NDD OVH , quoi faire apès?

WarC0zes · Février 26, 2024, 3:11

Mon problème

Bonjour a tous,
je viens de passer le capte et me suis acheter un NDD chez OVH
J’ai mon NDD, mais je ne sais pas quoi faire maintenant pour m’en servir.

Ma configuration actuelle est avec duckdns et NGINX Home Assistant SSL proxy, j’utilise Google assistant.
Je suis chez orange avec une livebox 6 et ip dynamique, je vais devoir utiliser dynhost.

je suis un peu perdu avec les termes, nom de domaine, sous nom de domaine, zone DNS.
Comment configurer un accès extérieur avec un NDD OVH et le certifat SSL ?
si vous avez un tuto, vidéo , je suis preneur.

Merci d’avance.

Ma configuration

System Information

version	core-2024.2.1
installation_type	Home Assistant OS
dev	false
hassio	true
docker	true
user	root
virtualenv	false
python_version	3.12.1
os_name	Linux
os_version	6.1.63-haos-raspi
arch	aarch64
timezone	Europe/Paris
config_dir	/config

Home Assistant Community Store

GitHub API	ok
GitHub Content	ok
GitHub Web	ok
GitHub API Calls Remaining	5000
Installed Version	1.34.0
Stage	running
Available Repositories	1426
Downloaded Repositories	89

Home Assistant Cloud

logged_in	false
can_reach_cert_server	ok
can_reach_cloud_auth	ok
can_reach_cloud	ok

Home Assistant Supervisor

host_os	Home Assistant OS 11.5
update_channel	stable
supervisor_version	supervisor-2024.02.0
agent_version	1.6.0
docker_version	24.0.7
disk_total	109.3 GB
disk_used	16.3 GB
healthy	true
supported	true
board	rpi4-64
supervisor_api	ok
version_api	ok
installed_addons	Duck DNS (1.15.0), Samba share (12.3.0), Terminal & SSH (9.9.0), File editor (5.8.0), pigpio (1.5.2), Mosquitto broker (6.4.0), Zigbee2MQTT (1.35.3-1), Home Assistant Google Drive Backup (0.112.1), ESPHome (2023.12.8), AdGuard Home (5.0.3), NGINX Home Assistant SSL proxy (3.8.0), MyElectricalData (0.12.0), openWakeWord (1.8.2), Piper (1.4.0), vosk (1.5.1), porcupine (1.1.0)

Dashboards

dashboards	3
resources	63
views	30
mode	storage

Recorder

oldest_recorder_run	25 février 2024 à 13:48
current_recorder_run	26 février 2024 à 11:36
estimated_db_size	239.41 MiB
database_engine	sqlite
database_version	3.44.2

Spotify

api_endpoint_reachable	ok

Xiaomi Gateway 3

version	3.3.6 (6a494ae)

Xiaomi Miot Auto

component_version	0.7.15
can_reach_server	ok
can_reach_spec	ok
logged_accounts	0
total_devices	0

domokalu_1 · Février 26, 2024, 3:19

Hello,

Avec ça j’ai réussi : https://forum.hacf.fr/t/certificats-wildcard-lets-encrypt-avec-nginx-proxy-manager-sur-domaine-chez-ovh/5341/17

https://domopi.eu/configurer-un-certificat-lets-encrypt-wildcard-avec-npm/

Ca fonctionne sans aucun pb. J’ai juste NPM dans un container LXC au lieu de HA, mais ca ne doit rien changer

WarC0zes · Février 26, 2024, 3:21

Ok, je vais aller lire tout ca. merci

Giga77 · Février 26, 2024, 4:54

Salut

Pour ton IP dynamique, tu peux utiliser le dynhost de OVH : GitHub - GuilleGF/hassio-ovh: OVH DynHost Updater Component for https://www.home-assistant.io/

Comme indiqué par @domokalu_1, avec le tuto, tu va crées des clés pour OVH. Mais au lieu de configurer nginx proxy manager, tu dois installer et configurer « Let’s encrypt » (et supprimer Duck DNS). La configuration est presque identique. Regarde la doc de Let’s Encrypt:

Le dernier point, tu dois rediriger un port de la livebox vers le port 8123 de HA.

WarC0zes · Février 26, 2024, 4:57

Directement de la livebox 6 ca reviens au même ?

Giga77 · Février 26, 2024, 4:58

Si la livebox est capable de modifier le dynhost de OVH, ça revient au même.

WarC0zes · Février 27, 2024, 4:00

Bonjour,
je patauge, que doit ton faire après avoir eu son nom de domaine.
C’est quoi la bonne pratique, créer un sous domaine et le dynhost après ?

en test:
j’ai essayer de créer une zone DNS avec un sous domaine home.xxxxxxx.fr type A vers mon ip public.
j’ai fait le dynhost vers le sous domaine home.xxxxxxx.fr vers ip public et j’ai configurer ma livebox.
c’est bon mon sous domaine pointe mon ip public.
mais dans redirection je vois deux fois le même sous domaine vers ip public. Dans le doute j’ai tout supprimer.

Une bonne explication serais apprécier ( avec images ), pour bien faire les choses avant de m’attaquer a let’s encrypt .

MilesTEG1 · Février 27, 2024, 7:50

Salut @WarC0zes
Je vais te répondre en utilisant mon expérience, liée à un NAS mais ça devrait être applicable à HA.

Soit mon nom de domaine = monndd.ovh

Ma méthode va utiliser un reverse proxy qui permet de n’ouvrir que le port 443 sur la box/routeur. Et ça te permettra d’avoir plusieurs domaines machin1.monndd.ovh , machin2.monndd.ovh etc… pour accéder à diverses ressources.

1/ Le nom de domaine
J’ai créé un dynHost qui pointe sur monndd.ovh.
Ensuite, je crée, depuis la console OVH, une redirection (CNAME) qui fait pointer *.monndd.ovh vers monndd.ovh.

2/ Utilisation d’un reverse proxy qui génère un certificat LE
Ensuite, via la création de clé API, je configure le reverse proxy SWAG (ou juste ACME) avec pour qu’il me génère un certificat let’s encrypt pour *.monndd.ovh.
Configuration d’un « sous-domaine » via le reverse proxy : ha.monndd.ovh qui dirige les requètes arrivant sur ha.monndd.ovh via le port 443 vers l’adresse IP de ton HA sur son port de connexion.

3/ Configuration du réseau
Il faut ensuite rediriger le port 443 uniquement depuis la box/routeur vers HA.

4/ Sécurisation du reverse proxy
Je configure SWAG pour qu’il n’accepte que les IP françaises via un mod maxmind.

Ceci n’est qu’un résumé grossier de ce que j’ai fait.
La mise en place est un peu plus complexe, mais pas insurmontable.

Si tu veux un certificat, tu n’auras pas le choix que de passer par le port 443, sur tout autre port ça ne fonctionnera pas.
L’avantage d’OVH c’est qu’il est possible d’utiliser leur API pour créer un certificat via validation DNS, donc pas besoin de laisser ouvert les ports 80 et 443 au monde entier. Car la création d’un certificat LE via une méthode HTTP doit utiliser les port 80 et 443 sur des adresses IP diverses par le monde.

edit : les points 2 et 4 demanderont le plus de travail

WarC0zes · Février 27, 2024, 8:55

ca craint pas de mettre le dynhost sur tout le domaine , au lieu d’un sous domaine seulement ?

Si je créer un dynhost et que je laisse le champ domain vide avec juste .monndd.fr et mon ip public, ca ne veut pas créer le dynhost ( alors que dans la doc il dise de laisser vide si je veut pour le ndd complet ).
Si je met exemple, home.monndd.fr , le dynhost ce créer. Mais home.monndd.fr n’est pas un sous domaine que j’ai créer.

Argonaute · Février 27, 2024, 9:28

Perso, je recommande cloudflared. Cela permet de ne pas ouvrir à tout vent ton réseau, car l’accès à ton réseau ne pourra se faire que via une connexion cryptée et sécurisée via ce proxy. Tu crées un compte cloudflared, installe sur HA l’integration cloudflared, la configure et basta…
Tu peux ensuite rajouter zerotier et ou une M2A (double authentification) pour être au top.

cob94440 · Février 27, 2024, 10:09

Tu peux le faire facilement avec ton nas Synology aussi

cob94440 · Février 27, 2024, 10:11

Ton dyndns tu le mets que sur l’hôte requis
Si tu as des sous domaines complémentaires ensuite tu peux leur donner cet hôte en référence depuis la console OVH.

Thomas_Mary · Février 27, 2024, 11:09

Salut,

Je suis les vidéos de GuiPom, un youtubeur qui publie du contenu de qualité,
Voici le lien de sa première vidéo sur SWAG, de souvenirs il me semble qu’il y en a sept en tout,

Si tu sèches sur un point, n’hésite pas à me solliciter,
J’ai cette solution chez moi, adaptée à mes besoins bien entendu,
L’ensemble tourne à la perfection avec une couche authelia pour sécuriser l’ensemble,

Au plaisir, bonne journée,
Tom,

MilesTEG1 · Février 27, 2024, 1:20

@WarC0zes
Tu as un NAS Synology ? Si oui, quel modèle ?
Et tu as mis HA dessus ? VM ? Docker ? (ce qui devrait répondre en partie à la précédente question ^^)

cob94440 · Février 27, 2024, 3:06

Même sans ha dessus il peut faire du dyndns avec.
Et d’après les cartes qu’il a partagé il a un Synology.

MilesTEG1 · Février 27, 2024, 3:52

Ha oui !
Et bien ça change la donne ce sera plus facile

@WarC0zes
Tu as envisagé l’utilisation du nom de domaine Synology ?
Gratuit pour un possesseur de Syno et facile à utiliser avec le reverse proxy de DSM.
Et un certificat wildcard vient avec et pas besoin de gérer
J’ai fait un tuto ici à ce sujet : Synology - [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS | Forum des NAS : Synology, Qnap, Asustor...

Si tu veux continuer à utiliser ton ndd ovh c’est possible mais il te faudra genrer un certificat Let’s Encrypt depuis l’onglet dédié dsl mais faut ouvrir le port 80 et 443.
Et le certificat ne sera pas wildcard .

Mais ça fonctionne , j’ai utilisé ça pendant pas mal d’années.

WarC0zes · Février 27, 2024, 6:01

Oui, j’ai un syno DS214+ ( il commence a avoir de l’age ). Je n’est pas HA dessus, il est sur un RPI4.

Pas spécialement vu que j’ai acheter un NDD OVH. J’ai peur que le syno , soit trop limite.

MilesTEG1 · Février 27, 2024, 6:14

C’est-à-dire « trop limite » ?

Vu que ton HA est ailleurs que sur le Syno, ce dernier peut gérer à la perfection tout ce que j’ai dit : le nom de domaine (Syno ou non), et le reverse proxy.

WarC0zes · Février 27, 2024, 6:28

c’est un dual core 1.2Ghz et 1Go de RAM. Mais j’irais lire ton tuto pour m’instruire.

Giga77 · Février 27, 2024, 8:49

Non, aucun soucis.
Le dynhost sert seulement à indiquer quel est l’adresse IP d’un domaine ou sous-domaine.
De mémoire, tu n’as pas besoin de faire quoique ce soit dans ta zone DNS. Le dynhost s’en charge.