Mettre les IPs de sortie d'Ogo en IPs de confiance
Si vous possédez des équipements/logiciels de sécurité (notamment chez votre hébergeur), étant donné que votre trafic va désormais sortir par les IPs de sortie d'Ogo, il sera surement nécessaire de mettre en IPs de confiance ("Trusted IPs") nos IPs de sortie.
Vous pouvez trouver ces IPs de confiance ici.
AWS
Il sera nécessaire de créer une règle de groupe de sécurité dans votre VPC avec les IPs de sortie d'Ogo, pour les protocoles HTTP (80) et HTTPS (443).
OVH
Il est préférable de désactiver l'option Firewall :
OVH Web Cloud > Hébergements > monnomdedomaine.fr > Onglet Multisite > Firewall > Désactivé
Enregistrement CAA
Si votre domaine possède un enregistrement CAA, assurez-vous d'autoriser letsencrypt.org dans la valeur du champ.
Garder la visibilité sur l'adresse IP réelle du client (Remote IP)
OGO transmet à votre serveur l'adresse IP réelle d'un client via l'en-tête de requête X-Forwarded-For.
Pour utiliser l'adresse IP réelle du client distant dans les règles, les journaux et les applications de votre serveur, vous pouvez configurer le système de manière à ce qu'il utilise l'en-tête X-Forwarded-For uniquement lorsque la connexion provient d'OGO.
Exemple de configuration pour Apache :
Apache documentation RemoteIP Module
markupRemoteIPTrustedProxy 2001:41d0:203:da00::/56
RemoteIPTrustedProxy 2001:41d0:203:9faf::/64
RemoteIPTrustedProxy 2001:41d0:303:f29c::/64
RemoteIPTrustedProxy 2001:41d0:700:4d60::/64
RemoteIPTrustedProxy 109.232.234.201/32
RemoteIPTrustedProxy 148.253.98.208/32
RemoteIPTrustedProxy 135.125.163.96/32
RemoteIPTrustedProxy 163.172.74.84/32
RemoteIPTrustedProxy 37.59.251.192/29
RemoteIPTrustedProxy 148.253.119.44/32
RemoteIPTrustedProxy 148.253.103.161/32
RemoteIPTrustedProxy 152.228.196.160/28
RemoteIPTrustedProxy 163.172.105.73/32
RemoteIPTrustedProxy 152.228.221.175/32
RemoteIPTrustedProxy 152.228.223.156/32
RemoteIPTrustedProxy 54.36.104.130/32
RemoteIPHeader X-Forwarded-ForNote: The list of RemoteIPTrustedProxy above is not up to date. Please refer to: List of OGO trusted IPs
Exemple de configuration pour Nginx :
Nginx documentation RealIP Module
markupset_real_ip_from 2001:41d0:203:da00::/56;
set_real_ip_from 2001:41d0:203:9faf::/64;
set_real_ip_from 2001:41d0:303:f29c::/64;
set_real_ip_from 2001:41d0:700:4d60::/64;
set_real_ip_from 109.232.234.201/32;
set_real_ip_from 148.253.98.208/32;
set_real_ip_from 135.125.163.96/32;
set_real_ip_from 163.172.74.84/32;
set_real_ip_from 37.59.251.192/29;
set_real_ip_from 148.253.119.44/32;
set_real_ip_from 148.253.103.161/32;
set_real_ip_from 152.228.196.160/28;
set_real_ip_from 163.172.105.73/32;
set_real_ip_from 152.228.221.175/32;
set_real_ip_from 152.228.223.156/32;
set_real_ip_from 54.36.104.130/32;
real_ip_header X-Forwarded-For;Note: The list of set_real_ip_from above is not up to date. Please refer to: List of OGO trusted IPs
TTL
Pensez à passer les TTL des enregistrements à basculer à 1800 secondes afin que la propagation DNS ne soit pas trop longue.