4.5 KiB
ovh
Configuration du domaine chez OVH
Dans l'espace client OVH, aller à l'onglet Domaines -> DynHost et cliquer sur Ajouter un DynHost.
Entrer l'IP de la box et le sous-domaine à créer:
- Sous-domaine: **ds923**.photos-nas.ovh
- IP: 86.209.254.226
On a ensuite besoin d'un identifiant pour mettre le sous-domaine à jour. Cliquer sur Gérer les accès puis Créer un identifiant:
- Suffixe de l'identifiant: photos-nas.ovh-wildcard
- Sous-domaine: ds923.photos-nas.ovh
- Mot de passe:
Vérification:
$ nslookup photos-nas.ovh
Server: fe80::b85d:aff:fe58:f764%12
Address: fe80::b85d:aff:fe58:f764%12#53
Non-authoritative answer:
Name: photos-nas.ovh
Address: 213.186.33.5
On s'assure de la propoagation des DNS: https://www.whatsmydns.net/
Configurer la mise à jour automatique de l'IP
Sur le NAS, aller dans le Panneau de configuration -> Accès externe -> onglet DDNS et cliquer sur Ajouter.
- Fournisseur de service: OVH
- Nom d'hôte: ds923.photos-nas.ovh
- Nom d'utilisateur: photos-nas.ovh-wildcard
- Mot de passe:
- Adresse externe: Auto
https://leblogdejerome.com/2018/08/ajouter-un-nas-synology-a-un-dynhost-chez-ovh/
https://www.adrienfuret.fr/2015/05/31/nas-synology-ddns-ovh/
Création du certificat wildcard Let's Encrypt
Création de la clé d'API chez OVH.
https://www.ovh.com/auth/api/createToken
-
Application name: wildcard-photos-nas.ovh
-
Application description: wildcard-photos-nas.ovh
-
Validity: Unlimited
-
Rights:
- GET /domain/zone/
- GET /domain/zone/{zone DNS}/status
- GET /domain/zone/{zone DNS}/record
- GET /domain/zone/{zone DNS}/record/*
- POST /domain/zone/{zone DNS}/record
- POST /domain/zone/{zone DNS}/refresh
- DELETE /domain/zone/{zone DNS}/record/*
-
Restricted IPs: on rajoute son IP afin qu'en cas de vol des clés, elles ne puissent être exploitées et votre domaine détourné. (NB : Si vous n'avez pas une IP fixe, on passe ce dernier point)
Remplacer {zone DNS} par le domaine (photos-nas.ovh).
Cliquer sur Create keys.
-
Application name: wildcard-photos-nas.ovh
-
Application description: wildcard-photos-nas.ovh
-
Application key: xxxxxxxxxxxxxxxx (16)
-
Application secret: yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy (32)
-
Consumer Key: zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz (32)
Reverse Proxy
Au lieu d'accéder au service Gitea par https//nomdedomaine.fr:8148 (après avoir affecté le port 8148 sur le routeur), on y accède par https://gitea.nomdedomaine.fr sur le port 443
Sur le routeur:
on ouvre uniquement les ports:
- 443 et 80 (renouvellement du certificat)
- 42xxx pour le ssh du NAS
Chez OVH:
On crée un DynHost pour chaque sous-domaine.
| DynHost | Cible |
|---|---|
| .photos-nas.ovh | IP livebox |
| drive.photos-nas.ovh | |
| ds923.photos-nas.ovh | IP livebox |
| files.photos-nas.ovh | IP livebox |
| gitea.photos-nas.ovh | IP livebox |
| home-assistant.photos-nas.ovh | IP livebox |
| homebridge.photos-nas.ovh | IP livebox |
| photos.photos-nas.ovh | IP livebox |
| portainer.photos-nas.ovh | |
| www.photos-nas.ovh | IP livebox |
| asus.photos-nas.ovh | |
| ds916.photos-nas.ovh | |
| tunes.photos-nas.ovh | IP livebox |
https://www.ovh.com/manager/#/web/zone/photos-nas.ovh/dynhost
Sur le NAS:
Date d'expiration d'un certifcat:
# openssl x509 -enddate -noout -in /usr/syno/etc/certificate/system/default/cert.pem
notAfter=Apr 12 18:53:43 2024 GMT
Réglage du pare-feu:
Ouvrir le port 80 lors du renouvellement:
#!/usr/bin/env bash
# ====================================================================================== #
# ===================== Script renew_cert_with_firewall_actions.sh ===================== #
# ====================================================================================== #
/usr/syno/bin/synofirewall --profile-set LetsEncrypt-renew && /usr/syno/bin/synofirewall --reload
/usr/syno/sbin/syno-letsencrypt renew-all
/usr/syno/bin/synofirewall --profile-set custom && /usr/syno/bin/synofirewall --reload
Portail des applications de DSM
Empêcher les moteurs de recherche d'indexer l'adresse DDNS
Réseau -> Connectivité -> Cocher Activer l'en-tête "server" dans les réponses HTTP
En-tête "server" personnalisé : noindex