April 3, 20251 yr Bonjour à tous, Je poste ici car j'essaye de monter un petit cloud autohébergé depuis chez moi pour l'utiliser avec 2 ou 3 potes. J'ai suivis le tuto vidéo de Superboki. Mon instance Nextcloud marche bien en local mais rien à faire, je n'arrive pas à y accéder depuis le net. Voilà les tutos que j'ai suivi : https://www.youtube.com/watch?v=cmSqDYVUQUE&t=93s et https://www.youtube.com/watch?v=HE8VLcnHg40&list=PLM2f-IWlnhs6jBlMEADyjQROQ6QIM8GWv&index=48 Je vous donne les éléments de ma config : versions/repo Unraid 7.0.1 mariadb 11.4.5-r0-ls179 de linuxserver's Repository NginxProxyManager 2.13.3 de jlesage/nginx-proxy-manager:latest Nextcloud 31.0.2 de lscr.io/linuxserver/nextcloud:latest Création d'un share pour nextcloud Comme le fait superboki dans sa vidéo j'ai créé un share NEXTCLOUD pour mettre les données de nexcloud. J'ai activé l'option "export" et ai mis private en security. Création d'un réseau virtuel : je suis allé dans la console générale de docker et j'ai tapé docker network create nom_de_mon_vlan Config mariadb : Comme le fait superboki dans sa vidéo je n'ai changé que : Network Type: (j'ai mis le vlan créé avant "nom_de_mon_vlan") J'ai lancé l'installation puis j'ai ouvert une console dans le conteneur mariadb et j'ai fais : mariadb -uroot -p et j'ai tapé le mot de passe et j'ai ensuite activé le script de configuration de mariadb : mysql_secure_installation j'ai supprimé les utilisateurs anonymes, autorisé la connexion root uniquement depuis localhost et supprimé la base de données de test Ensuite j'ai ajouté la BDD pour nextcloud : CREATE USER 'usr-NC' IDENTIFIED by '*************'; CREATE DATABASE IF NOT EXISTS BDDnextcloud; GRANT ALL PRIVILEGES ON BDDnextcloud.* TO 'usr-NC' IDENTIFIED BY '*************'; Config Nextcloud : Comme le fait superboki dans sa vidéo je n'ai changé que : Network Type: (j'ai mis le vlan créé avant "nom_de_mon_vlan") WebUI: 550 Path: /data: /mnt/user/NEXTCLOUD/ J'ai ai lancé l'installation puis suis allé sur : http://IP_DU_NAS:550 pour configurer l'accès à la base maryadb et tout à l'air de bien fonctionner. Config NginxProxyManager : Comme le fait superboki dans sa vidéo je n'ai changé que : Network Type: (j'ai mis le vlan créé avant "nom_de_mon_vlan") J'ai donc laissé les ports par défaut. je me suis connecté sur l'UI web et j'ai configuré mon compte admin puis j'ai créé la règle proxy host : Domain Names mon_nom_de_domaine Scheme - Forward Hostname / IP - Forward Port https - IP_DU_NAS - 550 Cache Assets OFF Block Common Exploits ON Websockets Support OFF Access List Publicly Accessible dans l'onglet SSL j'ai sélectionné : Request a new SSL Certificate with Let's Encrypt Config de ma box : J'ai une bbox modèle Fast5330b-r1 Version du firmware 23.7.12 Je suis allé dans BBOX/Accès à distantce/ j'ai mis sur ON. <--- ne surtout pas faire ça! Puis dans BBOX/Redirection de ports et j'ai créé les règles : NAT & PAT Protocole - Port externe - Équipement du réseau local - Port interne tcp - 80 - IP_DU_NAS - 1880 tcp 443 - IP_DU_NAS - 18443 tcp 7818 - IP_DU_NAS - 7818 Puis dans le parfeu BBOX/Pare-feu : IP source - Port source - IP dest. - Port dest. - Protocole - Action - Utilisation tous - 443 - tous - 443 - tcp - Accepter - 0 tous - 80 - tous - 80 - tcp - Accepter - 0 Config du nom de domaine : J'ai pris un nom de domaine sur gandi.net. Dans mon espace client je suis allé dans "Nom de domaine" dans le menu vertical de gauche puis onglet "enregistrement DNS" je n'ai changé que cette ligne : Nom - Type - TTL - Valeur @ - A - 10800 - IP_Publique_De_Ma_Box Et résultat ... depuis une connexion 4G je tape : http +mon_nom_de_domaine ------> page de connexion de l'interface de ma box. http +IP_Publique_De_Ma_Box ------> ça mouline dans le vide https +mon_nom_de_domaine ------> page de connexion de l'interface de ma box. https +IP_Publique_De_Ma_Box ------> SSL_ERROR_BAD_CERT_DOMAIN et page de connexion de l'interface de ma box si je clique sur visiter quand même. Je vous serais vraiment reconnaissant pour toute aide! Edited April 3, 20251 yr by brisfan
April 3, 20251 yr Solution Salut. Je dirais de prime abord que d'avoir activé ceci te gêne: Tu devrais désactiver cela pour essayer. Normalement les redirections de ports que tu indiques avoir faites ensuite suffisent. Edited April 3, 20251 yr by waazaa
April 3, 20251 yr Author Punaise c'était ça! Merci de ouf! Ça marche! 😁 Bon maintenant faut que je custom tout ça et que je vois si je peux améliorer la sécurité. Si vous avez des conseils, je prends. Du coup ce topic devient presque un tuto 🙃 Edited April 3, 20251 yr by brisfan
April 3, 20251 yr Tout d'abord je suis pas expert donc je n'utiliserais certainement pas le bon vocabulaire et m'en excuse par avance. Je t'encourage pour les mêmes raisons à mettre en doute ce que je vais écrire ou du moins confronter cela avec d'autres avis. En terme de sécurité on a tendance à penser "inflitration", "hack" qui en soient ne veut pas dire grand chose mais tout de même le risque serait lié aux tentatives d'accès non autorisées et une fois à l'intérieur les dégâts que cela pourrait faire. On oublie souvent la gêne que peut engendrer une attaque non intrusive mais plus pernitieuses que sont les attaques DDOS. Si une attaque groupée est cumulée avec des essais d'intrusion même si elles échouent peuvent dégrader fortement ton expérience sur le net depuis chez toi, faire tout ramer ta connexion. Du coup il est de bon ton de tenter de ne pas rendre disponible tes services sur le net depuis ta propre adresse IP. Je vais survoler 3 façons pour masquer ton ip publique, si tu veux plus de détails tu le diras. L'idée est donc bien de diffuser une ip qui n'est pas celle de chez toi. Cloudflare Pour rendre disponible tes services en affichant une autre adresse IP que la tienne il y a beaucoup de monde qui passe par les services de Cloudflare et l'option "proxied" qu'il propose même sur l'offre gratuite. C'est une façon de faire mais qui peut ne pas forcément être généralisé à tout tes services notamment par exemple ton serveur multimédia si tu en as (plex/emby/jellyfin) car cela contrevient aux conditions d'utilisation du service. Pangolin Personnellement je me suis écarté de cette solution Cloudflare pour cette raison et aussi pour tenter de rester sur des services européens et j'ai opté pour la location d'un VPS et l'utilisation de la solution "reverse proxy" Pangolin (https://github.com/fosrl/pangolin). Associé à Crowdsec tu bénéficie d'une aide précieuse tout en n'affichant que l'ip de ton VPS et pas la tienne pour des services qui tournent pourtant chez toi. D'un coté donc tu utilises un service tier et d'un autre tu utilises ton propre VPS que tu peux prendre dans une boite européenne si besoin. Ces 2 possibilités sont là en association avec un nom de domaine (le tien ou gratuit) mais tu peux aussi jouer la carte du réseau privé si tes services ne doivent que te satisfaire toi ou ton foyer et pas forcément être publiquement accessible pour tous les internautes. Réseaux privés Si toi ou ton foyer êtent les seuls usagers de tes services tu pourrais envisager les réseaux privés. Wireguard, zerotier ou peut-être encore mieux Tailscale que j'appréice peuvent te permettre de créer un réseau privé virtuel pour ton propre usage empêchant de fait l'accés des autres internautes en dehors de ce-dit réseau. Autre détail La mise en place de Pangolin sur un VPS c'est la première étape pour cette solution, la suivante est de mettre en place l'interconnexion avec une machine chez toi. Dans ce cas l'utilisation du client Newt sur UnRAID par exemple suffit à mettre en place cette interconnexion et dans ce cas les discussions entre ton Pangolin sur le VPS et ton UnRAID se fait sans que tu ais besoin de rediriger de ports dans ta box. Les Réseaux privés eux pourraient demander l'ouverture d'un port. Pour te rendre compte peut-être de quelque chose assez simple à faire je te propose d'ouvrir la console de ton UnRAID et d'aller taper dedans cette commande en indiquant un de tes sous domaines: dig sous-domaine.tond_domaine.tld Tu auras pour réponse la corrélation IP du sous-domaine demandé. Si tu y vois ton ip publique que tu trouveras ici: https://ifconfig.io tu comprendras facilement je pense que tout le monde voit la même chose. Edited April 3, 20251 yr by waazaa
April 3, 20251 yr Author Je te remercie pour tout ces conseils et explication. Pour le moment je n'envisage qu'une utilisation publique de nextcloud. Les autres services devant être uniquement disponible en local. Si je comprends bien, du coup CloudFlare reste intéressant? Il me sembleque mon ip de connexion internet n'est pas fixe. Je ne sais pas trop comment vérifier ça. Du coup je vais devoir configurer un DynDNS j'imagine. Je ne sais pas du tout faire! Si tu as un bon tuto je prends. Pour le moment je suis sur les alertes de sécurité nextcloud : Il y a quelques erreurs concernant votre configuration. Aucun serveur haute performance configuré - Utiliser Nextcloud Talk sans serveur haute performance n'est possible que pour les appels limités à quelques personnes (maximum 2-3 participants). Merci de configurer un serveur haute performance pour permettre des appels entre de multiples participants sans ralentissements. Pour plus d’information, voir la documentation ↗. 71 erreurs dans les journaux depuis 27 mars 2025, 21:16:34 Le serveur n'a pas aucune heure de début de fenêtre de maintenance configurée. Cela signifie que les tâches quotidiennes d'arrière-plan, gourmandes en ressources, seront également exécutées pendant votre période d'utilisation principale. Nous vous recommandons de le configurer à un moment de faible utilisation, afin que les utilisateurs soient moins affectés par la charge causée par ces tâches lourdes. Pour plus d’information, voir la documentation ↗. One or more mimetype migrations are available. Occasionally new mimetypes are added to better handle certain file types. Migrating the mimetypes take a long time on larger instances so this is not done automatically during upgrades. Use the command `occ maintenance:repair --include-expensive` to perform the migrations. Certains entêtes de votre instance ne sont pas configurés correctement. - L’en-tête HTTP `Strict-Transport-Security` n’est pas définit (devrait être d’au moins `15552000` secondes). Pour une sécurité renforcée, il est recommandé d’activer HSTS. Pour plus d’information, voir la documentation ↗. Votre installation n’a pas de préfixe de région par défaut. C’est nécessaire pour valider les numéros de téléphone dans les paramètres du profil sans code pays. Pour autoriser les numéros sans code pays, veuillez ajouter "default_phone_region" avec le code ISO 3166-1 respectif de la région dans votre fichier de configuration. Pour plus d’information, voir la documentation ↗. Vous n’avez pas encore paramétré ou vérifié la configuration de votre serveur mail. Merci de le faire sur la page « Paramètres de base ». Ensuite, utilisez le bouton « Envoyer un e-mail » sous le formulaire pour vérifier vos paramètres. Pour plus d’information, voir la documentation ↗.
April 3, 20251 yr Alors oui Cloudflare peut dans ton cas peut t'intéresser. Du coup si tu es sûr d'avoir une ip dynamique tu pourrais utiliser le client DynDNS spécifique Cloudflare du coup. Pour les retours sécurité de Nextcloud je t'encourage à suivre les liens d'aide quand présent ou de chercher sur leur site même. Edited April 3, 20251 yr by waazaa
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.