Impossible d'accéder à mon HA sur NAS Synology Virtual Machine Manager

Bonjour
Je n’ai plus accès à mon interface homeassistant.
J’ai suspecté le certificat (l’appli mobile me le suggère) mais je ne sais pas comment le remettre
Le nom de domaine freeboxos est bon (la freeebox est accessible via le net en utilisant le nom)
La console HA est vivante
image
Est-ce que vous auriez des pistes ?

J’ai pu y accéder en local, sans le https
reste à trouver comment résoudre le problème.
Renouveler le certificat via let’s encrypt ?
EDIT: certificat renouvelé

Mais connexion impossible depuis https
image

Salut
Après avoir renouveler le certificat, as-tu redémarrer HA?

1 « J'aime »

Pfff… quel nul ! Merci Giga77 !!!

Tuto pour les nuls:

  • si vous avez trop attendu et que le certificat n’est plus valide, vous ne pouvez plus vous connecter en https
  • vous devez alors :
  1. Accéder au site HA en local: http://@IP:8123 (si vous n’avez pas changé le port)
  2. Réactiver le port 80 sur votre box (poru ma part, dans le gestion des ports de la freebox, ce port est désactivé la plupart du temps
  3. Accéder au module compéletaire Let’s encrypt et le démarrer. Il mettra à jour le certificat.
  4. relancer HA

Et pourquoi ne pas laisser le port 80 ouvert, et avoir une automatisation pour relancer let’s encrypt ?

C’est conseillé du point de vue sécurité, non ?

Bof… A partir du moment où tu as un port ouvert (celui du https) en avoir un autre en plus ce n’est pas différent. Le protocole ne change pas l’éventuelle faille de sécurité.
Personnellement je suis plus sensible au fait que le NAS te sert à la fois à ha et à ton stockage. Si jamais la machine est compromise, alors l’accès à toutes les données est potentiellement plus facile.
Si la machine n’hebergeait que ha, seules les données ha le seraient

1 « J'aime »

C’est pas faux :slight_smile: Mais si ton réseau est compromis, tout ce qui est dessus l’est. Donc HA à part ou sur le NAS, c’est mort :slight_smile:
Bon, je vais ouvrir le port 80 :slight_smile:

Oui le réseau local c’est un souci et un pont vers autre chose. Mais il y a une petite différence quand même : L’accès aux données locales c’est presque « facile ». L’objectif des attaques est de devenir root (ou d’avoir assez de droits pour), donc par définition root à accès à tout.
Pour y avoir accès à travers le réseau, puisque le root d’une machine n’a accès à rien « à l’exterieur », il faut profiter d’un partage pourri ou compromettre une machine de plus (avec un accès ssh ouvert par ex) …
Dans tous les cas, la situation est pénible, on est d’accord

oui, c’est le risque.
Mais le cloisonnement entre le DSM et la VM est quand même pas trop mal fait.
Je vais essaye d’attaquer mon DSM depuis la VM, on verra si j’y arrive :slight_smile:

Bon, j’ai regardé,
Depuis le terminal de HA, on est en local sur le réseau => on peut accéder à toutes les machines en ssh , si elles répondent.
Une solution serait de se mettre en dmz . Mais quid des IoT …

Mettre HA en DMZ ??? :skull_and_crossbones:
HA n’aurait accès à plus rien. ç’est comme si tu le mettait en dehors de chez toi.

Oui, mais ssh non sécurisé ?

Si tu ne veux pas ouvrir le port 80, il y a 2 solutions payantes : Nabu Casa ou nom de domaine.
Et 1 non payante : Cloudflare Zero Trust pour se connecter à HA

Si je mets une DMZ ce serait pour séparer deux réseaux, HA + IoT d’un côté, NAS + PCs de l’autre.
Mais ce ne serait pas pratique, of course.
Je suis déjà en nom de domaine.
Je vais continuer à protéger le port 80 et me faire un réveil pour l’activer lorsque let’s encrypt m’avertit que le certificat ne sera bientôt plus valide :slight_smile:

Dans la configuration de Let’s encrypt utilise « Challenge : dns ». Et configure en conséquence.

Tu n’auras pas besoin d’ouvrir ton port 80.

Je suis chez free.
Pour utliser le challenge dns, qu’est ce que je dois mettre ?

Free ?
Il ne fournit pas de nom de domaine.
MaFreebox.free.fr, c’est un sous domaine.
Je parle de quelque chose comme mondomaine.com.

si, le domaine fournit par free est freeboxos.fr

Oui, mais tu as un sous-domaine, pas un domaine.

j’avoue ne pas comprendre la subtilité.
mon ndd xxxx.freeboxos.fr est bien résolu par les dns.