Acces NAS à distance

[bregman]

Bonjour à tous ! 

 

Alors voilà. Je vous explique mon projet, ce que j'aimerai faire.

Je souhaiterai pouvoir accéder à mon NAS DS216J depuis l'extérieur sous forme de lecteur réseau.

J'aimerai qu'il apparaisse comme un disque dur connecter dans le "Finder" sous Mac OSX ou dans "Ordinateur" sous Windows.

J'ai suivis le tutoriel pour sécurisé le NAS. D'ailleurs je ne comprends pas la configuration du parfeu... (adresses IP, Ports à ouvrir, profil ) Je me re-penche dessus ce soir.

Maintenant j'aimerai configurer l'accès aux fichiers depuis l'extérieur sous forme de lecteur réseau tout en aillant une connexion sécurisé, seulement je ne sais pas quoi utiliser ... J'ai l'impression de tout mélanger.

Dois-je utilisé le FTP, le VPN, le WebDav ? Je suis perdu ... Si quelqu'un pourrais m'aiguillé ça serai super cool.

PS : Je précise que j'ai bien accès aux fichiers en Local sur les PC Windows ainsi que sur mon Mac. 

 

[Invité]

Le pare feu te sert à te protéger en filtrant qui a accès à quoi .
Qd tu actives le parefeu, on ouvre les ports dont on a besoin. Quel intérêt d ouvrir les fenêtres si tu veux juste entrer par la porte ?
L adresse Ip ca réponds à la question Qui ?
Tu veux créer des lecteurs dans ton poste de travail . Sous Windows cest via "connecter un lecteur réseau". Mac je sais pas.
Avant de faire ca, je pense qu'il faut procéder par le vpn. Imagine un tunnel entre ton pc (à l'extérieur) et ton nas. Ce qui transite dedans n'est pas visible en dehors du tunnel.
Il y a aussi un bon tuto vpn, tu devrais y jeter un œil.

https://www.google.fr/amp/s/www.netexplorer.fr/ftp-webdav-differences%3Famp

[bregman]

Merci pour la réponse très utile !

En effet j'ai réussi à avoir un accès depuis l'extérieur en entrant mon adresse IP externe ainsi que le port utilisé

(exemple : 78.111.111.11:1234) par contre j'ai vraiment du mal avec les règles à mettre dans le pare feu DSM.

Je n'ai que 3 règles dans le pare feu (voir pièce jointe), je n'ai pas besoin des applications déjà présentent 

(WebStation, Photo Station, ...). Et la je ne sais même pas si je les ai correctement configurer. J'ai remarqué que

la première règle été indispensable si je voulais avoir accès à l'interface de gestion depuis l'extérieur. 

Est-ce normal ?

 

Pour ce qui est du VPN, dois-je absolument activé les 3 services (PPTP, OpenVPN et L2TP/IPSec) ou puis-je 

activé seulement l'OpenVPN qui me semblerai le plus adapté à ce dont j'ai besoin ?

 

Modifié le 1 mars 2017 par bregman

[Fenrir]

Pour le parefeu, commence par reprendre à l'identique mon premier exemple dans le tuto (celui avec 4 lignes). Puis en t'inspirant du second exemple, ajoute les autorisation dont tu as besoin (attention à l'ordre des règles).

Pour le VPN, active seulement celui que tu utilises, mais tu peux utiliser les 2 à la fois (pptp ça ne compte pas, il ne faut pas l'utiliser).

Et pour ta demande initiale, le plus simple/propre est effectivement de passer par un VPN.

[bregman]

D'accord merci beaucoup pour toute cette aide précieuse !

J'ai encore quelques questions ...

J'ai du mal à savoir à quoi correspond les adresses :

10.0.0.0/255.0.0.0

172.16.0.0/255.240.0.0

Et pour la troisième ligne je suppose que 192.168.0.0 est l'adresse de la box mais 255.255.0.0 je ne sais pas à quoi ça correspond  peut être à l'adresse passerelle ? 

 

Modifié le 2 mars 2017 par bregman

[Invité]

@Fenrir me rattrapera si je dis n importe quoi: ;o)

Les ip commencant pas 10.x.x.x et 172.16.0.0/255.240.0.0 et 192.168.x.x sont des ip dites PRIVEES

Me masque cela permets de definir la "plage" qu on veut definir

10.0.0.0 avec un masque 255.0.0.0 ca veut dire que c'est pour les IP allant de 10.0.0.0 à 10.255.255.255

172.16.0.0 avec un masque 255.240.0.0 ca veut dire que ca represente les IP allant de 172.16.0.0. à 172.31.255.255

192.168.0.0 avec masque 255.255.0.0 ca veut donc dire.... de 192.168.0.0 à 192.168.255.255

on voit parfois des /qqchose... ca veut dire la meme chose.

 

exemple 192.168.0.0/16 c'est la meme chose que 192.168.0.0 /255.255.0.0

 

[bregman]

Merci @Hedy pour ces explications. 

Donc j'ai apporter les modifications au pare feu et commencer à paramétré le VPN (OpenVPN) .

Voilà ce que j'ai de régler dans mon pare feu :

 

Par contre dans mes réglage OpenVPN j'ai ceci :

Et là, j'aurai plusieurs questions (encore une fois ) :

1/ la case "Autoriser aux clients l'accès au serveur LAN" est activer mais si j'ai tout compris je dois la désactiver si je veux que mes clients accèdent uniquement au fichiers présent sur le NAS et non aux imprimantes et autres périphériques connectés à ma box. C'est ça ?

2/ Dans "Chiffrement" j'ai plusieurs options : (DES-CBC ; IDEA-CBC ; RC2-CBC ; AES-128-CBC ; ...) et j'en passe un bon paquet ! Du coup je ne sais absolument pas quoi choisir 

3/Idem dans "Authentification" J'ai pas mal de choix...

Du coup j'ai laisser les paramètres (petit 2 et 3) par défaut, j'ai exporté la configuration et j'obtiens 3 fichiers et non 4 

Et du coup la je bloque sur l'édition du fichier de configuration 

 

Je ne sais pas si je me suis planté sur la configuration jusqu'ici. En tout cas c'est quand même bien compliqué pour un novice 

  PS : Désolé pour le pavé !

Modifié le 2 mars 2017 par bregman

[Fenrir]

1-c'est dans le tuto, en gros si tu actives la fonction, ton NAS fera routeur et un client VPN pourra accéder au reste de ton réseau (imprimante, IoT, ...)

2 et 3-c'est une nouvelle option, laisse par défaut pour le moment (sinon AES-256-CBC / SHA256 est un bon compromis sécurité/compatibilité).

Pour le nombre de fichier ça a aussi changé, seul le fichier .ovpn est nécessaire (le certificat est dedans maintenant)

[bregman]

D'accord @Fenrir 

Donc pour le 1 je le désactive. Je ne veux pas que les clients accèdent au reste du réseau. 

Pour le 2 et 3 : merci beaucoup je viens d'apporté les modifications 

Je fais donc la modification de la config.

Pour  remote YOUR_SERVER_IP 1194  je mets mon IPexterne:1194 ou seulement IPexterne 1194 sans les deux points ?

Et pour  #redirect-gateway def1 j'enlève le # c'est bien ça ?

 

[Fenrir]

remote YOUR_SERVER_IP 1194

=>

remote 1.2.3.4 1194

il y a 2 minutes, bregman a dit :

Et pour  #redirect-gateway def1 j'enlève le # c'est bien ça ?

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

il y a 3 minutes, bregman a dit :

Donc pour le 1 je le désactive. Je ne veux pas que les clients accèdent au reste du réseau.