WebDav impossible - IPexterne DDNS / Adresse synology.me inaccessibles

[Momozeel]

Bonsoir à tous,

A l'aide des nombreux posts de cette section j'ai tenté de mettre en place un accès à mon NAS par WebDav via NetDrive pour mon père.

J'ai suivi toute la procédure indiquée ici: https://www.synology.com/en-global/knowledgebase/tutorials/610

Malheureusement et bien que l'accès DDNS de Syno ait bien été configuré (j'ai une adresse ip externe et une adresse xxx.synology.me). Il m'est impossible d'y accéder. En fait, lorsque je renseigne http://ipexterne:5005 ou xxxx.synology.me , aussi bien dans mon navigateur que dans NetDrive, impossible de s'y connecter.

J'ai donc redirigé le port 5005 (je précise que j'ai un modem/routeur netgear de base qui attrape mon cable, plugué sur un routeur netgear R7000 et que j'ai redirigé le port 5000 vers l'ip locale du R7000, puis redirigé le port 5000 depuis le R7000 sur l'adresse locale du Syno qui y est rattaché. Mais rien n'y fait et je ne parviens pas à accéder au NAS par ce biais.

Je serai vraiment reconnaissant si quelqu'un pouvait m'aider car c'est principalement dans ce but (partage facile des fichiers avec mon père) que j'ai fait l'acquisition du NAS.

Merci d'avance

P.S : Je précise que je n'ai pas de Firewall activé sur le NAS et que le http me suffit (du moins cela me semble plus simple à réaliser). J'aimerai opter pour Webdav (plutot que Quickconnect qui, certes est bien plus simple), mais j'ai besoin d'un accès en mode disque réseau sur l'explorateur windows pour mon père.

Modifié le 4 juin 2015 par Momozeel

[Fenrir]

Vérifie que tu redirige bien les bons ports.

Si tu redirige le port 5000 du routeur vers le port 5000 du syno, accède tu à l'interface depuis l’extérieur de ton réseau ?

Si oui, fais la même chose avec le port du webdav.

Si non, il va falloir creuser un peu la conf de ton routeur

Modifié le 4 juin 2015 par Fenrir
mal lu la question

[Momozeel]

Dans ce cas le problème est peut-être que je m'y prends mal pour rediriger les ports (j'avoue que c'est une première pour moi).

J'ai donc 2 routeurs Netgear. Un Routeur standard auquel est branché le cable numéricable (l'arrivée internet) et un Routeur plus performant, branché sur le premier et auquel sont raccordés tous mes appareils.

Pour le premier j'ai fait ceci :

Transfert de port : Port de début : 5000 / Port de fin : 5005 / Protocoles : Les deux / Adresse IP Locale : 192.168.0.10 (adresse locale du 2ème Routeur performant).

Pour le routeur R7000 "performant" :

Dans "Ouverture de port / Déclenchement de port (interface différente)" :

Port de début externe : 5000 / Port fin externe : 5005 / Port de début interne : 5000 / Port de fin interne : 5005 / Adresse IP interne : 192.168.1.3 (Adresse du Syno branché à ce routeur).

Quelque chose vous parait louche ? Voici les screenshots correspondants. Merci pour votre aide 

 

[michel27]

Le port début et fin sont identiques

port début : 5000 et port fin 5000 et ip local du serveur 100.100.0.0

webdav

port début : 5005 et port fin 5005 et ip local du serveur 100.100.0.0

etc...

Ps : il n'est pas nécessaire d'utiliser netdrive ou webdrive. windows peut le faire. 

j'utilisai également ces deux applications mais désormais ce n'est plus nécessaire.

En cliquant avec le bouton droit de la souris sur poste de travail et connecté un lecteur réseau ...cliquer sur ouvrir une session de stockage en ligne ou se connecter à un serveur réseau.

saisir : \\nom de domaine du serveur\dossier partagé

puis valider. Si tout va bien un code et mot de passe seront demandés.

Si cela ne fonctionne pas il reste encore d'autres possibilités 

1 reprendre la meme procedure et saisir http://www.nomde domaine:5005/dossier partagé (puis demande identification)

Si cela ne fonctionnait pas : j'ai trouvé sur ce forum un tuto qui explique ce qui doit etre fait dans la base de registre. (webclient) de windows.

 

[michel27]

voila l'adresse du site sur lequel est expliqué comment parametré le webclient qui lui doit etre activé.

 

http://www.brizawen.com/?p=324

[Fenrir]

Si je comprends bien, tu cascades 2 routeurs-nat ?

Sauf besoin très spécifique, tu devrais configurer le R7000 en routeur "simple" (sans nat), ton réseau serait plus performant et tu n’aurais pas besoin de cascader les nat (ce qui est très mal et pose bcp de pb), il faut juste configurer une route sur le 1er routeur (192.168.1.0/24 via 192.168.0.10) ou du rip sur les 2

Mais ce n'est qu'une recommandation, ça devrait pouvoir fonctionner avec tes 2 nat.

1. configure un forward sur le port 5000 (rien que lui) sur les 2 routeurs
2. branche ton pc entre les 2 routeurs (sur une interface du 1er routeur)
3. test l'accès au nas : http://192.168.0.10:5000

• =>Si ça ne marche pas, le second routeur est probablement mal configuré
• =>Si ça marche, test depuis Internet
  • =>Si ça ne marche pas, c'est le premier routeur qui est mal configuré
  • =>Si ça marche, tu peux ajouter une nouvelle règle avec le port du webdav et refaire les tests

 

[Momozeel]

Merci beaucoup Michel pour tous ces compléments, 

L'ennui c'est que je ne parviens toujours pas à accéder au NAS via l'ip DDNS fournie par Syno. J'ai modifié sur les routeurs et j'ai mis 5005 et 5005 en port de début et de fin, mais rien n'y fait, l'adresse (soit en IP soit en synology.me) reste inaccessible. Je pense que je dois mal m'y prendre pour rediriger le port avec cette histoire de 2 routers...Quelqu'un aurait il une idée ?

[Momozeel]

OK Fenrir je viens de voir ton post. Je test et te fais un retour. Merci beaucoup pour ton aide.

Pour l'histoire de nat je t'avoue que je n'en ai aucune idée. Je me suis acheté le R7000 surtout pour bénéficier du 5ghz, et de meilleur taux en Wifi et aussi le partage d'un disque USb (avant de faire l'achat du NAS). Je n'ai fait que relier par ethernet le R7000 au routeur standard. Aucune configuration spéciale de ma part.

Je fais tes tests.

[Fenrir]

1. oubli le quickconnect, le synology.me et le DDNS, utilise ton IP publique
2. fais tes tests depuis l’extérieur de ton réseau (3G/ami/parent/travail...)
3. précise toujours le port : http://ton.adresse.ip.publique:5000

Quand ça marchera avec ton IP, tu pourras ajouter la problématique dns, pas avant

[Momozeel]

Alors, j'ai fait ce que tu m'as dis en commençant par le port 5000. Bonne nouvelle, l'accès fonctionne à la fois en local 192.168.0.10:5000, sur les deux réseaux, et depuis l'ip externe ip...:5000.

J'imagine que ca devrait fonctionner maintenant. Mais si je met ipexterne:5005 dans le navigateur, je n'arrive à rien, est ce normal ? Estce uniquement réservé au protocol Webdav ?

[Fenrir]

Sur chaque routeur, créer une nouvelle règle avec le port 5005 et refais les mêmes tests

Le but de la manœuvre est de faire les choses étape par étape

Si ça ne marche pas, vérifie que tu peux accéder au syno sur le port 5005 en local

ps : attention à ne pas laisser ton syno accessible depuis Internet si tes mots de passe ne sont pas suffisamment fort, active aussi l'anti brute force

[Momozeel]

Tout fonctionne bien à présent en utilisant NetDrive. Merci à tous pour votre aide !

[Fenrir]

de rien

veille bien à sécuriser les accès à ton nas maintenant qu'il est accessible depuis internet

[Sp@r0]

Tu es typiquement dans le cas (en fait l'un des rares) ou l'activation de la DMZ du premier routeur sur le deuxième a un intérêt du coup plus aucune règle à configurer sur le premier tu définit les règles uniquement sur le deuxième (mais du coup il doit être dûment configurer car il est directement exposé à internet !!!)

[Momozeel]

Des conseils particuliers pour ce faire Fenrir ? J'ai peur que le passage en https ne fasse tout fouarrer...!

[Fenrir]

Rien ne t’empêche d'activer le HTTPS, tu n'es pas obliger de le forcer, il faut juste ouvrir des ports supplémentaires.

Pour la sécurisation :

1. tous les comptes doivent avoir un vrai (complexe et long) mot de passe
2. active le firewall du synology
3. active l'anti brute force et le ddos
4. chiffre les communications qui peuvent l'être

Le serveur VPN du synology permet d'avoir un bon niveau de sécurisation sans trop se prendre la tête (personnellement c'est comme ça que j'accède à la plupart des services de mon syno)

[Momozeel]

Ok je jetterai un coup d'oeil. Dis moi cela n'a rien à voir, mais sais tu pourquoi je ne parviens pas à générer des "Journaux système" dans le Centre d'assistance ? Je te renvoie vers mon autre poste du soir. Encore merci pour tes conseils : 

http://www.nas-forum.com/forum/topic/47729-impossible-daccéder-aux-journaux-système/

 

[Aizen]

 

Le serveur VPN du synology permet d'avoir un bon niveau de sécurisation sans trop se prendre la tête (personnellement c'est comme ça que j'accède à la plupart des services de mon syno)

​Tu es sur ???

[Fenrir]

​Tu es sur ???

​de ?

[Aizen]

​de ?

Que ça permet d'avoir une bonne sécurisation ??? ?

et qu'il est facile à mette en place ???

[Fenrir]

Que ça permet d'avoir une bonne sécurisation ??? ?

En IPsec, au moins autant que du https avec login+password

et qu'il est facile à mette en place ???

​Du coté syno, ça prend 2  minutes et sur les périphériques (android, linux, ...) c'est pareil

La contrainte, c'est que si c'est pour rendre accessible des services à plusieurs personnes (un site web par exemple), ce n'est pas adapté, mais si c'est pour 2/3 personnes, c'est nickel

[Aizen]

En IPsec, au moins autant que du https avec login+password

Ha!!!, donc VPN est autant sécurisé que Webdav https ?!!!!

J'avais mal compris et je croyais que c’était plus sécurisé ; )

Après d’après ce que tu me dis VPN me tente comme il n'y a pas beaucoup de personne qui s'y connecte

 

@Momozeel : Désolé de m'incruster dans ton sujet, mais j'ai trouvé très intéressant ces histoires de webdav et vpn ; )

​

Modifié le 10 juin 2015 par Aizen

[Fenrir]

Quand je dis "au moins autant", c'est pour indiquer qu'on peut faire du mauvais IPsec (clef partagée courte, authentification PAP et chiffrement faible) et du très bon https (pfs, hsts, courbe elliptique, ...).

Dans une configuration standard, un vpn ipsec apporte plus de sécurité que de l'https, mais aussi plus de contraintes (il faut configurer la connexion vpn sur chacun des clients, alors qu'en https, il suffit de donner le lien).

Si tu veux plus de détails, je te recommande de chercher sur le forum, il y a de quoi faire

[Aizen]

ok, merci, je vais  voir ça !!!