Tout Sur L'acc

[koblar]

Et bien voilà, après avoir parcouru pendant quelques temps le forum, visité des sites, lu des tas d'explications, je me décide à initier cette discussion sur l'accès à nos chers NAS depuis l'extérieur (en dehors du réseau local).

Je souhaiterais compiler les explications intéressantes pour en faire une sorte de macro tuto par la suite histoire de tordre le cou à ce sujet qui fait couler tant d'encre.

Pour lancer les discussions, j'ai quelques questions et remarques en vrac qui déclencheront surement des réponses mêmes critiques ):

Merci par avance à tous les futurs contributeurs.

1. Faut-il utiliser le service DDNS synology ou un autre connu du modem/router (dans mon cas: livebox2) ex: DynDNS, NO-IP, ... ?
2. Etant donné que la Livebox 2 est non reconnue par EZ Internet, les réglages pour un accès externe doivent être fait manuellement ?
3. Pour pouvoir accèder à son NAS depuis l'extérieur de son LAN (depuis Internet) il faut avoir une adresse IP fixe (sur son LAN).
4. Il y a le pare-feu de la box, celui du NAS et celui du(des) pc(s): faut-il paramétrer chacun d'entre eux pour laisser passer les infos sur les ports souhaités ?
5. Je constate que chacun y va de sa propre méthode pour mettre au point l'accés au NAS depuis l'extérieur (depuis Internet en particulier) y'a t'il une solution meilleure que les autres ou tout dépend de l'utilisation que l'on souhaite avoir ?
6. Accès au NAS depuis l'extérieur, depuis un smartphone / depuis Internet: quel différences (au niveau réglages)?

[Thierry94]

Bonjour,

Voilà ce que je pense :

1 : les 2 fonctionnent parfaitement et je n'ai pas d'avis sur une préférence

2 : à mon avis oui (mais je n'ai pas de livebox) mais dans tous les cas il vaut mieux comprendre ce qui est fait sur la box donc ma préférence va pour le manuel

3 : c'est préférable pour que les autres appareils du réseau trouvent le NAS. Pour moi le mieux est de la fixer par la BOX et laisser le NAS en DHCP

4 : Chacun des FW a un rôle, celui de la box pour l'entrée sur le LAN, celui du NAS pour l'entrée sur le NAS et celui du PC pour l'entrée dans le PC

5 : Désactiver le compte admin, des mots de passe forts, n'ouvrir que les ports strictement nécessaire, activer le blocage IP, faire du routage NAT en changeant de port (sécurité très relative)

6 : Aucune différence car le smartphone se connecte à Internet pour aller sur le NAS

A+

Thierry

Modifié le 18 avril 2014 par Thierry94

[domlas]

Bonsoir

Question 1 : pour l'accès depuis l'extérieur soit on dispose d'une IP publique fixe (chez Free, OVH...) auquel cas les services dyndns, no-ip, dtdns, synology.me sont inutiles.

Soit on est dans l'autre cas et on dispose d'une IP publique dynamique qui change périodiquement. Dans ce ca sil faut passer par un des services DDNS

Pour commencer "l'ancêtre" dyndns.org est devenu payant donc devenu sans intérêt. NO-IP.com est (encore ?) gratuit et est reconnu sur pas mal de box dont la livebox2. Il y a aussi de très courant (entre autres sur les livebox play) le service dtdns.com gratuit et qui fonctionne très bien.

Ensuite il y a synology.me gratuit lui aussi mais reconnu que sur le syno.

Avantages et inconvénients, hormis la gratuité. Les deux premiers fonctionnent directement sur la box. l'avantage est que l'accès depuis le net reste fonctionnel même syno arrêté. Utile dans certains cas de travail à distance par exemple.

Par contre synology.me s'installe sur le syno facilement et marche très bien aussi mais ce dernier doit rester actif.

Ca c'est pour pouvoir arriver sur ta box depuis le reste du monde.

Point 2 : d'abord et avant tout éviter EZinternet. Il semble que ça crée plus de problèmes qu'il n'en résout. Beaucoup de box françaises ne sont pas reconnues; Donc préférence aux réglages manuels.

Point 3 : l'IP privée du syno. Moi je recommande de laisser le syno en DHCP automatique et de lui réserver une IP pour lui tout seul dans le routeur de la box. C,'est le mieux et le plus sûr. C'est le seul cas où le conflit d'adresses est impossible. Ne jamais oublier qu'après modifications des adressages il faut redémarrer les appareils concernés pour que les nouveaux paramètres deviennent effectifs.

Point 4 : Comme le dit Thierry chaque Parefeu a son propre usage, sa propre raison d'exister. Néanmoins celui de la box est obligatoire. En principe c'est par la box que rentrent les données venant de l'extérieur. C'est son parefeu qui va permettre de laisser entrer les données acceptables et de bloquer celles qui sont inutiles dans les usages que l'on envisage. Les parefeux dy syno et des ordis ont beaucoup moins d'intérêt du moins pour un particulier. Dans les grosses installations ils sont tout de même utilisés pour filtrer une partie du trafic intérieur et ne pas laisser transiter des données d'un certain type vers des usagers qui ne doivent pas y avoir accès. Dans nos cas ces parefeux secondaires sont à désactiver la plupart du temps.

Point 5 : même réponse que Thierry que je nuancerais quand même. le danger pouvant venir par internet est fortement augmenter quand on traine trop sur certains types de sites "peu recommandables". Il est beaucoup plus risqué de ramasser des cochonneries sur du torrent par exemple, que sur l'échange de fichiers avec sa petite mémé. Il y a aussi des manières de faire, du bon sens à avoir et toujours réfléchir avant de foncer tête baissée sur le clic "mortel". A noter que le syno a une fonction assez précieuse qui consiste à noter et bloquer l'IP de quelqu'un qui a effectuer par exemple 5 tentatives de connexions ratées en moins de 10mn. Ce n'est pas imparable mais ça sauve beaucoup de choses.

Point 6 Non un smartphone se connecte exactement pareil qu'un ordi courant. Seul l'affichage pourrait poser des problèmes. mais ça dépend surtout de ce que l'on cherche à afficher. C'est l'un des soucis des créateurs de sites internet de faire attention à ce que les données s'affichent bien aussi sur un smartphone. Et même entre un iPhone et un Androïd...

[koblar]

Et bien ça commence plutôt bien, il y a des choses très intéressantes dans les réponses de Thierry94 et domlas:

Question 1 : pour l'accès depuis l'extérieur soit on dispose d'une IP publique fixe (chez Free, OVH...) auquel cas les services dyndns, no-ip, dtdns, synology.me sont inutiles.

Soit on est dans l'autre cas et on dispose d'une IP publique dynamique qui change périodiquement. Dans ce ca sil faut passer par un des services DDNS

Pour commencer "l'ancêtre" dyndns.org est devenu payant donc devenu sans intérêt. NO-IP.com est (encore ?) gratuit et est reconnu sur pas mal de box dont la livebox2. Il y a aussi de très courant (entre autres sur les livebox play) le service dtdns.com gratuit et qui fonctionne très bien.

Ensuite il y a synology.me gratuit lui aussi mais reconnu que sur le syno.

Avantages et inconvénients, hormis la gratuité. Les deux premiers fonctionnent directement sur la box. l'avantage est que l'accès depuis le net reste fonctionnel même syno arrêté. Utile dans certains cas de travail à distance par exemple.

Par contre synology.me s'installe sur le syno facilement et marche très bien aussi mais ce dernier doit rester actif.

En plus d'être complète cette réponse apporte un élément nouveau (en gras dans la citation) à propos du DDNS. Je pense que je vais rapidement opter pour le service NO-IP ou dtdns.

Point 2 : d'abord et avant tout éviter EZinternet. Il semble que ça crée plus de problèmes qu'il n'en résout. Beaucoup de box françaises ne sont pas reconnues; Donc préférence aux réglages manuels.

A force de parcourir le forum, je pense pouvoir dire qu'il y a un consensus sur ce point ! En espérant que dans les prochaines évolutions de DSM ce point sera corrigé.

Point 3 : l'IP privée du syno. Moi je recommande de laisser le syno en DHCP automatique et de lui réserver une IP pour lui tout seul dans le routeur de la box. C,'est le mieux et le plus sûr. C'est le seul cas où le conflit d'adresses est impossible. Ne jamais oublier qu'après modifications des adressages il faut redémarrer les appareils concernés pour que les nouveaux paramètres deviennent effectifs.

Conseil important (en espérant qu'il soit partagé par le plus grand nombre). Mais comment attribuer une adresse fixe dans la box ?

4 : Chacun des FW a un rôle, celui de la box pour l'entrée sur le LAN, celui du NAS pour l'entrée sur le NAS et celui du PC pour l'entrée dans le PC

Point 4 : Comme le dit Thierry chaque Parefeu a son propre usage, sa propre raison d'exister. Néanmoins celui de la box est obligatoire. En principe c'est par la box que rentrent les données venant de l'extérieur. C'est son parefeu qui va permettre de laisser entrer les données acceptables et de bloquer celles qui sont inutiles dans les usages que l'on envisage. Les parefeux dy syno et des ordis ont beaucoup moins d'intérêt du moins pour un particulier. Dans les grosses installations ils sont tout de même utilisés pour filtrer une partie du trafic intérieur et ne pas laisser transiter des données d'un certain type vers des usagers qui ne doivent pas y avoir accès. Dans nos cas ces parefeux secondaires sont à désactiver la plupart du temps.

Faut-il comprendre que les pare-feux installés sur les PC sont inutiles ? (à condition que celui de la box soit correctement paramétré)

5 : Désactiver le compte admin, des mots de passe forts, n'ouvrir que les ports strictement nécessaire, activer le blocage IP, faire du routage NAT en changeant de port (sécurité très relative)

Désolé Thierry, mais là je ne te suis plus ! La question était plutôt: Je pense avoir constaté que plusieurs méthodes sont possibles pour paramétrer un accès à son NAS depuis l'extérieur. J'ai lu des choses à propos de transfert de ports, de DMZ, de NAT/PAT, ... mais y'a t'il une solution meilleure que les autres ?

Le point 6 est à clarifier un petit peu: Le paramétrage d'un accès au NAS depuis un smatphone (Android ou autre) se limite t'il à ouvrir les ports adéquats ou y'a t'il d'autres réglages nécessaires ?

Modifié le 19 avril 2014 par koblar

[Thierry94]

5:

Transfert de port, NAT/PAT ou ce que j'appellai routage NAT c'est la même chose ... cela consiste à ouvrir un port sur la box qui n'est pas le port d'entrée sur le NAS et mettre une règle pour orienter le flux entrant vers le bon port du NAS.

Exemple pour faire du SSH avec le NAS : ouvrir le port 32001 (c'est un exemple) sur la box et le router vers le port 22 du NAS.

Vue d'Internet le port d'entrée pour faire du SSH avec le NAS est donc le port 32001 ce qui rend la tâche de découverte par les robots plus difficile.

Mais comme je l'ai dit la sécurité de cette action est relative car elle ne fait que déplacer la "porte d'entrée"

Pour la DMZ cela consiste à mettre le NAS avant le FW de la BOX donc directement accessible d'Internet ce qui pour moi est un très risque à moins de ne rien avoir d'important sur le NAS. Cela est généralement mis en oeuvre pour isoler un appareil que l'on veut accessible isoler du reste du LAN (car il y a le FW entre les 2)

Modifié le 19 avril 2014 par Thierry94

[koblar]

Merci pour les précisions Thierry94. J'intègre doucement toutes ces informations et ça commence à être plus clair.

[koblar]

Bon et bien c'est un peu plus clair dans mon esprit mais c'est pas encore gagné. En effet, j'ai beau m'acharner à essayer différents paramètres, toujours pas moyens d'accéder à mon serveur depuis Internet !

A tous les spécialistes: y'a t'il un ordre logique (le contraire me surprendrais) dans les étapes pour paramétrer un accès depuis l'extérieur ?

Le parefeu en premier ? (celui de la box, celui du serveur, celui du pc ???), les translations de ports ensuite , ... ?