Connection HTTPS en echec avec NAS SYNOLOGY et VM HAOS

Niko · Juin 22, 2024, 8:54

Bonjour à tous.

Je débute sur HOME ASSISTANT, je souhaite accéder à ma VM home assitant de puis l’extérieur en HTTPS.
J’ai suivi plusieurs tutos mais je bloque sur la sécurisation de ma liaison.
Pouvez vous me conseiller sur la recherche de la source du problème.

Description de mon installation:
VM Homeassistant (HAOS) sur NAS Synology DS718+ avec REVERSE PROXY
Je voudrai utiliser la certification ‹ Synology › pour ne pas avoir à gérer le renouvellement des certificats.
Mon installation réseau est géré par mon routeur ASUS (Gestion des IP) tandis que ma Livebox sert simplement de passerelle (+ redirection des ports).

Voici un état sur la config de mon installation:

Reverse Proxy Synology paramétré pour ma VM.
Certificat Synology paramétré pour ma VM.
Reroutage des ports HTTP et HTTPS de ma livebox.
port 443 ouvert - info de Server Port Test / WhatsMyIP.org.
port 80 fermé - info de Server Port Test / WhatsMyIP.org.

Constat:

Connection HTTPS en echec en locale sous windows11 avec FIREFOX et EDGE.
Connection HTTPS en echec à distance sous windows11 avec FIREFOX et EDGE et Android Navigateur ??.
Accès en HTTP depuis l’extérieur fonctionnel.

Conclusion:
Ma configuration est fonctionnelle en HTTP, je suppose que cela me valide ma config de mon REVERSE PROXY, du reroutage des ports de ma livebox.
J’arrive à me connecter à mes cameras en HTTPS via l’application Synology DSCAM, je suppose que les certificats Synology sont ok.
Est ce mon routeur ASUS est mal paramétré ?

Je n’ai pas voulu joindre des copies d’écrans inutiles pour ne pas surcharger le post.
N’hésitez pas à me les demander.
Comme ma configuration ne fonctionne pas, j’ai surement mal paramétré quelque chose…

Ma configuration

System Information

version	core-2024.6.2
installation_type	Home Assistant OS
dev	false
hassio	true
docker	true
user	root
virtualenv	false
python_version	3.12.2
os_name	Linux
os_version	6.6.29-haos
arch	x86_64
timezone	Europe/Paris
config_dir	/config

Home Assistant Cloud

logged_in	false
can_reach_cert_server	ok
can_reach_cloud_auth	ok
can_reach_cloud	ok

Home Assistant Supervisor

host_os	Home Assistant OS 12.3
update_channel	stable
supervisor_version	supervisor-2024.06.0
agent_version	1.6.0
docker_version	25.0.5
disk_total	30.8 GB
disk_used	3.2 GB
healthy	true
supported	true
host_connectivity	true
supervisor_connectivity	true
ntp_synchronized	true
virtualization	kvm
board	ova
supervisor_api	ok
version_api	ok
installed_addons	File editor (5.8.0)

Dashboards

dashboards	2
resources	0
views	0
mode	storage

Recorder

oldest_recorder_run	15 juin 2024 à 06:17
current_recorder_run	15 juin 2024 à 08:17
estimated_db_size	3.61 MiB
database_engine	sqlite
database_version	3.44.2

___

vincen · Juin 22, 2024, 9:09

Salut

Déja un point à éclaircir: comment fonctionne ton réseau avec 2 routeurs empilés ? Ta Livebox fait forcément routeur et ton Asus est en mode routeur aussi ? si c’est le cas c’est assez catastrophique comme configuration réseau car tu fais du double NAT (cela pénalise le débit et le bon fonctiomment de ton réseau !).
Pourquoi ne pas utiliser le DHCP de la Livebox ? En plus cela veut dire que ton réseau est fractionné entre les appareils directement derriène la Livebox et ceux derrière le routeur Asus

vincèn

Cloom · Juin 22, 2024, 10:27

Hello,

Chez moi j’ai ça:

Internet → Modem en mode bridge → Routeur Unifi Cloud Gateway → Synology Reverse Proxy → VM sur un NUC avec Proxmox

Quelle adresse tu saisies à l’extérieur? Si ton domaine c’est chezmoi.xyz est-ce que tu tapes https://chezmoi.xyz ? https://ha.chezmoi.xyz ?
Ton certificat supporte-t-il les sous domaines? Si ton nom de domaine est chezmoi.xyz, est-ce que tu as créé un certificat avec les sous domaines comme ha.chezmoi.xyz, nas.chezmoi.xyz etc? Une piste: Synology : publier une application Web avec le Reverse Proxy
Est-ce que tu rediriges ta configuration reverse proxy vers http://ipdetavm:8123 ou https://ipdetavem? Je redifige vers http://ipdetavm:8123 car à partir de là je considère mon réseau local sûr.

Je n’ai pas mis les copies d’écran de ma config car je sais pas facilement flouter mon nom de domain. Si qqun connait un outil facile pour faire ça je peux mettre ce que j’ai chez moi plus en détail.

Niko · Juin 22, 2024, 11:14

Bonjour Vincen

Merci pour ton aide.
Mon réseau est constitué de mon routeur ASUS avec comme ‹ entrée › ma livebox.
Je veux que mon routeur ASUS soit le maitre de mon réseau comme cela en cas de changement de FAI je n’aurai pas besoin de reparamétrer tout mon réseau (plan d’adressage + wifi).
Je te joins le plan de mon installation.

vincen · Juin 22, 2024, 11:34

Gimp et un coup de gomme grossière sur ce que tu dois masquer

Merci pour le plan et donc ça va, tu as pas fait de double nat tu as vu les questions de @Cloom ?

Niko · Juin 22, 2024, 11:36

Bonjour Cloom

Merci à toi aussi pour ton message.
1- J’utilise le domaine de chez synology, donc c’est du type chezmoi.synology.me donc mon je tape http://chezmoi.synology.me:8123 et cela fonctionne mais pas httpS://chezmoi.synology.me:443

2- J’ai paramétré mon certificat pour chezmoi.synology.me

3- Je redirige chezmoi.synology.me:8123 vers l’IP de ma VM:8123

Je te joins mes copie d’écran. Que j’ai flouté avec paint

Giga77 · Juin 22, 2024, 11:43

Salut

Pour faire des captures d’écran, et les flouter : Capturer votre écran en images et vidéos avec Screenpresso
Pour faire des diagrammes : https://app.diagrams.net/

[hors sujet]
@Niko A quoi te sert la liaison fibre optique sur ton switch 10/100 M ?
[/hors sujet]

Cloom · Juin 22, 2024, 11:44

Hello,

https c’est 443 par défaut donc t’es pas obligé de l’indiquer.

Dans ta configuration de reverse proxy, ta destination doit etre en HTTP et non pas en HTTPS:

Si tu mets ça ça veut dire que https://192.168.1.203:8123 fonctionne chez toi.

Cloom · Juin 22, 2024, 11:50

Je suis sous Linux. J’ai trouvé https://edit.photo/ mais je sais pas s’ils gardent des informations (les screenshots).

Niko · Juin 22, 2024, 2:24

Sans mettre 443, ça ne change rien.

Cette adresse IP en HTTPS ne fonctionne pas quelque soit la config du REVERSE PROXY

Sous linux, j’utilisais GIMP qui fait des copies d’écran.

Niko · Juin 22, 2024, 2:27

Ma liaison en Fibre optique à mon switch 10/100 me permet de relier à mon réseau mes appareils qui sont à + de 120m de la maison. La liaison cuivre ne dépasse pas 100m.

Giga77 · Juin 22, 2024, 2:32

Avec ip local, dans ton navigateur, tu ne dois pas utiliser https, mais http://192.168.1.203:8123.

Tu dois utiliser https avec https://chezmoi.synology.me:8123

Niko · Juin 22, 2024, 3:07

Avec http://192.168.1.203:8123 en local, je ne suis pas sécurisé mais je peux me connecter.

Giga77 · Juin 22, 2024, 3:44

La connexion entre ton HA et Synology est en HTTP car le web server de ton HA n’a pas de certificat.

Ton reverse proxy va juste encrypter ta connexion depuis l’extérieur.

Qu’insinues-tu ? Connais-tu la différence entre http et https ?

Niko · Juin 22, 2024, 4:18

Je dis que je ne suis pas sécurisé car le cadenas est barré et rouge.
Pour moi, le HTTPS permet de crypter les infos qui transitent. En local je n’en vois pas l’intérêt.
Je ne suis pas ultra calé dans le monde du réseau, j’ai demandé conseil pour faire mon installation.

Giga77 · Juin 22, 2024, 4:23

Exact.

Arrives-tu à te connecter via l’url de Snology ?

Niko · Juin 22, 2024, 4:51

Oui j’arrive à me connecter bien en local et à distance :
http://chezmoi.synology.me:8123/

Giga77 · Juin 22, 2024, 5:02

Arrives-tu à te connecter en https ?

ddfdom · Juin 22, 2024, 10:33

salut,
alors pas idéal mais tout a fait fonctionnel je fais même de la voip chez des clients avec du double NAT sans aucun soucis

ddfdom · Juin 22, 2024, 10:36

sous linux flameshot et sous windows greenshot, ils sont très pe rformant pour faire des captures et après les flouter ajouter des resctangles ou des flèches