Skip to content
View in the app

A better way to browse. Learn more.

Unraid

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Ouvrir l'accès à Nextcloud depuis l'extérieur

Featured Replies

Bonjour à tous,

 

Je poste ici car j'essaye de monter un petit cloud autohébergé depuis chez moi pour l'utiliser avec 2 ou 3 potes. J'ai suivis le tuto vidéo de Superboki. Mon instance Nextcloud marche bien en local mais rien à faire, je n'arrive pas à y accéder depuis le net.

 

Voilà les tutos que j'ai suivi :

https://www.youtube.com/watch?v=cmSqDYVUQUE&t=93s

et

https://www.youtube.com/watch?v=HE8VLcnHg40&list=PLM2f-IWlnhs6jBlMEADyjQROQ6QIM8GWv&index=48

 

Je vous donne les éléments de ma config :

versions/repo

Unraid 7.0.1

mariadb 11.4.5-r0-ls179 de linuxserver's Repository

NginxProxyManager 2.13.3 de jlesage/nginx-proxy-manager:latest

Nextcloud 31.0.2 de lscr.io/linuxserver/nextcloud:latest

 

Création d'un share pour nextcloud

Comme le fait superboki dans sa vidéo j'ai créé un share NEXTCLOUD pour mettre les données de nexcloud. J'ai activé l'option "export" et ai mis private en security.

 

 

Création d'un réseau virtuel :

je suis allé dans la console générale de docker et j'ai tapé 

docker network create nom_de_mon_vlan

 

 

Config mariadb :

Comme le fait superboki dans sa vidéo je n'ai changé que :

Network Type: (j'ai mis le vlan créé avant "nom_de_mon_vlan")

J'ai lancé l'installation puis j'ai ouvert une console dans le conteneur mariadb et j'ai fais :

mariadb -uroot -p

et j'ai tapé le mot de passe et j'ai ensuite activé le script de configuration de mariadb mysql_secure_installation

j'ai supprimé les utilisateurs anonymes, autorisé la connexion root uniquement depuis localhost et supprimé la base de données de test

Ensuite j'ai ajouté la BDD pour nextcloud :

CREATE USER 'usr-NC' IDENTIFIED by '*************';
CREATE DATABASE IF NOT EXISTS BDDnextcloud;
GRANT ALL PRIVILEGES ON BDDnextcloud.* TO 'usr-NC' IDENTIFIED BY '*************';

 

Config Nextcloud :

Comme le fait superboki dans sa vidéo je n'ai changé que :

Network Type: (j'ai mis le vlan créé avant "nom_de_mon_vlan")

WebUI: 550

Path: /data:  /mnt/user/NEXTCLOUD/

 

J'ai ai lancé l'installation puis suis allé sur : http://IP_DU_NAS:550 pour configurer l'accès à la base maryadb et tout à l'air de bien fonctionner.

 

Config NginxProxyManager :

Comme le fait superboki dans sa vidéo je n'ai changé que :

Network Type: (j'ai mis le vlan créé avant "nom_de_mon_vlan")

J'ai donc laissé les ports par défaut.

 

je me suis connecté sur l'UI web et j'ai configuré mon compte admin puis j'ai créé la règle proxy host :

Domain Names

mon_nom_de_domaine

Scheme - Forward Hostname / IP - Forward Port
https -  IP_DU_NAS -  550

Cache Assets OFF

Block Common Exploits ON
Websockets Support OFF

Access List Publicly Accessible

 

dans l'onglet SSL j'ai sélectionné : Request a new SSL Certificate with Let's Encrypt

 

Config de ma box :

J'ai une bbox modèle Fast5330b-r1

Version du firmware 23.7.12

 

Je suis allé dans BBOX/Accès à distantce/ j'ai mis sur ON.   <--- ne surtout pas faire ça!

Puis dans BBOX/Redirection de ports et j'ai créé les règles :

NAT & PAT

Protocole - Port externe - Équipement du réseau local - Port interne
tcp - 80 -  IP_DU_NAS - 1880


tcp 443 -  IP_DU_NAS - 18443


tcp 7818 -  IP_DU_NAS - 7818

 

Puis dans le parfeu BBOX/Pare-feu :

IP source - Port source - IP dest. - Port dest. - Protocole - Action - Utilisation
tous -  443 - tous -
443 - tcp - Accepter - 0

tous -  80 - tous - 80 - tcp - Accepter - 0

 

Config du nom de domaine :

J'ai pris un nom de domaine sur gandi.net. Dans mon espace client je suis allé dans "Nom de domaine" dans le menu vertical de gauche puis onglet "enregistrement DNS"

je n'ai changé que cette ligne :

Nom - Type - TTL - Valeur
@ - A - 10800 - IP_Publique_De_Ma_Box

 

Et résultat ...

depuis une connexion 4G je tape  :

http +mon_nom_de_domaine ------> page de connexion de l'interface de ma box.

http +IP_Publique_De_Ma_Box ------> ça mouline dans le vide

https +mon_nom_de_domaine ------> page de connexion de l'interface de ma box.

https +IP_Publique_De_Ma_Box ------> SSL_ERROR_BAD_CERT_DOMAIN et page de connexion de l'interface de ma box si je clique sur visiter quand même.

 

Je vous serais vraiment reconnaissant pour toute aide!

 

 

 

 

 

 

 

 

 

 

 

Edited by brisfan

Solved by waazaa

  • Solution

Salut.
Je dirais de prime abord que d'avoir activé ceci te gêne:
image.png.f5a9eb68dffcdd202876ef0631eb9dd7.png

 

Tu devrais désactiver cela pour essayer. Normalement les redirections de ports que tu indiques avoir faites ensuite suffisent.

Edited by waazaa

  • Author

Punaise c'était ça! Merci de ouf! Ça marche! 😁

Bon maintenant faut que je custom tout ça et que je vois si je peux améliorer la sécurité. Si vous avez des conseils, je prends.

 

Du coup ce topic devient presque un tuto 🙃

Edited by brisfan

Tout d'abord je suis pas expert donc je n'utiliserais certainement pas le bon vocabulaire et m'en excuse par avance. Je t'encourage pour les mêmes raisons à mettre en doute ce que je vais écrire ou du moins confronter cela avec d'autres avis.

 

En terme de sécurité on a tendance à penser "inflitration", "hack" qui en soient ne veut pas dire grand chose mais tout de même le risque serait lié aux tentatives d'accès non autorisées et une fois à l'intérieur les dégâts que cela pourrait faire.

On oublie souvent la gêne que peut engendrer une attaque non intrusive mais plus pernitieuses que sont les attaques DDOS.

Si une attaque groupée est cumulée avec des essais d'intrusion même si elles échouent peuvent dégrader fortement ton expérience sur le net depuis chez toi, faire tout ramer ta connexion.

 

Du coup il est de bon ton de tenter de ne pas rendre disponible tes services sur le net depuis ta propre adresse IP.

Je vais survoler 3 façons pour masquer ton ip publique, si tu veux plus de détails tu le diras. L'idée est donc bien de diffuser une ip qui n'est pas celle de chez toi.

 

Cloudflare

Pour rendre disponible tes services en affichant une autre adresse IP que la tienne il y a beaucoup de monde qui passe par les services de Cloudflare et l'option "proxied" qu'il propose même sur l'offre gratuite. C'est une façon de faire mais qui peut ne pas forcément être généralisé à tout tes services notamment par exemple ton serveur multimédia si tu en as (plex/emby/jellyfin) car cela contrevient aux conditions d'utilisation du service.

 

Pangolin

Personnellement je me suis écarté de cette solution Cloudflare pour cette raison et aussi pour tenter de rester sur des services européens et j'ai opté pour la location d'un VPS et l'utilisation de la solution "reverse proxy" Pangolin (https://github.com/fosrl/pangolin). Associé à Crowdsec tu bénéficie d'une aide précieuse tout en n'affichant que l'ip de ton VPS et pas la tienne pour des services qui tournent pourtant chez toi.


D'un coté donc tu utilises un service tier et d'un autre tu utilises ton propre VPS que tu peux prendre dans une boite européenne si besoin.

Ces 2 possibilités sont là en association avec un nom de domaine (le tien ou gratuit) mais tu peux aussi jouer la carte du réseau privé si tes services ne doivent que te satisfaire toi ou ton foyer et pas forcément être publiquement accessible pour tous les internautes.

 

Réseaux privés

Si toi ou ton foyer êtent les seuls usagers de tes services tu pourrais envisager les réseaux privés.

Wireguard, zerotier ou peut-être encore mieux Tailscale que j'appréice peuvent te permettre de créer un réseau privé virtuel pour ton propre usage empêchant de fait l'accés des autres internautes en dehors de ce-dit réseau.

 

 

Autre détail

La mise en place de Pangolin sur un VPS c'est la première étape pour cette solution, la suivante est de mettre en place l'interconnexion avec une machine chez toi.

Dans ce cas l'utilisation du client Newt sur UnRAID par exemple suffit à mettre en place cette interconnexion et dans ce cas les discussions entre ton Pangolin sur le VPS et ton UnRAID se fait sans que tu ais besoin de rediriger de ports dans ta box.
Les Réseaux privés eux pourraient demander l'ouverture d'un port.

 




Pour te rendre compte peut-être de quelque chose assez simple à faire je te propose d'ouvrir la console de ton UnRAID et d'aller taper dedans cette commande en indiquant un de tes sous domaines:

dig sous-domaine.tond_domaine.tld


Tu auras pour réponse la corrélation IP du sous-domaine demandé.

Si tu y vois ton ip publique que tu trouveras ici: https://ifconfig.io tu comprendras facilement je pense que tout le monde voit la même chose.

Edited by waazaa

  • Author

Je te remercie pour tout ces conseils et explication.

 

Pour le moment je n'envisage qu'une utilisation publique de nextcloud. Les autres services devant être uniquement disponible en local. Si je comprends bien, du coup CloudFlare reste intéressant? Il me sembleque mon ip de connexion internet n'est pas fixe. Je ne sais pas trop comment vérifier ça. Du coup je vais devoir configurer un DynDNS j'imagine. Je ne sais pas du tout faire! Si tu as un bon tuto je prends.

 

Pour le moment je suis sur les alertes de sécurité nextcloud :

 

Il y a quelques erreurs concernant votre configuration.

Aucun serveur haute performance configuré - Utiliser Nextcloud Talk sans serveur haute performance n'est possible que pour les appels limités à quelques personnes (maximum 2-3 participants). Merci de configurer un serveur haute performance pour permettre des appels entre de multiples participants sans ralentissements. Pour plus d’information, voir la documentation ↗.

71 erreurs dans les journaux depuis 27 mars 2025, 21:16:34

Le serveur n'a pas aucune heure de début de fenêtre de maintenance configurée. Cela signifie que les tâches quotidiennes d'arrière-plan, gourmandes en ressources, seront également exécutées pendant votre période d'utilisation principale. Nous vous recommandons de le configurer à un moment de faible utilisation, afin que les utilisateurs soient moins affectés par la charge causée par ces tâches lourdes. Pour plus d’information, voir la documentation ↗.

One or more mimetype migrations are available. Occasionally new mimetypes are added to better handle certain file types. Migrating the mimetypes take a long time on larger instances so this is not done automatically during upgrades. Use the command `occ maintenance:repair --include-expensive` to perform the migrations.

Certains entêtes de votre instance ne sont pas configurés correctement. - L’en-tête HTTP `Strict-Transport-Security` n’est pas définit (devrait être d’au moins `15552000` secondes). Pour une sécurité renforcée, il est recommandé d’activer HSTS. Pour plus d’information, voir la documentation ↗.

Votre installation n’a pas de préfixe de région par défaut. C’est nécessaire pour valider les numéros de téléphone dans les paramètres du profil sans code pays. Pour autoriser les numéros sans code pays, veuillez ajouter "default_phone_region" avec le code ISO 3166-1 respectif de la région dans votre fichier de configuration. Pour plus d’information, voir la documentation ↗.

Vous n’avez pas encore paramétré ou vérifié la configuration de votre serveur mail. Merci de le faire sur la page « Paramètres de base ». Ensuite, utilisez le bouton « Envoyer un e-mail » sous le formulaire pour vérifier vos paramètres. Pour plus d’information, voir la documentation ↗.

 

Alors oui Cloudflare peut dans ton cas peut t'intéresser.
Du coup si tu es sûr d'avoir une ip dynamique tu pourrais utiliser le client DynDNS spécifique Cloudflare du coup.

 

image.png.5f9fe541188b739b73f2a0178d11898d.png

 

Pour les retours sécurité de Nextcloud je t'encourage à suivre les liens d'aide quand présent ou de chercher sur leur site même.

Edited by waazaa

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

Account

Navigation

Search

Search

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.