# ovh ### Configuration du domaine chez OVH Dans l'[espace client OVH](https://www.ovh.com/manager/#/hub), aller à l'onglet **Domaines** -> **DynHost** et cliquer sur **Ajouter un DynHost**. Entrer l'IP de la box et le sous-domaine à créer: - Sous-domaine: **ds923**.photos-nas.ovh - IP: 86.209.254.226 On a ensuite besoin d'un identifiant pour mettre le sous-domaine à jour. Cliquer sur **Gérer les accès** puis **Créer un identifiant**: - Suffixe de l'identifiant: photos-nas.ovh-**wildcard** - Sous-domaine: **ds923**.photos-nas.ovh - Mot de passe: Vérification: ```bash $ nslookup photos-nas.ovh Server: fe80::b85d:aff:fe58:f764%12 Address: fe80::b85d:aff:fe58:f764%12#53 Non-authoritative answer: Name: photos-nas.ovh Address: 213.186.33.5 ``` On s'assure de la propoagation des DNS: https://www.whatsmydns.net/ ### Configurer la mise à jour automatique de l'IP Sur le NAS, aller dans le **Panneau de configuration** -> **Accès externe** -> onglet **DDNS** et cliquer sur Ajouter. - Fournisseur de service: OVH - Nom d'hôte: ds923.photos-nas.ovh - Nom d'utilisateur: photos-nas.ovh-wildcard - Mot de passe: - Adresse externe: Auto https://leblogdejerome.com/2018/08/ajouter-un-nas-synology-a-un-dynhost-chez-ovh/ https://www.adrienfuret.fr/2015/05/31/nas-synology-ddns-ovh/ ### Création du certificat wildcard Let's Encrypt #### Création de la clé d'API chez OVH. https://www.ovh.com/auth/api/createToken - Application name: wildcard-photos-nas.ovh - Application description: wildcard-photos-nas.ovh - Validity: Unlimited - Rights: - GET /domain/zone/ - GET /domain/zone/{zone DNS}/status - GET /domain/zone/{zone DNS}/record - GET /domain/zone/{zone DNS}/record/* - POST /domain/zone/{zone DNS}/record - POST /domain/zone/{zone DNS}/refresh - DELETE /domain/zone/{zone DNS}/record/* - Restricted IPs: on rajoute son IP afin qu'en cas de vol des clés, elles ne puissent être exploitées et votre domaine détourné. (NB : Si vous n'avez pas une IP fixe, on passe ce dernier point) Remplacer {zone DNS} par le domaine (photos-nas.ovh). Cliquer sur Create keys. - Application name: wildcard-photos-nas.ovh - Application description: wildcard-photos-nas.ovh - Application key: xxxxxxxxxxxxxxxx (16) - Application secret: yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy (32) - Consumer Key: zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz (32) ### Reverse Proxy Au lieu d'accéder au service Gitea par https//nomdedomaine.fr:8148 (après avoir affecté le port 8148 sur le routeur), on y accède par https://gitea.nomdedomaine.fr sur le port 443 #### Sur le routeur: on ouvre uniquement les ports: - 443 et 80 (renouvellement du certificat) - 42xxx pour le ssh du NAS #### Chez OVH: On crée un DynHost pour chaque sous-domaine. | DynHost | Cible | | :---------------------------- | ---------- | | .photos-nas.ovh | IP livebox | | drive.photos-nas.ovh | | | ds923.photos-nas.ovh | IP livebox | | files.photos-nas.ovh | IP livebox | | gitea.photos-nas.ovh | IP livebox | | home-assistant.photos-nas.ovh | IP livebox | | homebridge.photos-nas.ovh | IP livebox | | photos.photos-nas.ovh | IP livebox | | portainer.photos-nas.ovh | | | www.photos-nas.ovh | IP livebox | | asus.photos-nas.ovh | | | ds916.photos-nas.ovh | | | tunes.photos-nas.ovh | IP livebox | https://www.ovh.com/manager/#/web/zone/photos-nas.ovh/dynhost #### Sur le NAS: ##### Date d'expiration d'un certifcat: ```bash # openssl x509 -enddate -noout -in /usr/syno/etc/certificate/system/default/cert.pem notAfter=Apr 12 18:53:43 2024 GMT ``` ##### Réglage du pare-feu: Ouvrir le port 80 lors du renouvellement: ```bash #!/usr/bin/env bash # ====================================================================================== # # ===================== Script renew_cert_with_firewall_actions.sh ===================== # # ====================================================================================== # /usr/syno/bin/synofirewall --profile-set LetsEncrypt-renew && /usr/syno/bin/synofirewall --reload /usr/syno/sbin/syno-letsencrypt renew-all /usr/syno/bin/synofirewall --profile-set custom && /usr/syno/bin/synofirewall --reload ``` ##### Portail des applications de DSM #### Empêcher les moteurs de recherche d'indexer l'adresse DDNS Réseau -> Connectivité -> Cocher Activer l'en-tête "server" dans les réponses HTTP En-tête "server" personnalisé : noindex