Bonjour a tous,
je viens de passer le capte et me suis acheter un NDD chez OVH
J’ai mon NDD, mais je ne sais pas quoi faire maintenant pour m’en servir.
Ma configuration actuelle est avec duckdns et NGINX Home Assistant SSL proxy, j’utilise Google assistant.
Je suis chez orange avec une livebox 6 et ip dynamique, je vais devoir utiliser dynhost.
je suis un peu perdu avec les termes, nom de domaine, sous nom de domaine, zone DNS.
Comment configurer un accès extérieur avec un NDD OVH et le certifat SSL ?
si vous avez un tuto, vidéo , je suis preneur.
Merci d’avance.
Ma configuration
System Information
version
core-2024.2.1
installation_type
Home Assistant OS
dev
false
hassio
true
docker
true
user
root
virtualenv
false
python_version
3.12.1
os_name
Linux
os_version
6.1.63-haos-raspi
arch
aarch64
timezone
Europe/Paris
config_dir
/config
Home Assistant Community Store
GitHub API
ok
GitHub Content
ok
GitHub Web
ok
GitHub API Calls Remaining
5000
Installed Version
1.34.0
Stage
running
Available Repositories
1426
Downloaded Repositories
89
Home Assistant Cloud
logged_in
false
can_reach_cert_server
ok
can_reach_cloud_auth
ok
can_reach_cloud
ok
Home Assistant Supervisor
host_os
Home Assistant OS 11.5
update_channel
stable
supervisor_version
supervisor-2024.02.0
agent_version
1.6.0
docker_version
24.0.7
disk_total
109.3 GB
disk_used
16.3 GB
healthy
true
supported
true
board
rpi4-64
supervisor_api
ok
version_api
ok
installed_addons
Duck DNS (1.15.0), Samba share (12.3.0), Terminal & SSH (9.9.0), File editor (5.8.0), pigpio (1.5.2), Mosquitto broker (6.4.0), Zigbee2MQTT (1.35.3-1), Home Assistant Google Drive Backup (0.112.1), ESPHome (2023.12.8), AdGuard Home (5.0.3), NGINX Home Assistant SSL proxy (3.8.0), MyElectricalData (0.12.0), openWakeWord (1.8.2), Piper (1.4.0), vosk (1.5.1), porcupine (1.1.0)
Comme indiqué par @domokalu_1, avec le tuto, tu va crées des clés pour OVH. Mais au lieu de configurer nginx proxy manager, tu dois installer et configurer « Let’s encrypt » (et supprimer Duck DNS). La configuration est presque identique. Regarde la doc de Let’s Encrypt:
Bonjour,
je patauge, que doit ton faire après avoir eu son nom de domaine.
C’est quoi la bonne pratique, créer un sous domaine et le dynhost après ?
en test:
j’ai essayer de créer une zone DNS avec un sous domaine home.xxxxxxx.fr type A vers mon ip public.
j’ai fait le dynhost vers le sous domaine home.xxxxxxx.fr vers ip public et j’ai configurer ma livebox.
c’est bon mon sous domaine pointe mon ip public.
mais dans redirection je vois deux fois le même sous domaine vers ip public. Dans le doute j’ai tout supprimer.
Une bonne explication serais apprécier ( avec images ), pour bien faire les choses avant de m’attaquer a let’s encrypt .
Salut @WarC0zes
Je vais te répondre en utilisant mon expérience, liée à un NAS mais ça devrait être applicable à HA.
Soit mon nom de domaine = monndd.ovh
Ma méthode va utiliser un reverse proxy qui permet de n’ouvrir que le port 443 sur la box/routeur. Et ça te permettra d’avoir plusieurs domaines machin1.monndd.ovh , machin2.monndd.ovh etc… pour accéder à diverses ressources.
1/ Le nom de domaine
J’ai créé un dynHost qui pointe sur monndd.ovh.
Ensuite, je crée, depuis la console OVH, une redirection (CNAME) qui fait pointer *.monndd.ovh vers monndd.ovh.
2/ Utilisation d’un reverse proxy qui génère un certificat LE
Ensuite, via la création de clé API, je configure le reverse proxy SWAG (ou juste ACME) avec pour qu’il me génère un certificat let’s encrypt pour *.monndd.ovh.
Configuration d’un « sous-domaine » via le reverse proxy : ha.monndd.ovh qui dirige les requètes arrivant sur ha.monndd.ovh via le port 443 vers l’adresse IP de ton HA sur son port de connexion.
3/ Configuration du réseau
Il faut ensuite rediriger le port 443 uniquement depuis la box/routeur vers HA.
4/ Sécurisation du reverse proxy
Je configure SWAG pour qu’il n’accepte que les IP françaises via un mod maxmind.
Ceci n’est qu’un résumé grossier de ce que j’ai fait.
La mise en place est un peu plus complexe, mais pas insurmontable.
Si tu veux un certificat, tu n’auras pas le choix que de passer par le port 443, sur tout autre port ça ne fonctionnera pas.
L’avantage d’OVH c’est qu’il est possible d’utiliser leur API pour créer un certificat via validation DNS, donc pas besoin de laisser ouvert les ports 80 et 443 au monde entier. Car la création d’un certificat LE via une méthode HTTP doit utiliser les port 80 et 443 sur des adresses IP diverses par le monde.
edit : les points 2 et 4 demanderont le plus de travail
ca craint pas de mettre le dynhost sur tout le domaine , au lieu d’un sous domaine seulement ?
Si je créer un dynhost et que je laisse le champ domain vide avec juste .monndd.fr et mon ip public, ca ne veut pas créer le dynhost ( alors que dans la doc il dise de laisser vide si je veut pour le ndd complet ).
Si je met exemple, home.monndd.fr , le dynhost ce créer. Mais home.monndd.fr n’est pas un sous domaine que j’ai créer.
Perso, je recommande cloudflared. Cela permet de ne pas ouvrir à tout vent ton réseau, car l’accès à ton réseau ne pourra se faire que via une connexion cryptée et sécurisée via ce proxy. Tu crées un compte cloudflared, installe sur HA l’integration cloudflared, la configure et basta…
Tu peux ensuite rajouter zerotier et ou une M2A (double authentification) pour être au top.
Ton dyndns tu le mets que sur l’hôte requis
Si tu as des sous domaines complémentaires ensuite tu peux leur donner cet hôte en référence depuis la console OVH.
Je suis les vidéos de GuiPom, un youtubeur qui publie du contenu de qualité,
Voici le lien de sa première vidéo sur SWAG, de souvenirs il me semble qu’il y en a sept en tout,
Si tu sèches sur un point, n’hésite pas à me solliciter,
J’ai cette solution chez moi, adaptée à mes besoins bien entendu,
L’ensemble tourne à la perfection avec une couche authelia pour sécuriser l’ensemble,
@WarC0zes
Tu as un NAS Synology ? Si oui, quel modèle ?
Et tu as mis HA dessus ? VM ? Docker ? (ce qui devrait répondre en partie à la précédente question ^^)
Si tu veux continuer à utiliser ton ndd ovh c’est possible mais il te faudra genrer un certificat Let’s Encrypt depuis l’onglet dédié dsl mais faut ouvrir le port 80 et 443.
Et le certificat ne sera pas wildcard .
Mais ça fonctionne , j’ai utilisé ça pendant pas mal d’années.
Vu que ton HA est ailleurs que sur le Syno, ce dernier peut gérer à la perfection tout ce que j’ai dit : le nom de domaine (Syno ou non), et le reverse proxy.
Non, aucun soucis.
Le dynhost sert seulement à indiquer quel est l’adresse IP d’un domaine ou sous-domaine.
De mémoire, tu n’as pas besoin de faire quoique ce soit dans ta zone DNS. Le dynhost s’en charge.