Synology Débloquer le pare-feu pour le renouvellement du certificat SSL
- Auteur du sujet cricribibi
- Date de début
#!/usr/bin/env bash
/usr/syno/bin/synofirewall --profile-set LetsEncrypt
/usr/syno/bin/synofirewall --reload
/usr/syno/sbin/syno-letsencrypt renew-all -v
/usr/syno/bin/synofirewall --profile-set Default
/usr/syno/bin/synofirewall --reload
les commande de changement de profil du firewall fonctionne mais pas la commande de renouvellement
Quelle est la sortie donnée (le résultat de
/usr/syno/sbin/syno-letsencrypt renew-all -v) ?Petite astuce : termine tes commandes avec
&& cela permet d'arrêter le script si l'une d'elle produit une erreur et l'affiche.DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/HFuiPz/cert.pem]
DEBUG: cert is not expired. [/usr/syno/etc/certificate/_archive/HFuiPz]
si quelqu'un peu essayer d'executer cette commande dans une task pour vous si le pb n'est que chez moi!
@DMAX @cooper
Pourriez-vous utiliser la balise de code pour les scripts, commandes shell, et les log s'il vous plait ?
Ça facilite la lecture de ce genre de chose...
Pourriez-vous utiliser la balise de code pour les scripts, commandes shell, et les log s'il vous plait ?
Ça facilite la lecture de ce genre de chose...
Bash:
#!/usr/bin/env bash
/usr/syno/bin/synofirewall --profile-set LetsEncrypt
/usr/syno/bin/synofirewall --reload
/usr/syno/sbin/syno-letsencrypt renew-all -v
/usr/syno/bin/synofirewall --profile-set Default
/usr/syno/bin/synofirewall --reload
Code:
DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/HFuiPz/cert.pem]
DEBUG: cert is not expired. [/usr/syno/etc/certificate/_archive/HFuiPz]bon je pense avoir trouvé mon bonheur avec un script un peu plus élaboré trouvé ici:
https://community.synology.com/enu/forum/1/post/129750
https://community.synology.com/enu/forum/1/post/129750
L'erreur est assez explicite non ? Je vais le réécrire : le renouvellement ne s'est pas effectué CAR ton ou tes certificats ne sont pas EXPIRÉS.
C'est le fonctionnement normal de
certbot (l'outil de Let's Encrypt et que Synology a nommé syno-letsencrypt).Les commandes données dans ce post marchent correctement sur mes Syno depuis plusieurs années mais ça ne t'aideras pas tant que tu n'as pas compris ce que j'ai indiqué ci-dessus
Message automatiquement fusionné :
Les contrôles faits par ce script sont déjà effectués par les versions récentes de
syno-letsencrypt mais si tu souhaites refaire la roue fonces.
Dernière édition:
OK cependant en interactif et par le script cela fonctionne meme si le certificat n'est pas EXPIRÉ
Mon but est bien de le renouveler avant qu'il expire
Donc je dois faire tourner le script tous les jours et il ne marchera que le jour ou le certificat sera expiré. Ca ne parait pas optimal, de plus entre le moment ou le certif expire et le moment ou le script tourne je n'ai pas de certificat valides. Mon idée et plutot de le faire tourner tous les 2 mois et ainsi m'assurer d'avoir un certif toujours à jour.Les commandes données dans ce post marchent correctement sur mes Syno depuis plusieurs années mais ça ne t'aideras pas tant que tu n'as pas compris ce que j'ai indiqué ci-dessus
Je cherche juste à obtenir ce que je désire...tu dis que c'est la meme chose mais l'un fonctionne et pas l'autre. Désolé si je n'ai pas les compétences pour en déterminer la cause...c'est bien pour cela que je demande de l'aide ici.
Dernière édition:
Que Synology ait choisi un fonctionnement différent suivant le tty peu importe; seule la finalité l'est à savoir que le ou les certificats soient renouvelés à temps.
Raison pour laquelle je te suggérais de planifier une tâche non pas tous les x mois mais hebdomadaire pour être certain que le ou les renouvellements se fassent
Forcer un renouvellement (sans récovation préalable) peut conduire à une interdiction d'utilisation des services de Let's Encrypt pour rappel.
Il(s) le sera/seront si tant est que la vérification se fasse chaque semaine pour en être certain (cf. ci-dessus).
Je comprend bien mais tu t'évertues à ne pas lire l'aide apportée.
bonjour
je suis intéressé et avec votre aide souhaite mettre ce renouvellement auto de mon certificat LE sur chacun de mes NAS.
Etant donné que j’y connais rien au script, je préfère demander ; j’ai lu tout le post, et est-ce que ce qui suit est bon ?
1/ mon profil «habituel» se nomme RP, le voici en PJ, c'est celui que j'ai "nettoyé" avec l'aide du forum et qui me sert pour le Reverse Proxy.
2/ j’ai créé un nouveau profil dans le pare-feu que j’ai nommé RENOUVCERTIF. Le voici en pièce jointe, est-il ok ? J'ai bien compris que je ne le sélectionne pas à la mano, puisque je vais demander au script de le faire pour moi au moment du certificat.
3/ dans le planificateur de tâches,
3a/ je créé une nouvelle tâche que je nomme comme je veux et que j’attribue au root.
3b/ dans l’onglet «programmer» : suis pas sûr d’avoir compris : je mets quoi comme date, sachant que mon certificat expire le 15/09/23 ?
3c/ dans l’onglet «paramètres», je copie-colle ce script en mettant les bons noms de profils de parefeu, ce qui donne
/usr/syno/bin/synofirewall --profile-set RENOUVCERTIF && synofirewall --reload
/usr/syno/sbin/syno-letsencrypt renew-all
/usr/syno/bin/synofirewall --profile-set <RP> && synofirewall --reload
faut-il que je laisse les < et > à la dernière ligne ?
le fait que j'ai écrit en majuscules le nom du profil est-ce important ? Je l'ai écrit comme ça dans l'onglet du parefeu.
désolé pour toutes ces questions...
merci !
je suis intéressé et avec votre aide souhaite mettre ce renouvellement auto de mon certificat LE sur chacun de mes NAS.
Etant donné que j’y connais rien au script, je préfère demander ; j’ai lu tout le post, et est-ce que ce qui suit est bon ?
1/ mon profil «habituel» se nomme RP, le voici en PJ, c'est celui que j'ai "nettoyé" avec l'aide du forum
et qui me sert pour le Reverse Proxy.2/ j’ai créé un nouveau profil dans le pare-feu que j’ai nommé RENOUVCERTIF. Le voici en pièce jointe, est-il ok ? J'ai bien compris que je ne le sélectionne pas à la mano, puisque je vais demander au script de le faire pour moi au moment du certificat.
3/ dans le planificateur de tâches,
3a/ je créé une nouvelle tâche que je nomme comme je veux et que j’attribue au root.
3b/ dans l’onglet «programmer» : suis pas sûr d’avoir compris : je mets quoi comme date, sachant que mon certificat expire le 15/09/23 ?
3c/ dans l’onglet «paramètres», je copie-colle ce script en mettant les bons noms de profils de parefeu, ce qui donne
/usr/syno/bin/synofirewall --profile-set RENOUVCERTIF && synofirewall --reload
/usr/syno/sbin/syno-letsencrypt renew-all
/usr/syno/bin/synofirewall --profile-set <RP> && synofirewall --reload
faut-il que je laisse les < et > à la dernière ligne ?
le fait que j'ai écrit en majuscules le nom du profil est-ce important ? Je l'ai écrit comme ça dans l'onglet du parefeu.
désolé pour toutes ces questions...
merci !
tu as quoi comme ip dans ton réseau ?
a priori, tu as déjà orange ----> 192.168.1.1
172.16.0.0 ----> c'est quoi ?
10.0.0.0 ----> c'est le serveur vpn ?
a priori, tu as déjà orange ----> 192.168.1.1
172.16.0.0 ----> c'est quoi ?
10.0.0.0 ----> c'est le serveur vpn ?
Ce sont les réseaux Docker.
@balthazar Pourquoi chercher à provoquer toi-même le renouvellement du certificat ? Il se fera tout seul, pas besoin d'action de ta part.
@bliz 10.0.0.0 c'est pour le VPN que je vais installer, j'ai laissé la règle que j'avais avant de nettoyer ce pare-feu grâce à vous tous car je suis paresseux comme un lézard j'aurai qu'à la cocher quand j'aurais mis en place le vpn
@MilesTEG1 ah je sais pas, j'avais lu y'a longtemps qu'il fallait ouvrir des ports pour le renouvellement du certificat. Plus besoin ?
@MilesTEG1 ah je sais pas, j'avais lu y'a longtemps qu'il fallait ouvrir des ports pour le renouvellement du certificat. Plus besoin ?
Bah si tu utilises le certificat pour le domaine synology , non pas besoin d'ouvrir les ports. Pour un domaine autre, là il le faut.@bliz 10.0.0.0 c'est pour le VPN que je vais installer, j'ai laissé la règle que j'avais avant de nettoyer ce pare-feu grâce à vous tous car je suis paresseux comme un lézard j'aurai qu'à la cocher quand j'aurais mis en place le vpn
@MilesTEG1 ah je sais pas, j'avais lu y'a longtemps qu'il fallait ouvrir des ports pour le renouvellement du certificat. Plus besoin ?
C'est le masque de sous réseau :
Et ça ne me parait pas déconnant...
voici le mien
ensuite, pour le réseau docker : 172.16.0.0/255.255.255.0
la ligne 80 et 443 à suprimer (elle est déjà dans webstation)
la ligne webstation ----> tous le monde, pas que France
de 192.168.1.1 à 192.168.1.255 c'est la même chose que 192.168.1.0/255.255.255.0
de 10.2.0.0 à 10.2.0.255 c'est la même chose que 10.2.0.0/255.255.255.0
de 10.8.0.1 à 10.8.0.255 c'est la même chose que 10.8.0.0/255.255.255.0
Et comme le dit @MilesTEG1 , avec webstation dans le parefeu ouvert à tous, pas besoin de script
"C'est le masque de sous réseau :" oui, ok je le savais, mais alors l'ip
172.20.0.0, elle correspond à quoi, car cette ip est aussi intégré à ce masque
ensuite, pour le réseau docker : 172.16.0.0/255.255.255.0
la ligne 80 et 443 à suprimer (elle est déjà dans webstation)
la ligne webstation ----> tous le monde, pas que France
de 192.168.1.1 à 192.168.1.255 c'est la même chose que 192.168.1.0/255.255.255.0
de 10.2.0.0 à 10.2.0.255 c'est la même chose que 10.2.0.0/255.255.255.0
de 10.8.0.1 à 10.8.0.255 c'est la même chose que 10.8.0.0/255.255.255.0
Et comme le dit @MilesTEG1 , avec webstation dans le parefeu ouvert à tous, pas besoin de script
Message automatiquement fusionné :
"C'est le masque de sous réseau :" oui, ok je le savais, mais alors l'ip
172.20.0.0, elle correspond à quoi, car cette ip est aussi intégré à ce masque
@MilesTEG1 oui c'est un domaine en synology.me. Ok donc je jette mon pare-feu spécial renouvellement et j'oublie le script, ouf
@bliz dans mon pare-feu "normal", celui qui s'appelle RP, j'ai mis webstation car dans la liste des applis c'est là que j'ai trouvé le port 443. C'est pour le Reverse Proxy. Je n'interrogerai jamais le NAS depuis l'étranger donc pourquoi ne pas laisser France ? C'est pour permettre le renouvellement de certificat et éviter le script ?
@bliz dans mon pare-feu "normal", celui qui s'appelle RP, j'ai mis webstation car dans la liste des applis c'est là que j'ai trouvé le port 443. C'est pour le Reverse Proxy. Je n'interrogerai jamais le NAS depuis l'étranger donc pourquoi ne pas laisser France ? C'est pour permettre le renouvellement de certificat et éviter le script ?
ok, comme le dit @MilesTEG1 , pas besoin pour synology.me, donc tu peux laisser France, moi, je n'ai pas pris synology, donc ....