MAM78 Posté(e) le 6 avril 2018 Signaler Partager Posté(e) le 6 avril 2018 (modifié) Accès Sécurisé aux HCL et HC2 par Reverse Proxy Préambule : Dés qu’on commence à avoir plusieurs appareils connectés chez soi et que l’on désire pouvoir y accéder de l’extérieur, cela peut vite devenir un casse tête. Notamment dans le cadre de la domotique où les objets connectés peuvent vite envahir la maison et bien évidemment pour les objets non Clouds l’accès depuis l’extérieur est compliqué et risqué. Il est fréquent de constater que les membre du forum se poser la question : Comment sécuriser mes accès à ma boxe Fibaro et autres composants de son réseau. Pour ce faire, il y a de nombreuses solutions possibles : Utiliser le services mis à disposition par Fibaro, l'accès par Fibaro ID (accessible ici : https://dom.fibaro.com/cmh/login) La mise en oeuvre d'un accès au travers d'un tunnel VPN L'ouverture de port sur son routeur opérateur (Freebox, LiveBox, BBox, SFR Box, ...) et l'utilisation de NATage transférer les flux réseau jusqu'à votre boxe Fibaro (pas très sécurisé) L'utilisation du principe précédent, mais en le sécurisant par la mise en oeuvre d'un proxy inverse (Reverse Proxy). ... Objectif : L'idée est de permettre un accès direct à nos boxes Fibaro depuis l'extérieur de notre réseau (via internet) tant en limitant les risques liés à la sécurité des accès. Mise en garde : N'étant aucunement un expert en la matière, il est évident que je décline toute responsabilité sur la mise en oeuvre de ce tuto. Dans mon contexte, j'expose des choix personnels de matériels/logiciels qui me sont propre. Il ne s'agit donc pas d'une préconisation. Il vous appartient de vous faire votre propre avis et de déterminer la solution qui s'adapte au mieux à votre environnement et vos usages. Le Projet : Après de multiples recherches et la demandes de certain membres du Forum, je me suis dit que ce serait sympathique de partager mon expérience et vous expliquer la mise en oeuvre de la dernière solution évoquée ci-dessus (avec un Reverse Proxy). L'intérêt principale que je vois dans de la mise en oeuvre d'un Reverse Proxy est de rendre transparent (invisible vue de l'extérieur) l'organisation de votre réseau (adressage IP, port réseau, ...). et de sécuriser les accès depuis l'extérieur de votre réseau. Pour plus de détails sur la fonction Reverse Proxy, voir ci-dessous le chapitre sur les sources d'informations. Cette solution présente notamment, les avantages suivants : de ne pas à avoir à ouvrir un nombre très important de ports sur votre routeur et/ou votre box internet. d'ouvrir qu'un seul port réseau (voir 2 : http = 80, https = 443, ou autre) et de limiter les transferts de adresse IP et Ports entre vos équipements. de simplifier la gestion des règles de votre par-feu (firewall) d'utiliser un nom de domaine qui vous est propre et auquel il va être possible d'associer des noms (sous-domaine) aux l'équipements / Applications auxquels vous souhaitez accéder. comme pars exemples : votre boxe Fibaro votre NAS Synology votre routeur qui gère votre réseau (pas celui de votre opérateur internet) tous vos composants accessibles sous une adresse IP (Caméra IP, IPX800, Ecodevice, Raspery PI, PC de votre réseau, ...) votre serveur WEB (Web Station, ...) votre console de gestion de vos caméras (Surveillance Station, ...) ... le chiffrement des échanges par protocole SSL (par échange de certificats) en HTTPS Il y a de nombreuses manière pour mettre en place un Reverse Proxy, notamment avec un Raspberry Pi et les logiciels qui vont biens, mais dans mon cas je dispose d'un Nas Synology qui permet de le faire. J'ai donc décidé de vous expliquer comment faire. Pour les autres solutions vous pourrez vous inspirer de celle présentée ici, mais je vous laisse faire les recherches nécessaire et adapter la mise en oeuvre. Schéma : Histoire de visualiser la chose, voici un petit schéma (sans prétentions) qui présent le positionnement logique d'un Reverse Proxy dans une architecture réseau domestique. Je sens que je vais me faire cartonner par le puristes (système/réseau/sécurité) Principe de fonctionnement : La solution fonctionne de la façon suivante : Mon opérateur OVH me fournit un nom de domaine, dans l'exemple : mondomaine.com Ce nom de domaine est associé à mon adresse IP publique fournit par mon opérateur Orange, dans l'exemple 253.18.123.012 (inutile de tester, elle est fictive ) OVH permet de définir des sous-domaines associés à mon domaine et qui pointe sur la même adresse IP publique que celle du domaine. Soit par exemple (cf. schéma) les sous-domaines suivant, pour la boxe Fibaro HC2 : hc2, soit hc2.mondomaine.com, soit l'adresse IP 192.168.0.100, soit URL : https://hc2.mondomaine.com:12345 la caméra 1 : cam1, soit cam1.mondomaine.com, soit l'adresse IP 192.168.0.200, soit l'URL : https://cam1.mondomaine.com:12345 l'application surveillance station présente sur mon NAS Synology : survs, soit survs.mondomaine.com, soit l'adresse IP 192.168.0.10 accessible sur le port 5000. Attention dans le cas il conviendra de compléter l'URL de la façon suivante : https://survs.mondomaine.com:12345/webman/3rdparty/SurveillanceStation/ Si l'on prend l'exemple de la boxe Fibaro, l'accès à celle-ci depuis un PC portable se fait en saisissant dans le navigateur l'URL suivante : https://hc2.mondomaine.com:12345 Qu'est-ce ce qui va se passer : Le navigateur va interroger le serveur DNS (celui qui est configurer sur les paramètre réseau de mon pc portable) pour obtenir l'adresse IP qui est associé au domaine mondomaine.com, soit 253.181.123.012 Le navigateur va se connecter au routeur Livebox selon l'adresse ip 253.181.123.012 sur le port 443. Le routeur Livebox va faire une translation d'adresse (NAT) ip 253.18.123.012, port 443 vers l'ip 192.168.1.2 sur le port 443 (de mon routeur Synology) et transfère dessus la connexion. Le routeur Synology va faire une translation d'adresse (NAT) ip 192.168.0.1, port 443 vers l'ip 192.168.1.10 sur le port 443 (du NAS Synology) et transfère dessus la connexion. Le NAS Synology va envoyer un certificat SSL (lors de la première connexion) au navigateur internet du PC portable. Certificat qu'il convient d'accepter pour qu'il soit enregistré. Le NAS Synology en fonction l'URL (soit hc2.mondomaine.com) va déterminer l'adresse ip et le port (soit la HC2 = 192.168.0.100, port 443) et transfère dessus la connexion. C'est ici que se produit la fonction Reverse Proxy Le navigateur sur le PC portable et la HC2 vont établir ensemble une connexion sécurisée en HTTPS Le navigateur sur le PC portable va afficher la fenêtre de connexion (login/psw) comme si vous étiez directement sur le LAN de la maison. CQFD Sources : Lors de mes recherches, j'ai trouvé quelques articles intéressants qui m'ont aider à mettre en place cet solution, voici les liens (respect des sources ) : https://fr.wikipedia.org/wiki/Proxy_inverse. Wikipedia présentant les principes de fonctionnement d'un reverse proxy http://sarakha63-domotique.fr/reverse-proxy-sur-nas-synology-ssl/ (article de Ludovic Sarakha, merci à lui). dont j'ai repris ici une partie de sa rédaction (dans un souci de faire au plus simple et plus rapide) Pré-requis : Les éléments que je présente dans le présent TUTO reposent sur les pré-requis suivants : Disposer d'un NAS Synology (dans le cas présenté en DSM version 6.1xxx) Disposer d'un Routeur Synology (dans le cas présenté cas en RSM version 1.1xxx). Elément totalement optionnel. J'ai fais le choix d'avoir un routeur personnel qui me donne une indépendance vis-à-vis de la boxe opérateur et m'évite de tout changer en cas de remplacement de cette dernière. Disposer d'un Routeur Opérateur (dans le cas présenté, il s'agit d'une LiveBox V3 d'Orange) Disposer d'un nom de domaine (dans le cas présenté, il s'agit d'un nom de domaine souscrit chez OVH (14 euros par an) Souscrire à la fourniture d'un certificat SSL (gratuit) auprès de Let's Encrypt. Liens utiles : Vous trouverez ci-dessous quelques liens utiles en relation avec le sujet : https://www.whatsmydns.net. Pour tester les propagations des DNS sur le Web https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/application_appportalias. Fonctionnement d'un Reverse Proxy. Source Synology. https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/connection_ddns. Fonctionnement des DDNS. Source Synology https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate. Fonctionnement des Certificats. Source Synology http://www.nas-forum.com/forum/topic/54453-tuto-sécuriser-les-accès-à-son-nas/. Sécurisation de nos NAS Synology. Source Forum dédié aux équipements Synology. Mise en oeuvre de la solution : Passons maintenant à la partie mise en oeuvre de la solution qui reprend les éléments et l'ordre logique d'une connexion comme exposés au chapitre Principe de fonctionnement. Un petit rappel de quelques notion de base et quelques définitions. Définitions : Adresse IP Sur Internet, les ordinateurs communiquent entre eux grâce au protocole TCP/IP qui identifie chaque machine réseau et chaque ordinateur sous la forme d’une adresse : xxx.xxx.xxx.xxx. DNS Les utilisateurs communiquent avec des adresses IP, mais pour plus de facilité, ces adresses IP sont définies en noms de domaine plus faciles à retenir. Le DNS (ou Domain Name System) permet entre autres de traduire un nom de domaine en adresse IP afin que vos requêtes puissent arriver jusqu’au serveur cible. Différences serveurs/zone DNS Les serveurs DNS sont les serveurs étant déclarés pour un nom de domaine. C’est donc ces serveurs qui répondront en premier avant de passer la main à la zone DNS y étant reliée. La zone DNS est un fichier contenant différents enregistrements indiquant entre autres les adresses des serveurs hébergeant votre site (A), ou vos mails (MX). Ces adresses peuvent être sous la forme d’adresse IP ou de noms d’hôtes. DynoHost Si vous disposez d’une connexion internet, votre IP de connexion peut être amenée à changer à chaque reconnexion. DynHOST vous permet de faire pointer votre domaine ou un sous-domaine vers une IP de connexion, et si elle change, de la mettre à jour en temps réel à l’aide d’un identifiant et d’un mot de passe. Ainsi, vous pouvez faire de l’hébergement sur votre propre connexion internet. Comme indiqué dans la partie pré-requis, il convient de disposer d'un nom de domaine. Dans le cas présent, celui-ci est souscrit auprès d'OVH et il se nomme : mondomaine.com Pour pouvoir accéder aux applications de votre réseau, il convient d'associer à ce nom de domaine des sous-domaine qui vont correspondre à ces applications. Commençons donc par construire une Configuration du DynHost et ses identifiants et des sous-domaine. 1 - Configuration de votre domaine chez OVH : A) Ajout de votre nom de domaine au DynHost Connectez-vous à l’espace client OVH et identifiez-vous et accédez à la partie gestion des Domaines. Voir ci-dessous. 1) Dans le menu de gauche, sélectionnez ” Domaines “, puis choisissez votre nom de domaine et cliquez sur l'onglet DynHost. 2) Vérifier : votre domaine apparait bien dans la liste des DynHost (précédé d'un point) que la Cible correspond bien à votre adresse IP publique (celle fournit pas votre opérateur internet) 3) Si votre domaine apparait bien dans la liste passez au chapitre Création d'un identifiant de gestion du DynHost n'apparait pas dans la liste, Cliquer sur Ajouter un DynHost et continuer la suite de ce chapitre Vous arriverez sur la fenêtre suivante : 1) Vérifier que votre nom de domaine apparait bien ici 2) Laissez cette zone vide 3) Saisissez l'adresse IP publique (celle fournit pas votre opérateur internet) 4) Cliquez sur Valider Vous arriverez automatiquement sur la fenêtre suivante, qui confirme que votre domaine a bien été ajoutée au DynHost 1) Message de confirmation de l'ajout de votre nom de domaine au DynHost (précédé d'un point) 2) Vous devriez voir ici votre nom de domaine 3) Cliquez sur le bouton Gérer les accès afin de créer un identifiant de gestion du DynHost Si vous possédez une adresse publique fixe (fournie par votre opérateur internet), vous pouvez passer directement au chapitre C) Gestion de Redirections. B ) Création d'un identifiant de gestion du DynHost Vous arriverez automatiquement sur la fenêtre suivante qui liste les identifiants déjà créés : 1) Vérifiez si vous avez déjà un identifiant de gestion de vos DynHost : 2) Si vous avez déjà un identifiant de gestion de vos DynHost et que vous connaissez le mot de passe, vous pouvez aller directement au chapitre de la Gestion des Redirection 3) Sinon Cliquez sur le bouton Créer un identifiant et continuer la suite de la procédure Vous arriverez sur la fenêtre suivante : 1) Saisissez un nom d'identifiant. dans l'exemple : indent 2) Saisissez le caractère * (cet identifiant vous permettra de gérer l'ensemble de vos sous-domaines) 3) Saisissez un mot de passe 4) confirmez le mot de passe 5) Cliquez sur Valider Nota : Pensez à noter votre identifiant et son mot de passe, il sera utile plus loin dans la procédure Vous arriverez sur la fenêtre suivante, qui vous confirmera la création de cet identifiant. 1) Confirmation de la création de l'identifiant 2) Cliquez sur Redirection Vous arriverez sur la fenêtre suivante, qui liste vos identifiants. Puis passons à la gestion des redirections. C) Gestion de Redirections La redirection permet de redirections de vos domaines et sous domaine vers d'autres adresses web ou vers des serveurs. Nous allons donc ici définir des noms de redirection qui vont correspondre à nos application auxquelles nous souhaitons accéder depuis Interne. Prenons pour exemple : une HC2 Fibaro. (mais ça pourrait être également la console de notre NAS Synology) 1) Cliquez sur Actions une redirection Vous arriverez sur la fenêtre suivante, dans laquelle vous allez saisir les informations relatives à un sous-domaine (application) 1) Saisissez un préfixe qui identifiera votre application 2) Cochez Rediriger aussi www.hc2.mondomaine.com (optionnel) 3) Cliquez sur Suivant Vous arriverez sur la fenêtre suivante, dans laquelle vous allez préciser qu'il s'agit d'une redirection sur un serveur OVH 1) Sélectionner vers un serveur OVH ou ailleurs. 2) Cliquez sur Suivant Vous arriverez sur la fenêtre suivante, dans laquelle vous allez préciser que le moyen de redirection doit être fait avec un nom de domaine. 1) Sélectionner l'option avec un nom de domaine. 2) Ignorer le message d'attention 3) Cliquez sur Suivant Vous arriverez sur la fenêtre suivante, dans laquelle vous allez préciser que le domaine correspond à votre domaine. 1) Saisissez votre nom de domaine. 2) Ne cochez pas la case Ajouter le domaine 3) Cliquez sur Suivant Vous arriverez sur la fenêtre suivante, dans laquelle est présenté un synthèse de ce qui va être créé. 1) 2 redirection vont être créées hc2.mondomaine.com et www.mondomaine.com (optionnel) 2) Ces 2 redirection vont être associées au domaine créé: mondomaine.com (de telle sorte que ces 2 redirections vont reprendre automatiquement l'adresse IP de mondomanie.com) 3) Cliquez sur Valider Vous arriverez sur la fenêtre suivante qui vous indiquera la confirmation de l'ajout de 2 redirections. 1) Message de confirmation de l'ajouts des redirections. 2) Domaine hc2.mondomaine.com (ces noms ne seront pas forcement en début de liste, il convient de parcourir la liste pour vérifier leur existence) 3) Domaine www.mondomaine.com (ces noms ne seront pas forcement en début de liste, il convient de parcourir la liste pour vérifier leur existence) (optionnel) 4) Renouvellez l'opération autant de fois que vos applications à ajouter. Nota : Ces ajouts seront également visibles dans la liste disponible dans l'onglet Zone DNS. Nota : La création de ces entrée DNS peuvent prendre jusqu'à 24 heures pour qu'elles soient propagées des les DNS sur internet. Cela veut dire que pendant ce temps, la résolution de votre nom DNS ne sera pas disponible (hc2.mondomaine.com ou www.hc2.mondomaine.com (optionnel)). A tester pour vérifier C'est bon, nous en avons terminé avec la configuration sur le site d'OVH. Passons maintenant à la configuration du NAS Synology 2 - Configuration du NAS Synology : Passons maintenant à la configuration du NAS Synology où nous traiterons de : l'ajouts des entrées dans votre reverse proxy de la mise à jour de vos DDNS de la création du certificat Lets' Enscrypt l'association de vos certificats avec les services (applications) A) Ajout des entrées Reverse Proxy RDV dans le panneau de configuration pour l'ajouts des entrées Reverse Proxy. En occurrence, les applications auxquelles vous souhaitez accéder depuis l'extérieur) Si vous voulez plus de détails sur le fonctionnement du Reverse Proxy, vous trouverez ici le documentation Synology : https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/application_appportalias 1) Cliquez dans la section Applications sur Portail des applications. Vous arriverez sur la fenêtre suivante : 1) Cliquez sur l'onglet Proxy inversé 2) Cliquez sur le bouton Créer Vous arriverez sur la fenêtre suivante, dans laquelle vous pourrez créer vos règles de proxy inversé (vers vos applications) : 1) Saisissez une description de la règle 2) Sélectionnez le protocole HTTPS (cela permettra de chiffrer les transactions entre votre source (navigateur) et votre application cible avec l'utilisation d'un certificat) 3) Saisissez le nom de la redirection que vous avez créée sur le site d'OVH et qui correspond à votre applications. Dans l'exemple, il s'agit hc2.mondomaine.com 4) Saisissez le port 443 (qui correspond au protocole HTTPS) 5) Cochez Activer HSTS 6) Cochez Activer HTTP/2 7) Sélectionnez le protocole HTTP (A ce niveau là vous êtes dans votre réseau, il n'est plus utile de chiffrer la transaction) 8) Saisissez l'adresse IP de votre Cible ou le nom de Host (si vous disposez d'un fichier qui gère vos hostname de votre réseau local, c'est préférable de cette façon si un jour vous souhaitez change les adresse ip de votre réseau local, votre règle de proxy inversé continuera de fonctionner) 9) Saisissez le port 80 (qui correspond au protocole HTTP) 10) Cliquez sur le bouton Ok Vous obtiendrez le résultat suivant : 1) Recommencez en Cliquant sur le bouton Créer pour chacune de vos règles (application/sous-domaine) B ) Mise à jour de vos DDNS RDV dans le panneau de configuration pour l'ajouts des mises à jour de DDNS. En occurrence, votre domaine. L'objectif ici est que l'adresse IP public (fournit pas votre opérateur) soit actualisé automatiquement dans le DNS d'OVH pour votre domaine. Dans l'exemple mondomanie.com. C'est nécessaire lorsque vous ne disposez pas d'une IP fixe (c'est notamment la cas d'Orange). Nota : Nous traiterons ultérieurement du cas où vous auriez mis en oeuvre une solution FailOver (double connexion opérateur, exemple une ligne 3G/4G qui vient prendre le relais en cas d'indisponibilité de votre box opérateur) Si vous voulez plus de détails sur le fonctionnement des DDNS, vous trouverez ici le documentation Synology : https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/connection_ddns 1) Cliquez dans la section Connectivité sur Accès externe. Vous arriverez sur la fenêtre suivante : 1) Cliquez sur L'onglet DDNS 2) Cliquez sur le bouton Ajouter Vous arriverez sur la fenêtre suivante, dans laquelle vous pourrez ajouter votre règle de proxy inversé (pour votre domaines) : 1) Sélectionnez le Fournisseur de Service : OVH 2) Saisissez votre nom de domaine : dans l'exemple mondomaine.com 3) Saisissez le nom d'identifiant que vous avez créer sur le site OVH. Dans l'exemple mondomaine.com-ident 4) Saisissez le mot de passe le l'identifiant que vous avez créer sur le site OVH. Dans l'exemple mondomaine.com-ident 5) L'adresse affichée correspond normalement à votre adresse IP publique fournit par votre opérateur internet 6) Cloquez sur le bouton pour tester le fonctionnement de la mise à jour du DNS (sous-domaine) chez OVH 7) Si tout est bien configuré, vous devriez obtenir l'indication Normal 8) Cliquez sur le bouton Ok Vous obtiendrez le résultat suivant : C) Création des certificats Let's Encrypt RDV dans le panneau de configuration pour l'ajouts de certificats Let's Encrypt. En occurrence, c'est lui qui va servir au chiffrement de vos connexion HTTPS. il faut d'ABORD rediriger le port 80 du routeur opérateur --> votre routeur personnel --> Nas Synology adapter les règles du FW du Syno (ou les désactiver) pour la durée de la création du certificat Si vous voulez plus de détails sur le fonctionnement des certificats, vous trouverez ici le documentation Synology : https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/connection_certificate 1) Cliquez dans la section Connectivité sur Sécurité. Vous arriverez sur la fenêtre suivante : 1) Cliquez sur L'onglet Certificat 2) Cliquez sur le bouton Ajouter Vous arriverez sur la fenêtre suivante, dans laquelle vous pourrez ajouter des certificat (notamment Let's Encrypt) : 1) Sélectionnez Ajouter un nouveau certificat 2) Cliquez sur le bouton Suivant Vous arriverez sur la fenêtre suivante dans laquelle vous allez nommer le type de certificats (en l'occurence Letf's Encrypt) : Je vous suggère de créer à minima 2 certificats : Un pour l'ensemble de vos applications présentes sur votre NAS Synology (certificat par défaut) (Exemple : Surveillance Station, Photo Station, ...) Un par applications (sous-domaines) externes à votre NAS Nota : Si vous hébergé une application WEB accessible depuis l'extérieur de votre réseau, je vous conseil de créer un certificat spécifique et ne pas utilisé celui par défaut. Un certificat peut être associé à plusieurs applications ou plusieurs nom de sites : ds.mondomaine.com; www.ds.mondomaine.com; survs.mondomaine.com, www.survs.mondomaine.com nota : les "www.xxxxxxx.zzz" sont optionnels. Commençons par les certificat de vos applications présentes sur votre NAS Synology 1) Saisissez dans la description votre nom de sous-domaine correspondant à votre NAS Synology 2) Sélectionnez option Procurez-vous un certificat auprès de Let's Encrypt 3) Cochez : Configurer comme certificat par défaut (Toutes les applications qui seront crées ultérieurement utiliseront ce certificat, sauf si vous modifié l'association que nous venons plus loin) 4) Cliquez sur le bouton Suivant Vous arriverez sur la fenêtre suivante dans laquelle vous allez associé le certificat à un nom de domaine : 1) Saisissez dans la description votre nom de sous-domaine correspondant à votre NAS Synology. Dans l'exemple vos applications sur le NAS : ds.mondomaine.com 2) Saisissez votre adresse mail (elle sert notamment à Let's Encrypt à limiter le nombre de certificats souscrits) 3) Dans le champs Autre nom de l'option : Saisissez votre nom de sous-domaine correspondant à votre NAS Synology en ajoutant WWW. devant (optionnel). Dans l'exemple vos applications sur le NAS : www.ds.mondomaine.com; surv.mondomaine.com; www.surv.mondomaine.com Saisissez autant, de nom de sous-domaines que d'applications ou nom de sites qui utiliseront ce certificat. Séparer les par un ; (point-virgule). Dans l'exemple : surv.mondomaine.com; www.surv.mondomaine.com (optionnel) Donc dans l'exemple (NAS Synology et Surveillance Station) ça donne : www.ds.mondomaine.com; surv.mondomaine.com; www.surv.mondomaine.com nota : les "www.xxxxxxx.zzz" sont optionnels. 4) Cliquez sur le bouton Appliquer Vous obtiendrez le résultat suivant : 1) Votre certificat (par défaut) a bien été créé 2) Cliquez sur le bouton Ajouter pour créer les autres certificats (spécifiques aux applications non présentes sur le NAS Synology ou vos Serveurs WEB accessibles depuis internet) Vous arriverez sur la fenêtre suivante, dans laquelle vous allez pouvoir ajouter vos certificats complémentaires : 1) Sélectionnez Ajouter un nouveau certificat 2) Cliquez sur le bouton Suivant Vous arriverez sur la fenêtre suivante dans laquelle vous allez nommer le type de certificats. Mais cette fois il convient de ne pas le définir comme par défaut. 1) Saisissez dans la description votre nom de sous-domaine correspondant à vos applications spécifiques non présentes sur le NAS Synology ou vos Serveurs WEB accessibles depuis internet 2) Sélectionnez option Procurez-vous un certificat auprès de Let's Encrypt 3) Décochez : Configurer comme certificat par défaut (nous reviendrons sur ce point plus loin) 4) Cliquez sur le bouton Suivant Vous arriverez sur la fenêtre suivante dans laquelle vous allez associé le certificat à un nom de domaine : 1) Saisissez dans la description votre nom de sous-domaine correspondant à votre boxe HC2 Fibaro. Dans l'exemple vos applications sur le NAS : hc2.mondomaine.com 2) Saisissez votre adresse mail (elle sert notamment à Let's Encrypt à limiter le nombre de certificats souscrits) 3) Dans le champs Autre nom de l'option : Saisissez votre nom de sous-domaine correspondant à votre NAS Synology en ajoutant WWW. devant (optionnel). Dans l'exemple vos applications sur le NAS : www.hc2.mondomaine.com Saisissez autant, de nom de sous-domaines que d'applications qui utiliseront ce certificat. Séparer les par un ; (point-virgule) nota : les "www.xxx.zzz" sont optionnels. 4) Cliquez sur le bouton Appliquer Vous obtiendrez le résultat suivant : 1) Votre certificat (par défaut) a bien été créé 2) Cliquez sur le bouton Ajouter pour créer les autres certificats (spécifiques aux applications non présentes sur le NAS Synology ou vos Serveurs WEB accessibles depuis internet) 3) Une fois vos certificats tous créés, il convient de vérifier la bonne association de vos certificats avec vos différents Services. Cliquez sur le bouton Configurer. D) Association des certificats aux Services Vous arriverez sur la fenêtre suivante : 1) Sur la première ligne de Services, cliquez sur la liste déroulante 2) Sélectionner le certificat qui doit être associé au Service correspondant à la ligne sur laquelle vous êtes positionné. Exemple : Service hc2.mondomaine.com = hc2.mondomaine.com Home Center 2 de XXX Service ds.mondomaine.com = ds.mondomaine.com NAS Synlogy de XX (par défaut) Tous les autres services = ds.mondomaine.com NAS Synlogy de XX (par défaut) 3) Passer toutes le ligne en revue 4) Cliquez sur OK pour terminer D) Chiffrement TLS / SSL Toujours dans le panneau de configuration Sécurité del la section Connectivité, aller sur l'onglet Avancé pour configurer le protocole de chiffrement . Vous arriverez sur la fenêtre suivante : 1) Cliquez sur L'onglet Avancé 2) Sélectionnez l'option Compatibilité intermédiaire 3) Cliquez sur Appliqué Nous en avons terminé sur le NAS Synology 3 - Configuration de la translation d'adresses IP/Ports sur vos Routeurs : Passons maintenant à la configuration du routeur Opérateur pour ajouter une redirection du port 443 entrant de votre box opérateur sur vers le port 443 de : votre Routeur personnel (Routeur Synology dans l'exemple) puis de votre Routeur Synology vers votre NAS Synology ou votre NAS Synology 4 - Configuration du Routeur Opérateur : Passons maintenant à la configuration du routeur opérateur pour ajouter une redirection du port 443. RDV dans la console d'administration de votre votre box Opérateur. Dans l'exemple une Livebox Orange. 1) Cliquez sur L'onglet configuration avancée 2) Cliquez sur le sous-onglet NAT/PAT 3) Renseignez un nom de règle. Dans l'exemple : HTTPS 4) Renseignez le port 443 qui va correspondre au port d'entrée de : de votre NAS Synology (si vous ne disposez pas d'un routeur personnel) ou de votre Routeur Personnel (si vous disposez pas d'un routeur personnel). Dans l'exemple Routeur Synology 5) Renseignez le port 443 qui va correspondre au port externe (celui de la box opérateur, visible d'internet) 6) Renseignez un nom de règle. Dans l'exemple : HTTPS 7) Renseignez l'adresse IP qui va correspondre à : NAS Synology (si vous ne disposez pas d'un routeur personnel). En renseigner en fonction de la façon dont vous avez configuré votre LAN ou Routeur Personnel (si vous disposez pas d'un routeur personnel). Soit dans l'exemple Routeur Synology = 192.168.1.2 8) Cliquez sur enregistrer 5 - Configuration du Routeur personnel (Optionnel selon votre configuration) : Si vous disposez d'un routeur personnel, il convient de le configurer y ajouter une redirection du port 443 vers votre Nas Synology. RDV dans le Centre réseau de votre Routeur Synology 1) Cliquez sur le menu Transmission de port 2) Cliquez sur Créer Vous arriverez sur la fenêtre suivante : 1) Renseignez un nom de règle. Dans l'exemple : HTTPS 2) Renseignez l'adresse IP qui correspond à votre NAS Synology 3) Renseignez le port 443 qui va correspondre au port Public (en entrée) de votre Routeur Synology 4) Renseignez le port 443 qui va correspondre au port Privé (en entrée) de votre NAS Synology 5) Renseignez le Protocole TCP 6) Cliquez sur Créer Vous obtiendrez le résultat suivant : 1) Cochez l'activation de la règle HTTPS 2) Cliquez sur le bouton Sauvegarder Cette fois c'est bon. Tout devrait maintenant fonctionner Bon courage à vous pour la mise en oeuvre et profitez bien de votre accès externe qui sera peut-être un peu plus en sécurité Quelle idée, j'ai eu de d'accepter de faire ce TUTO. Merci à @jojo pour ça suggestion de m'y mettre et à @Steven pour ces infos. Mais si ça peu rendre notre monde de la domestique plus sure, tant mieux Je complèterais évidement de vos remarques et suggestion d'améliorations. Merci d'avance pour celles-ci PS : Mais n'oubliez pas il peut y avoir un délai pour l'activation des sous-domaines par OVH de 24h Modifié le 9 décembre 2018 par MAM78 2 4 1 1 Lien vers le commentaire Partager sur d’autres sites More sharing options...
TraxxMaxx Posté(e) le 6 avril 2018 Signaler Partager Posté(e) le 6 avril 2018 (modifié) Super début tuto, une excellente idée Un grand merci à toi Modifié le 6 avril 2018 par TraxxMaxx Lien vers le commentaire Partager sur d’autres sites More sharing options...
pepite Posté(e) le 6 avril 2018 Signaler Partager Posté(e) le 6 avril 2018 Merci @MAM78 Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 6 avril 2018 Signaler Partager Posté(e) le 6 avril 2018 merci pour ce début. Je commence à mieux comprendre de quoi il retourne. Bon courge pour la suite. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 6 avril 2018 Signaler Partager Posté(e) le 6 avril 2018 Tient bien présenté et didactique Lien vers le commentaire Partager sur d’autres sites More sharing options...
Nico Posté(e) le 6 avril 2018 Signaler Partager Posté(e) le 6 avril 2018 Top ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
BenjyNet Posté(e) le 6 avril 2018 Signaler Partager Posté(e) le 6 avril 2018 Ouais c'est clair ! Et une fois en place qu'est-ce que c'est pratique !! (je peux enfin me connecter à mon syno du boulot !!) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 6 avril 2018 Signaler Partager Posté(e) le 6 avril 2018 Exact ! La raison initiale pour laquelle j'ai un reverse proxy depuis plusieurs années, c'est justement pour accéder à mes ressources à domicile depuis le boulot, et traverser les proxy un peu trop filtrants de certaines entreprises ! Je n'ai ajouté l'aspect sécurité (https) que plus tard. Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 6 avril 2018 Signaler Partager Posté(e) le 6 avril 2018 je commence à regarder comment faire. La première chose dont j'ai besoins, c'est d'acheter un nom de domaine.Je voulais aller "au moins cher", et donc j'aoi vu ceci https://www.register.be/fr/ avec un nom de domaine .eu à 6,95€HTVA. La notion de sous domaines est gérée par le reverse proxi (de ce que j'ai compris des explications déjà en ligne, je dirais oui), ou par le vendeur du nom de domaine (auquel as, il faudrait le choisir avec précaution) Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 6 avril 2018 Signaler Partager Posté(e) le 6 avril 2018 en fait c'est cher, je vien de trouver ceci à 1€ https://www.lws.fr/promotions/ndd/index_monde_v2.php?rsource=adwords&rcampagne=nom-de-domaineFr&rkeyword=landing-nom-de-domaine&gclid=Cj0KCQjwtZzWBRD2ARIsAIPenY1NaRFQwFATPLP5kpDz7JZx4ancAQgMHVXEb5kjUVSBnyCht3S7rDsaAhMHEALw_wcB Mais bon quels sont les critères de choix pour un vendeur ? s'il disparait, le nom de domaine disparait également ? tout le traffic passe par chez lui ? (=> confidentialité, performance, ...) ... sinon pourquoi prendre chez OVH à 14€ ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
BenjyNet Posté(e) le 6 avril 2018 Signaler Partager Posté(e) le 6 avril 2018 Moi je suis chez ovh et je paye moins d'un €uro par mois et ça me va très bien. J'ai pas besoin de plus. Ce qui est bien aussi avec le reverse proxy du syno c'est qu'il est super facile d'utiliser les certificats lets encrypt. J'ai plus aucune alerte de certif sur chrome :-) Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 6 avril 2018 Signaler Partager Posté(e) le 6 avril 2018 j'ai regardé encore plus en détail, et ils te font un prix d'appel pour la première année, (sur un site 8€/ans => cool) puis les années uivantes 73€/ans (beaucoup moins cool) Je crois que je vais prendre une .be chez OVH à 7€/an (création et renouvellement) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 7 avril 2018 Signaler Partager Posté(e) le 7 avril 2018 Tu peux migrer à tout moment de registrar, il faut juste prévenir 60 jours avant la date anniversaire du contrat. Perso j'ai migré de Gandi à OVH, j'ai un nom de domaine que j'ai depuis 15 ans environ. Les sous-domaines se gèrent chez le registrar, dans leur config DNS. Sur ton Reverse Proxy, tu ne fais que configurer ce qui doit correspondre aux enregistrements DNS. 1 Lien vers le commentaire Partager sur d’autres sites More sharing options...
MAM78 Posté(e) le 7 avril 2018 Auteur Signaler Partager Posté(e) le 7 avril 2018 Le tuto avance, j'ai traité la partie configuration des sous-domaines chez OVH. Je vais m'attaquer à la partie NAS Synology. 1 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 7 avril 2018 Signaler Partager Posté(e) le 7 avril 2018 @jojo je rappelle que j'avais déjà fait un tuto pour le reverse proxy (aujourd'hui désuet, mais les mécanismes sont toujours valables) : Lien vers le commentaire Partager sur d’autres sites More sharing options...
BenjyNet Posté(e) le 7 avril 2018 Signaler Partager Posté(e) le 7 avril 2018 Moi par contre j'ai un problème avec l'IPXv4. Impossible de m'y connecter par le reverse proxy, j'ai bien l'invite pour le login/pass et quand je le rentre, il ne fait que me le redemander en boucle. En local bien sur, pas de soucis. Je sèche sur la question pour le coup. Lien vers le commentaire Partager sur d’autres sites More sharing options...
MAM78 Posté(e) le 7 avril 2018 Auteur Signaler Partager Posté(e) le 7 avril 2018 (modifié) Hello Lazer, j'avais pas vu. Merci. Je vais probablement enrichir mon Tuto d'informations en provenance du tient et/ou en provenance des liens que tu mentionnes. Si tu en es d'accord ? Le travail un peu fastidieux. Mais bon je me suis lancé, je vais aller jusqu'au bout Modifié le 7 avril 2018 par MAM78 1 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 7 avril 2018 Signaler Partager Posté(e) le 7 avril 2018 @BenjyNet étrange, je n'ai aucun souci avec l'IPX80 v4 @MAM78 aucun souci Merci pour ton travail Lien vers le commentaire Partager sur d’autres sites More sharing options...
BenjyNet Posté(e) le 7 avril 2018 Signaler Partager Posté(e) le 7 avril 2018 Bah ouais je comprends pas ! Sous edge aussi ça le fait. J'ai pourtant fait une redirection de https://gce.toto.ovh vers http://192.x.x.x et non ça redemande en boucle le login/pass sans le franchir. Avec ie8 ça marche.. mais bon c'est une passoire Peut être qu'il faudrait rediriger vers http://192.x.x.x/user/index2.htm Lien vers le commentaire Partager sur d’autres sites More sharing options...
MAM78 Posté(e) le 7 avril 2018 Auteur Signaler Partager Posté(e) le 7 avril 2018 Tu l'as fait, il y a combien de temps. Comme je l'indique dans le TUTO : Nota : La création de cette entrée DNS peut prendre jusqu'à 24 heures pour qu'elle soit disponible dans le DNS d'OVH. Cela veut dire que pendant ce temps, la résolution de votre nom DNS ne sera pas disponible (hc2.mondomaine.com). Mais, je ne pense pas que ton problème vient de là. Lien vers le commentaire Partager sur d’autres sites More sharing options...
BenjyNet Posté(e) le 7 avril 2018 Signaler Partager Posté(e) le 7 avril 2018 Huhu ça fait longtemps que j'ai mon reverse proxy. C'est un autre problème je pense. Mais j'arrive pas à trouver d'où ça vient. Lien vers le commentaire Partager sur d’autres sites More sharing options...
MAM78 Posté(e) le 7 avril 2018 Auteur Signaler Partager Posté(e) le 7 avril 2018 As-tu bien accepté et enregistré ton certificat dans tous tes navigateurs ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Lazer Posté(e) le 7 avril 2018 Signaler Partager Posté(e) le 7 avril 2018 L'intérêt d'utiliser un Certificat Les's Encrypt, autorité de certification reconnue, c'est justement de ne pas avoir à ajouter les certificats auto-signés manuellement dans le navigateur. Lien vers le commentaire Partager sur d’autres sites More sharing options...
MAM78 Posté(e) le 7 avril 2018 Auteur Signaler Partager Posté(e) le 7 avril 2018 Ok @Lazer merci pour la précision. J'intègrerais celle-ci dans mes explications du TUTO. Lien vers le commentaire Partager sur d’autres sites More sharing options...
jojo Posté(e) le 7 avril 2018 Signaler Partager Posté(e) le 7 avril 2018 Il y a 1 heure, Lazer a dit : @jojo je rappelle que j'avais déjà fait un tuto pour le reverse proxy (aujourd'hui désuet, mais les mécanismes sont toujours valables) : en 2014, je n'étais pas encore né (sur ce forume, en tout cas) 1 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés