user/pass

Hey @MAM78 t'as pas répondu à ma question

[MAM78]

Je te répondrai tout à l’heure. Encore au boulot

[jojo]

 

Je te fais mes petites proposition de correction au fur et à mesure.

 

dans le § 1 - Configuration de votre domaine chez OVH :

Le 06/04/2018 à 02:04, MAM78 a dit :

Vérifier :

• votre domaine apparait bien dans la liste des DynHost

votre domaine apparait bien dans la liste des DynHost (précédé d'un point)

[jojo]

§ redirections

Le 06/04/2018 à 02:04, MAM78 a dit :

1) 2 redirection vont être créer hc2.mondomaine.com et www.mondomaine.com

2 redirections vont être créées hc2.mondomaine.com et www.hc2.mondomaine.com

 

ça c'est une simple faute de typo

[jojo]

Le 06/04/2018 à 02:04, MAM78 a dit :

C) Création des certificats Let's Encrypt

il faut d'ABORD rediriger le port 80 du routeur et adapter les règles du FW du Syno (ou les désactiver) pour la duréée de la création du certificat

[jojo]

bon, voilà, je crois que c'est bon. => MMEERRCCCII

Maintenant, zut, il faut attendre 24h pour tester.

 

Maintenant j'ai déjà une question (une de plus ...). Ma box (Lifedomus) utilise 2 ports pour sa connexion. J'ai actuellement 2 redirection de port, et dans l'application mobile je dois préciser 2 ports (en https). Le reverse proxy ne pourra pas fonctionner ? Car cela ne concerne qu'un seul port, si j'ai bien compris ?

[Nico]

24 heures ?

Moi OVH cela a toujours été pris en compte dans la minute quasiment, au pire quelques minutes...

[jojo]

@MAM78, encore une chose, tu avais dit que pour DSM tu avais du faire une redirection particulière.

Peut-être le rajouter dans le tuto, comme ça cette première page devient ma bible...

[Nico]

Yes, car par défaut DSM ne passe pas (Chez moi en tout cas, bon moi je suis sous HAProxy).

[jojo]

j'ai une belle erreur 503 403 pour mes sous-domaines

Modifié le 9 avril 2018 par jojo

[jojo]

non 403

[MAM78]

il y a 30 minutes, jojo a dit :

je dois préciser 2 ports (en https). Le reverse proxy ne pourra pas fonctionner ? Car cela ne concerne qu'un seul port, si j'ai bien compris ?

As-tu essayé de mettre 2 règles Reverse Proxy ?

[MAM78]

il y a 29 minutes, Nico a dit :

Moi OVH cela a toujours été pris en compte dans la minute quasiment, au pire quelques minutes...

LEs 24h c'est pour que la publication de soit faite sur l'ensemble des serveurs DNS du WEB. Il me semble.

 

Si tu utilises les serveurs DNS d'OVH. Ça doit immédiat. Je pense.

[MAM78]

il y a 19 minutes, jojo a dit :

j'ai une belle erreur 503 403 pour mes sous-domaines

Peux-tu essayer en utilisant un partage de connexion (en wifi par exemple) depuis un téléphone portable (soit à l'extérieur de ton réseau fourni par ton opérateur Internet fixe).

 

Sur le réseau local, ça ne fonctionne pas chez-moi non plus. Je ne sais pas pourquoi. Mais à vrais dire, ce n'est pas très important, puisque l'objectif est d'accéder depuis l'extérieur de ton réseau privé

 

[BenjyNet]

Si t'es pas chez free ça ne marche pas, il n'y a que lui à ma connaissance qui autorise le loopback en local.

Tiens mon @jojo tu peux tester les propagations de tes DNS ici : https://www.whatsmydns.net/

[BenjyNet]

Citation

pour DSM tu avais du faire une redirection particulière

Oui faut faire gaffe car lorsque tu crées ton domaine, mondomaine.ovh va pointer directement sur ton syno et donc ton DSM sera présent sur le net. Si tu ne veux pas y accéder de l'extérieur et pour te protéger d'un éventuel piratage, tu fais une redirection de mondomaine.ovh vers 0.0.0.0

Je passe sur les préconisations de sécurisation du DSM bien sur, qui doivent être drastiques (pas de compte admin, firewall, failtoban, hhtpS, etc...)

[jojo]

il y a 33 minutes, MAM78 a dit :

As-tu essayé de mettre 2 règles Reverse Proxy ?

mais je ne peut pas mettre 2 règles pour le même port source 443 ????

[jojo]

il y a 26 minutes, MAM78 a dit :

Sur le réseau local, ça ne fonctionne pas chez-moi non plus. Je ne sais pas pourquoi. Mais à vrais dire, ce n'est pas très important, puisque l'objectif est d'accéder depuis l'extérieur de ton réseau privé

 

Je crois que mon erreur 403 est liée au fait que la redirection n'est pas bonne (j'ai une redirection pour DSM, mais je me souviens que tu avais mis une redirection particulière, mais je ne retrouve plus) et pour ma Lifedomus qui utilise 2 ports => ce sont 2 cas spéciaux.

Je pense que chez toi ça ne fonctionne pas car ton routeur n'accepte pas le loopback

[MAM78]

il y a 20 minutes, BenjyNet a dit :

Tiens mon @jojo tu peux tester les propagations de tes DNS ici : https://www.whatsmydns.net/

Super, merci pour l'indication, je vais ajoute l'information dans le TUTO.

 

Il est curieux de constater que certain pays sont à jour et d'autres non. D'autant que ce n'est pas toujours les mêmes selon les sous-domaines.

[MAM78]

il y a 20 minutes, BenjyNet a dit :

Je passe sur les préconisations de sécurisation du DSM bien sur, qui doivent être drastiques (pas de compte admin, firewall, failtoban, hhtpS, etc...)

Tu ne connaitrais pas un TUTO qui nous expliquerait tout ça ?

[MAM78]

il y a 4 minutes, jojo a dit :

Je pense que chez toi ça ne fonctionne pas car ton routeur n'accepte pas le loopback

C'est quoi ça. Qu'est ce qu'il faut faire pour qu'il accepte ?

Est-ce judicieux activer ce loopback ?

[jojo]

il y a 2 minutes, MAM78 a dit :

Tu ne connaitrais pas un TUTO qui nous expliquerait tout ça ?

tout est ici :

http://www.nas-forum.com/forum/topic/54453-tuto-sécuriser-les-accès-à-son-nas/

 

[jojo]

le loopback, me permet de tester des liens externes depuis mon LAN (jaccède à mon Syno depuis mon LAN, en entrant le lien externe, comme si j'étais à l'extérieur)