Let'sEncrypt / DuckDNS / BBox / Ports TCP

Salut.

Je viens de passer à la fibre avec une BBox, je voulais donc suivre ce tuto :

Mais avant, je voudrais comprendre comment tout cela va marcher.

J’ai déjà le service DuckDNS qui tourne sur la BBox donc je suppose que l’addon dans HA est inutile car DuckDNS connait déjà mon IP externe.

DOnc en fait, je dois plus me baser sur le tuto pour la Freebox Delta :

Qui utilise l’addon Lets Encrypt

Mon raisonnement est bon ?

Et ensuite, ce certificat qui sera installé en local sur ma machine HA, je peux le copier et l’installer sur d’autres machines ? Car le certificat est liè à mon nom de domaine et pas aux machines.

Car je veux également avoir un accès HTTPS à mon Synology.

Là aussi, mon raisonnement est bon ?

Merci pour vos lumières

Salut
Pour commencer, je n’utilise pas DuckDNS

Effectivement, je suis d’accord avec toi.

Non car tu ne pourras pas créer un certificat pour un nom de domaine DuckDNS.

Oui, tu peux copier un certificat, mais il ne sera pas sur HA, et je ne sais pas si tu peux le récupérer de ta box.

Dans l’ensemble, non. Tu devrais utiliser un reverse proxy (connecté à DuckDNS, et non la BBox), pour gérer tout ça :
nginx proxy manager, swag, traefik, etc.
Et idéalement, il ne devrait pas être sur HA (mais ç’est possible).
Regarde ça : Résultats de recherche pour « reverse proxy » - Home Assistant Communauté Francophone

Salut,
Il existe une autre solution en passant par CloudeFlare .
Avec cette solution, pas de ports à ouvrir sur ta box,
Certificats géré directement par CloudeFlare.
Pas besoin d’IP fixe.
Tu peux acheter un NDD chez OVH (pas cher ) ou même faire avec un NDD gratuit (Freenom - Un nom pour chacun)

Voici une vidéo explicative pour la mise en place.

Bizarre car dans le tuto, il y a bien génération d’un certificat avec le NDD DuckDNS

@fredarro : Je vais regarder ton tuto

De ce que je croyais comprendre :

• je génère un certificat LetsEncrypt pour une URL nomdedomaine.duckdns.org (ou autre)
• ce certificat doit être mis à disposition sur les machines devant être accédées en HTTPS
  Par exemple :
  Sur la BBox, je renvoies le port :
• 8123 vers le port 8123 du serveur HA qui aura le certificat importé
• 5001 vers le port 5001 de mon NAS Synology qui aura le certificat importé

C’est pas comme ça que ça marche alors ?

En ouvrant le port 80, effectivement, ça doit être possible, mais déconseillé.
Et le certificat généré est pour un sous-domaine de DuckDNS.

Techniquement, ç’est possible, mais ce n’est pas la meilleure façon car tu ouvres un port et tu dois partager le certificat via un share.
Le tuto de @fredarro ne concerne que HA. Si tu souhaites accéder à plusieurs services depuis l’extérieur, l’idéal est un reverse proxy avec un NDD custom.

Le tuto, ne concerne que HA, ca c’est vrai. Par contre tu peux utiliser CloudFlare comme un reverse proxy pour tous les services que tu héberges chez toi.
Perso, avec CloudFlare, je peux accéder à HA, Guacamole, InfluxDB, un site perso, mon NAS, …

image811×419 25.2 KB

@fredarro : c’est exactement ce que je veux faire, je suppose que ta ligne 7, c’est pour un NAS Synology donc tu accèdes à DSM en HTTPS. Tu as donc généré un certificat dédié pour ton NDD ?
Et tu n’as pas mis d’accès HTTPS pour ton HA ?

Je vais donc me prendre un NDD chez OVH et mettre en place CloudFlare

C’est CloudFlare qui gère tout seul le certificat.

En interne, non. Mais en externe tu as un accès HTTPS avec un certificat

Tu peux essayer avec un NDD gratuit pour voir si ca correspond à ton attente.

Trop tard, le NDD chez OVH est acheté, pour 2,40€ la première année, je ne vais pas me ruiné

Ca veut dire que tu as un service CloudFlare qui tourne sur chaque machine ?
Par exemple pour que CloudFlare sache que l’URL (nas.NDD_CloudFlare.tk) de ton NAS correspond à ton IP locale 192.168.10.223

Non. une seule instance sur ton réseau local.
Chez moi, c’est un container Docker.

C’est encore toi qui fait ta config. Il n’y a pas de découverte automatique!

Donc moi, ça peut être l’addon CloudFlare sur mon serveur Home Assistant ?

Ta capture d’écran, c’est ta console d’administration CloudFlare et c’est l’instance qui tourne sur ton docker qui fait la « standardiste » pour rediriger les requêtes vers les bons serveurs locaux

oui

yes

Attention, si ton tunnel arrive sur l’addon de HA. Quand HA sera OUT, ton tunnel sera OUT.
Si possible mettre en container sur ton NAS ou sur un autre serveur.

Et cette instance CloudFlare, c’est par elle que passe tout le trafic vers l’extérieur ?
Si j’accède à mon NAS depuis mon NDD et que je lance un téléchargement d’un fichier de 3 Go, tout passera par la machine qui supporte CloudFlare? Elle a intérêt à avoir une interface en 1 Gbps !