Accès extérieur HA sûr

ddfdom · Janvier 18, 2026, 5:38

Il faut autoriser le reverse proxy dans ha
Plus deboi’ de https en interne c’est le reverse proxy qui porte le ssl il faut autoriser les websocket dans le reverse proxy (aucune idée ou ça se trouve dans le reverse de Synology) il faut ouvrir les port 443 vers le Synology uniquement

Pour autoriser le proxy il faut ajouter ces lignes dans les configuration.yaml

http:

  use_x_forwarded_for: true
  trusted_proxies:
    - 10.0.0.200
    - 172.30.33.0/24
  ip_ban_enabled: true
  login_attempts_threshold: 5

Les 2 dernières lignes servent d’auto ban lorsque quelqu’un rentre 5 mots de passe erronés son ip est bannie

Attention a l’autobannissement

naroan · Janvier 18, 2026, 7:11

J’ai essayé sur la destination de mettre en http et aussi en source le port 443. en y ajoutant aussi l’ouverture du port 443 sur ma box.
Pour les lignes de confiance, j’avais aussi rajouté l’adresse IP local de mon synology en 192.XX.XX.XX qui est la seule présente dans l’interface synololy.
ET aussi j’ai l’impression que HA a gardé en mémoire les certificats que j’avais créé avec le domaine de DUCKDNS comme j’ai eu une demande de confiance avec celui-ci. J’ai essayé de supprimer lardon DUCKDNS et ajouté Let’s Encrypt avec mon nouveau domaine Synology mais ça ne prend pas en compte ce nouveau domaine avec l’erreur de confiance de certificat.

ça ne fonctionne pas

ddfdom · Janvier 18, 2026, 8:00

Bon désolé mais tu fais un peu n’importe quoi tu mélanges tout en fait
Et a chaque fois que tu fais une modification ton configuration.yaml il faut redémarrer HA sinon rien n’est pris en compte

Par contre on veut bien des captures d’écrans pour agrémenter tes paroles

Sur ton routeur il n’y a qu’un port a ouvrir c’est le 443 vers le 443 de ton nas
Je veux bien une copie de ton routeur

Pas besoin de cacher les ip locale

bartounet · Janvier 18, 2026, 8:05

Franchement, quand on maitrise pas, prendre le cloud de nabu casa prend tout son sens.
et même quand on maitrise.

J’ai eu 10 ans Jeedom ouvert avec RP npm mais sous Ha j’ai choisi de prendre le cloud.
Je ferme tout les accès entrants, et ca me permet d’aider le developpement de ce fabuleux logiciel

ddfdom · Janvier 18, 2026, 8:26

on peut aimer aussi soutenir le projet et aimer maitriser ses accès

naroan · Janvier 19, 2026, 8:25

Bonjour,

Voici côté Synology pour le reverse proxy

Et côté box, j’ai retiré la règle que j’avais essayé

ddfdom · Janvier 19, 2026, 8:51

Sans règle effectivement c’est pas prêt de fonctionner

Par contre tu ne serais en cg-nat vu le message en jaune ?

Tu es chez quel opérateur ?

naroan · Janvier 19, 2026, 9:01

oui mes adresses IP V4 et V6 ne sont pas celles qui sont identifiés sur ma box.
Je suis chez SFR.

J’ai essayé de nouveau d’ouvrir le port 443 et 80 pour l’adresse de mon Synology comme je l’ai vu dans un autre tuto. Pas d’accès depuis l’extérieur

ddfdom · Janvier 19, 2026, 9:15

C’est normal tu es surement en cg-nat

Il te faut appeler le service client sfr et leur demander une ipv4 fullstack

Sans ça point de salut

naroan · Janvier 19, 2026, 9:20

d’accord merci de ton aide. et sur la box il n’y a que les 2 règles à activer, pas plus.

bastgau · Janvier 19, 2026, 9:31

Pourquoi le port 80 ?

Si tu utilises un Reverse Proxy, tout devrait être sur du 443.

naroan · Janvier 19, 2026, 9:38

j’ai vu pour les certificats à déposer sur HA c’est avec Let’s Encrypt sur le port 80

ddfdom · Janvier 19, 2026, 9:42

Logiquement que le port 443 sauf si tu as un domaine personnalisé mais si tu utilises le synology.me pas besoin

ddfdom · Janvier 19, 2026, 9:43

Pas tjs si tu veux utiliser let’s encrypt en challenge http tu as besoin du port 80

ddfdom · Janvier 19, 2026, 9:43

Oui mais la c’est le Synology qui porte le certificat ssl

naroan · Janvier 19, 2026, 10:04

Comment ça se passe avec le certificat SSL sur le synology, Faut il le mettre en local sur HA et quand est il des commandes à mettre ou retirer dans config.yaml

ssl_certificate: /ssl/fullchain.pem
ssl_key: /ssl/privkey.pem

ddfdom · Janvier 19, 2026, 10:07

Non rien a faire le certificat est sur le reverse proxy (le Synology) la communication entre le reverse proxy et ha reste en http et en https entre ‹ ‹ internet › › et le Synology donc la partie publique du flux est chiffrée et la partie privée n’est pas chiffrée (pas besoin)

naroan · Janvier 19, 2026, 10:08

donc je retire les 2 lignes pour les certificats locaux sur HA dans config.yaml et je les supprime du répertoire ssl

ddfdom · Janvier 19, 2026, 10:11

Oui plus besoin il faut supprimer les 2 lignes et les 2 fichiers

naroan · Janvier 20, 2026, 6:44

Merci. et j’ai l’impression également qu’il faut que j’active la règle du port 443 sur le pare-feu du synology car je n’ai plus accès en local