Jeedom, Raspberry, Synology et Letsencrypt

Discussions Générales
1

Bonsoir à tous
(je ne sais pas si je poste au bon endroit ???)

J’ai Jeedom sur Raspberry et tout fonctionne correctement.
Alors, avant de faire une cagade qui pourrait me causer des problèmes, voici ma question…

Mon Jeedom est accessible depuis l’extérieur :

  • en http sur mondomaine.ovh:xxxx
  • en https sur mondomaine.ovh:yyyy
    Certificat installé après quelques galères de débutant, mais bon…
    Aucun souci.

Je viens d’acheter un Synology DS220+ qui a ses accès :

  • en http sur mondomaine.ovh:aaaa
  • en https sur mondomaine.ovh:bbbb
    Et pour l’instant, pas de certificat (donc l’alerte habituelle en https…)

Que dois-je faire, maintenant ?
Créer un nouveau certificat pour le NAS (qui a donc la même adresse sur d’autres ports) ?
Ou importer celui existant sur mon Raspberry ?
Et… comment procéder ?

(plus tard, je verrai pour mettre Jeedom sur le NAS, mais je n’en suis pas encore là…)

Merci pour votre aide !

2

Hello

Ton certificat a ete généré pour un nom de domaine, pas pour un port dédié.

Donc, sauf si tu utilises des sous-domaines, tu devrais pouvoir l importer sur le nas : Panneau de config/ securite / certificat / ajouter

1 « J'aime »
3

Perso plutot que d utiliser des ports exotique (dont il faut se souvenir !) j’utilise des sous domaine et tout le traffic 80 et 443 est renvoyé vers le syno

C est ensuite le syno qui fait du reverse proxy pour transferer les requetes sur le bon systeme interne

Donc internet => 443=> routeur => 443 => syno => 80 => raspberry avec jeedom

1 « J'aime »
4

Merci !

Alors, ce menu du NAS, je l’avais bien vu… mais c’est ensuite, dans le menu, que ne ne sais pas trop quoi faire !
:thinking:

Importer, je veux bien, mais comment ? C’est là que je sèche ! :upside_down_face:

Sinon, les ports, ça va… il sont faciles (pour moi) à mémoriser ! :grin:

Mais je vais étudier ce que tu viens de me décrire (c’est simple à faire ?)

EDIT : J’ajoute des détails de mon réseau, je ne sais pas si c’est utile)
Freebox 192.168.0.xx - conservée en mode « Routeur » à cause des limitations du mode « Bridge »
Routeur TPLink : 192.168.1.xx qui renvoie vers les ordis, le nas et raspberry

Merci beaucoup pour tes réponses :+1:

6

Comment est ce que tu as créé tes 1ers certif ?
est ce que tu as tes fichiers :

  • ta clé privé domain.ovh.key (ou un privatekey.pem)
  • ton certificat domain.ovh.cer, (ou un cert.pem)
  • et en intermédiaire tu as du avoir un ca.cer (ou un chaim.pem)

en général les fichiers sont dispo sous /etc/ssl/

je ne passe pas par le menu pour mettre à jour mes certif sur le syno :slight_smile:, mais j’ai un script qui fait tout ca pour moi de façon mensuel

(sinon le plus simple … tu passes par le menu pour en regénérer un nouveau (avec le même domaine) auprès de letsencrypt ! )

en dehors de la mémorisation, c’est pour que ca soit aussi « plus beau » et simple !
c’est quand meme plus facile de retenir un jeedom.mondomain.ovh et un mesvideos.mondomain.ovh

que un mondomain.ovh:1234 pour jeedom et mondomain.ovh:9876 pour mes videos !

bien plus simple que ce que tu as fait jusque là :slight_smile:
sur la freebox tu ne fais que 2 redirections de ports : 80 ext => 80 syno & 443 ext => 443 syno
et sur le syno : tu utilises le reverse proxy Panneau de config/Portails de appli/[onglet] proxy inversé

2 « J'aime »
7

Oui, j’ai les fichier *.pem dans le dossier /etc/letsencrypt/live/mondomaine.ovh/
Mais… comment aller les chercher sur le Pi pour les mettre sur le Nas ???
Héhéhé…
Tu dis qu’il y a plus simple, un peu plus bas… :laughing:

Ca m’intéresse, évidemment ! :smile:
Mais même si je dois faire fumer les neurones, je ne veux pas appliquer bêtement des solutions toutes faites sans les comprendre.
Si c’est possible pour toi, je serai un élève attentif !

Simple…
Voilà un mot que j’aime ! :sweat_smile:

Donc je suis les instructions de DSM pour créer un nouveau certificat.
Et mon Pi, dans cette histoire ?
Il reste avec le certificat que j’avais précédemment créé ?
Si oui, ça me plait…

Ou bien je me retrouve dans les même difficultés que plus haut, pour importer ?
Hum…
Si je ne me trompe pas, je dois me diriger vers le « reverse proxy », non ?
:innocent:

Bon, la chose importante pour moi est que mon Jeedom soit indépendant de la box (192.168.0.xxx).
J’ai déjà changé plusieurs fois de Freebox et, chaque fois, refaire les adresses, c’est :face_with_symbols_over_mouth:
C’est pour ça que j’ai mis un routeur, comme ça mon Pi et ses copains ont une adresse 192.168.1.xxx qui ne bouge plus !

Donc ma box revoie le trafic (80, 443 et/ou ports exotiques !) sur le routeur, qui le renvoie sur le NAS et c’est le NAS (au lieu du routeur) qui renvoie sur le Pi.
C’est correct ?


Bon, je sais, j’ai été un sacré bavard !
:joy:
Mais j’aime savoir ce que je fais, et pourquoi !
… et mes questions (parfois bêtes) peuvent servir à d’autres néophytes…

Pour finir, merci encore pour tes conseils !
:wink:

8

Salut,
Je pense que tout a été dit par @tomitomas et je rejoins son avis.
Deux commentaires :

  • si tu utilises le syno comme reverse proxy, il doit être allumé en permanence (ce n’est pas forcément le cas pour tout le monde et ne lançons pas un débat la dessus); donc si pas le cas pour toi tu ne peux pas faire ça.
  • importer les certif de l’un (pi) sur l’autre (syno) ça va marcher mais c’est vraiment casse-pied. À chaque renouvellement tu vas devoir le refaire à la main… Donc évite cette solution.

Mais donc mon avis, mettre un reverse proxy avec le syno ou avec un autre produit (une 3eme « boîte » qui ne fait que ça) est le mieux.

3 « J'aime »
9

avec winscp ou filezilla
ou en ligne de commande avec scp

non !
mais ca ne veut pas dire que ca ne va pas te plaire :slight_smile:

tu n’as plus besoin de tes certificats sur le raspberry !

plutôt qu’un long roman, une petite image :

image
image1073×286 39.2 KB

autrement dit :
la connexion doit être sécurisée par SSL entre Internet et ta Box
ensuite ta Box redirige les requêtes sur ton NAS => c’est lui qui va présenter les certificats. c’est donc sur le NAS que tu as besoin d’avoir tes *perm/*csr/…
puisque tu es en interne ensuite tu peux simplement renvoyer les requêtes du NAS au Pi en http80 standard => pas besoin de vérification SSL du côté du PI, donc pas de gestion de certificat à faire !

(exactement la même punition dans ton cas avec un routeur supplémentaire : il joue le même rôle que ta box dans mon précédent schéma)

attention c’est vrai uniquement si tu respectes ce chemin là ! si tu veux garder un lien Internet => Box => Pi, dans ces cas là tu n’as pas d’autres choix que de gérer également des certificats sur le Pi !

pas faux ! je partais du principe que c’était en effet le cas ! :slight_smile:

1 « J'aime »
10

Salut et merci !

Bon, le Syno, c’est tout récent pour moi, mais mon idée actuelle est de le laisser allumé H24.

Sinon (ou en même temps ?), tu parles d’une 3ème boite… j’ai un Pi2 au repos…
C’est une solution équivalente (ou même préférable ?) au reverse proxy sur le Syno ?

Bonne journée :wink:

11

Hum…
Je vais devoir sortir…
Je regarderai ta réponse plus en détail à mon retour !
:relaxed:

12

« sinon » : ‹ oui ›
« en meme temps » : non ! inutile de surcharger ton réseau en ajoutant un pi au cul de ton nas qui ne servira que de reverse proxy !

préférable : pas certain puisque tu as déjà le matériel qu’il te faut et qu’il sera allumé H24 !
équivalent : sur le principe oui, un reverse-proxy est un reverse-proxy qu’il soit sur Pi ou Nas !
~ si tu es à l’aise avec les lignes de commandes et les structures vhost d’Apache ou Nginx => alors pourquoi pas, amuse toi :slight_smile:
~ si ça n’est pas le cas, alors synology te propose une belle IHM toute simple qui te guide et fait tout pour toi :wink:

et pour moi dans le cas où tu souhaites quand même ajouter un Pi supplémentaire (ou une 3e boite) pour faire uniquement du reverse proxy, il faut le mettre derrière ton routeur
c’est toujours le même principe : c’est à ce reverse proxy de recevoir les requetes 80/443 puis de les dispatcher au bon équipement sur ton réseau.
Si tu le mets au meme niveau que ton NAS alors tu auras toujours la problématique de devoir gérer des ports différents ! :wink:

1 « J'aime »
13

Salut tous,

Je me permet juste un commentaire sur ma conf.

J’ai un certificat sur mon jeedom, sur le port 8443 (il n’est pas impossible que j’ai ouvert le 443 et le 80 sur le jeedom pour le 1er challenge)

J’ai un autre certificat sur mon syno, avec tout un tas de sous domaines pour le reste de mon reseau, et qui me sert de reverse proxy

le tout sur le même nom de domaine.

J’ai fait ça pour 2 raisons :

1/ il arrive que mon syno quitte le réseau (ou se fait éjecter, j’arrive pas à débugger…)
2/ quand coupure de courant, jeedom éteint le syno, et j’aimerai conserver l’accès à ma box

1 « J'aime »
14

OK
Je m’en doutais un peu, mais pas certain

OK

Pas encore, mais j’espère que ça viendra ! :sweat_smile:

Pour l’instant, je me contenterai de ça ! :innocent: :joy:

Bon…
Je résume :

La fibre arrive sur la Freebox
Freebox envoie son 192.168.0.xxx sur le routeur.
Le routeur redistribue des IP fixes 192.168.1.xxx aux ordis et au NAS, sur tous les ports.
Mais pas au PI qui, lui, sera branché sur la 2ème prise RJ45 du NAS.
Je crée un nouveau certificat sur le NAS qui « protègera » le PI.
Le PI reçoit ses données du NAS, uniquement sur le port 80.

J’ai bon jusque là ?

Ensuite, sur le PI, dois-je supprimer le certificat existant ou on s’en fout ?
Quelque chose d’autre à faire avant de me lancer ?

Un grand merci à vous et j’espère que je vais progresser pour, un jour peut-être, moi aussi apporter mon aide aux autres !
:wink:

15

Non :sweat_smile:

Le pi est branché sur ton routeur pas sur le nas ! C est un appareil comme un autre.
C’est le routeur qui sert de DHCP et qui va fournir une adresse IP à ton raspberry pas le NAS

Pas que pour le pi ! Pour tout ce qui pourrait être derriere ton nas

Pour que ça soit propre je te dirais bien oui on supprime.
Mais dans un premier temps fait déjà une install propre avec le NAS et compagnie vérifie que tu fonctionnes et seulement après tu feras ta suppression

1 « J'aime »
16

Je pense que ta confusion vient du schéma que @tomitomas a fait ici

image
image1073×286 39.2 KB

Le schéma est correcte (évidement :crazy_face:)

mais il ne représente que le flux d’une requête http, il ne représente pas comment les appareils sont connectés, et ils le sont tous « en étoile » sur le router.

1 « J'aime »
17

c’est aussi ce que je me suis dit en voyant la réponse :slight_smile:

:+1:

j’en refais un en espérant que ca soit plus clair (je rajoute exprès un nouvel équipement Plex pour l’exemple !)

image
image1073×626 111 KB

  • tous les appareils récupèrent leur IP du routeur
  • toutes les requetes http(s) sont envoyées au NAS
  • c’est le NAS qui sert d’aiguilleur pour transférer la requête sur le bon équipement :
    • soit vers le Raspberry si la requete concerne Jeedom
    • soit vers un autre serveur ‹ Plex › si la requete concerne les videos
3 « J'aime »
18

:joy:
Moi aussi, avant d’avoir vu ton post, je me suis mis sur un dessin !
Voici donc ce que j’ai actuellement :

rzo
rzo1334×649 55.5 KB

Effectivement, tu mentionnes Plex, j’ai une MiBox sur une télé, avec Plex…
Et la différence avec ton dessin, comme j’ai dit, je n’ai pas mis de sous-domaines, mais la différence d’aiguillage se fait sur les ports. (je dois changer ça ?)

Bon…
Si je comprends bien, je ne change rien, physiquement, à mes branchements ???

Ce que je ne comprends pas (désolé, c’est peut-être à cause de l’âge ! :joy: ), c’est comment mon Pi, branché direct au routeur, sait que le Syno assure sa sécurité !

Je sais… je suis ch.ant, mais appliquer sans comprendre, c’est pas mon truc ! :innocent:

1 « J'aime »
19

c’est tout l’intérêt !

si c’est comme sur ton dessin, alors tu es bon oui !

le Pi ne le sait, et en soit il s’en fou puisqu’il recoit des requetes sur le port 80, donc non sécurisées
si tu veux que les échanges entre ton NAS et Pi soient en 443, alors il faudra aussi gérer un certificat supplémentaire sur le PI (quid de l’utilité ?! cf précédents échanges)

20

Je DOIS donc utiliser (ou plutôt, tu me recommandes) des sous-domaines à la place de mes ports « exotiques » ?
Par exemple, pour Syno, j’avais vu qu’il était recommandé de changer les ports 5000/5001 qui sont plus fréquemment attaqués, parce qu’ils sont « connus ».
De même, pour le Pi, je n’utilise directement ni le 80 ni le 443, mais des ports choisis personnellement qui redirigent vers eux.
Tort ou raison ?

OK
Chui content d’avoir quand même fait un truc bien ! :rofl:

Alors, c’est là que je ne comprends pas ! (courage, je vais y arriver !)
D’après ce que je vois sur mes branchements, le Pi est relié au routeur, sans passer par le NAS.
Où est sa protection, s’il est directement sur le :80 ?
Chez OVH avec le certificat créé sur le NAS ?
(encore une fois, je suis désolé des questions d’un vieux cerveau dont les neurones commencent visiblement à décliner !)

21

encore une fois : c’est tout l’interet du reverse proxy !!!
si tu veux utiliser des ports exotiques, alors pas besoin de faire du reverse proxy !

une fois de plus : si tu passes par un sous domaine tu n’exposes pas directement ton port 5000/5001 !
donc si t’appelles http(s)://monNas.domain.ovh (donc en 80 ou 443) => sur ton nas il redirigera en local:5000 ou 5001 !
et donc les attaques sur tes ports 5000 & 5001 n’auront aucun effet puisqu’ils ne sont pas ouvert sur ta box (donc ouvert à l’extérieur!)

bon … visiblement mon schéma n’était pas assez clair !
il y a pourtant les ports et des exemples !
je ne vais pas savoir faire plus :sweat_smile:

faut peut etre commencer par le début … a quoi tu t’attends quand tu parles de « protection » …???