CharlyB

Ben je suis plutôt d'accord ouais, je vois pas l'intérêt pour la Freebox de réclamer certaines sécurités de ce côté là. En tout cas tout ça est bon à savoir. Merci bien :)

Ca doit bien avoir quelquechose à voir avec le port qu'on veut utiliser non ? Enfin avec le type d'accès (sécurisé ou non) qu'on demande dans la partie "Destination" du reverse proxy. Effectivement ils veulent qu'on y accède par mafreebox.freebox.fr. Si on définit le reverse proxy vers la Freebox sur le port 80, on a ce message. D'où la solution de l'en-tête personnalisé du coup. Si on définit le reverse proxy vers la Freebox sur le port 443, ça fonctionne direct, sans en-tête personalisé. Cela voudrait dire que la Freebox n'autorise pas d'accès http sans passer par mafreebox.freebox.fr, mais nous laisse faire si on l'attaque en https ? Cela aurait une certaine logique. Ok, je comprends, mais j'ai pas besoin de ça. La question etait plus du côté du port "Destination" utilisé par le reverse proxy pour attaquer la Freebox (et le comportement de celle-ci), pas quel port je veux utiliser moi depuis l'extérieur. 443/https me va très bien ! Tout est fonctionnel. J'ai du activer l'IPv6 sur le NAS pour configurer AdGuard Home, car comme tu le dis la Freebox est super relou en IPv6. En mettant mon AdGuard en DNS par défaut dans le paramétrage DHCP de la Freebox, ça marchait à moitié, les host qui utilisent IPv6 ne passaient pas par AdGuard. En fait, la Freebox balance par défaut un DNS IPv6 également, décorrélé completement de l'IPv4 (logique je pense), et c'est pas désactivable ! Du coup, soit il fallait couper l'IPv6 de chaque host (chiant), soit définir un DNS personalisé IPv6 (celui d'AdGuard) dans la Freebox. D'où l'activation de l'IPv6 sur le NAS. Et du coup, je pense que c'est pour ça que par défaut, le DDNS Synology a défini automatiquement l'adresse IPv6 du NAS. Après est-ce que cet adresse IPv6 est accessible de l'extérieur? Je n'ai rien défini côté Freebox en ce sens (c'est ce que tu dis, on ne peut rien faire de toute façon ?). C'est peut-être ça qui embetait, mais du coup pourquoi c'est OK depuis la France et pas depuis l'étranger... Mystère.

La solution de l'ajout d'un en-tête personalisé. En changeant la direction du reverse proxy vers le HTTPS port 443 de la Freebox ça m'a résolu l'erreur "unknown host, use ip address or mafreebox.freebox.fr", sans avoir cet en tête dont tu me parles à créer. Du coup je me demandais à quoi servait cet en tête en théorie ? Pour l'accès depuis l'Allemagne, c'est réglé. Sauf coincidence, cela venait bien du DDNS qui pointait vers le host directement en IPv6, ça doit foutre la mouise au niveau du routage à un moment. Maintenant que je l'ai disabled c'est ok : Merci pour ces discussions qui m'ont ammené a fouiller un peu plus, et avec lesquelles j'ai pu mettre mon firewall bien plus propre.

Ça marche bien avec le port 443 du coup ;) C'est si on veut rester avec le port 80 ta solution ?

Pour cette partie, specifiquement pour la Freebox : C'est un problème que j'avais déjà avant mais ça ne marche pas avec une Freebox, elle renvoie une erreur "unknown host, use ip address or mafreebox.freebox.fr" directement sur la page. Il faut rediriger à priori vers le https donc en 443.

Je viens de supprimer toute redirection de port dans la Freebox. Tout fonctionne malgré ça très bien depuis l'extérieur, en France du moins !.... C'est à n'y rien comprendre, ça voudrait dire que mon DDNS renverrait automatiquement vers mon Synology ? Je ne suis pas expert réseau du tout, mais ça me paraît pas correct. Je suis allé jeter un oeil du côté de la configuration du DDNS dans le Syno et en effet, dans les External Address du DDNS, en IPv4 j'ai bien ma Freebox, mais en IPv6, j'ai l'adresse du Bond du Syno ! Je n'ai jamais vu ça avant mais à priori ça se fait bien pour faire du DDNS sans NAT forwarding. Ca n'explique en rien le problème d'accès depuis l'étranger, mais c'est surprenant. Je me demande s'il peut y avoir un lien. Je vais le désactiver dans un premier temps et le configurer en classique. EDIT: là j'ai un comportement cohérent avec mes ouvertures de ports. Je vais pouvoir continuer mes tests depuis l'Allemagne en comprenant mieux ce que je fous... Je soupçonne une histoire d'embrouille de routage entre DDNS IPv4 et v6 en fonction de la source. On verra demain depuis le taf, impossible de reproduire correctement avec leur client VPN depuis la maison.

Je t'entends bien à propos de l'entreprise sérieuse, mais en tout cas elle me laisse bien accéder à mon DSM en stipulant le port 5001. Je pourrais faire le test de mettre mon DSM en 1234 à la place du service correspondant et voir ce que ça donne. Mais c'est pas le sujet ici, justement je veux que ça passe à travers le 443 grâce au reverse proxy. Je pense que mon problème vient de la redirection côté Freebox, je l'ai pas redéfinie correctement depuis que je suis passé via le reverse proxy (vers le 5001, au lieu de 443 et potentiellement 80) Mais je comprends pas pourquoi tout marche depuis la France du coup, la conf actuelle est un peu trop permissive on dirait. Ce soir je vais corriger la redirection (j'ai pas activé l'accès externe de la Freebox), et faire des test depuis plusieurs VPN mondiaux et celui du taf. Merci encore ! Je posterai les résultats.

Super idée merci, mais pour l'instant ça me dit que tcpdump n'a pas la permission de capturer sur cet device. Je vais chercher comment autoriser ça ! EDIT: ce bon vieux sudo.... Bon ben bien vu ! Avec tcpdump, si je lance mon service sur :1234 depuis la France, c'est ok j'ai quelques centaines de lignes, mais depuis l'Allemagne il se passe rien. tcpdump -i bond0 -nq 'port (3000)' Donc je peux en conclure que le blocage est en amont du syno, probablement sur la Freebox ou chez Free, êtes vous d'accord ?

Quelquechose que je trouve très intéressant : Je laisse 3 ports ouverts dans mon Firewall: - 443 (pour le reverse proxy) - mon équivalent du 5001 pour accéder à DSM - un autre port 1234 pour un autre service pour tester mon pb. Depuis la France, https://domaine.synology.me:5001 ET https://domaine.synology.me:1234 fonctionnent et me redirigent bien vers DSM et mon service. Depuis l'Allemagne, DSM fonctionne, mais pas le service derrière le port 1234 : ERR_CONNECTION_TIMED_OUT Bon c'est intéressant mais ça m'aiguille pas tant, si ce n'est que chez moi quelquechose répond pas si la requête vient du bureau. Soit la Freebox m'embête et ne laisse passer que le port que j'ai stipulé dans la redirection (5001 vers 5001) Soit c'est le Syno, mais j'ai rien d'activé en terme de filtrage sur la localisation. J'ai testé d'autoriser uniquement le port 1234 depuis l'Allemagne et la France dans le Firewall, au cas où qqch déconne de ce côté en laissant "All", mais ça ne change rien. Est ce qu'il y a moyen d'afficher des logs de tentatives de connections/accès côté DSM ?

Bonjour, je vais y jeter un oeil merci, j'ai en effet besoin de régler correctement tout cet aspect sécurité, mais comme précisé, même firewall désactivé cela ne change rien. Bonjour, Oui nslookup résoud bien mon IP. J'accède d'ailleurs bien à mon NAS en https en rentrant le DNS + le port DSM. Mais DNS sans port, avec ou sans service avant (reverse proxy), c'est KO. C'est pour cette raison de DNS potentiellement bloqué que j'ai ponctuellement changé en i234.me. Et à ce moment là, j'ai testé le .synology.me par curiosité, et il ne réagissait pas pareil : j'arrivais directement sur un message d'erreur (DNS inexistant), alors que quand c'est configuré, cela mouline et fini en erreur time out. C'est ce qui me fait dire qu'on arrive bien chez moi, mais que chez moi qqch bloque ! Merci beaucoup à tous les deux

Salut à tous, Il y a quelques semaines je me suis équipé d'un DS220+, à la base pour stocker mes photos loin de Google et consorts. De fils en aiguilles je paramètre des fonctionnalités supplémentaires (adguard, jellyfin, etc...). Tout fonctionne parfaitement, depuis chez moi ET depuis partout en France apparement, en tout cas depuis tous les réseaux locaux testés en France et depuis un accès 5G. Cela veux dire que j'accède bien à tout depuis l'éxtérieur, avec un DDNS synology.me Aujourd'hui, je veux tester depuis le boulot, qui a la particularité d'avoir tout le réseau qui sort d'abord par l'Allemagne à travers un VPN. Et cela ne fonctionne pas, enfin presque pas. En résumé tout ce qui passe par le reverse proxy n'est pas accessible, page blanche qui boucle pendant des dizaines de secondes. N'importe quel service derrière le reverse proxy, donc en https://service.domaine.synology.me n'affiche jamais rien, ça fini en erreur de timeout. Egalement https://domaine.synology.me ne retourne rien, là où depuis la France cela me redirige automatiquement vers https://domaine.synology.me:5001 (j'aimerai supprimer ça à terme aussi). Par contre, directement entrer l'adresse par défaut avec le port https en dur https://domaine.synology.me:5001 fonctionne bien, j'atterri sur ma page d'accueil : ce n'est donc pas un pb de résolution DNS. Avec https://mon-ip:5001 cela fonctionne aussi (avec une belle erreur de certificat mais c'est rassurant !) Le Syno est derrière une Freebox, avec une redirection vers le port 5001, j'imagine que si je fait une redirection pour chaque port, je pourrais accéder à n'importe quel service via son port en le rajoutant après l'adresse https mais ce n'est pas propre, et ce n'est pas ce que je veux. Ma config: - Firewall activé, laissant passer chaque port nécessaire, sans filtrage de source sur la localisation. Mais même en le désactivant cela ne change rien, donc ce n'est pas ça pour moi le pb (cela dit je doute du fonctionnement du firewall, si je l'active sans autoriser de port, tout fonctionne bien depuis la France) - Une entrée reverse proxy par service, sans profil de contrôle d'accès. - Protection DDoS activée, mais j'ai essayé en desactivant, pas mieux... J'ai testé de changer d'extension DNS (i234.me) parmi les proposées par Synology (au début je pensais à un blocage du DNS synology.me dans mon réseau d'entreprise). En testant avec l'ancienne, je tombe directement sur la page d'erreur, je n'ai plus la moulinette. J'ai mis les DNS de Google en dur sur le poste client, ça ne change rien. Avec QuickConnect, ça marche, mais je n'accède pas à mes service sous Docker. J'ai le sentiment que mes requêtes arrivent bien jusque chez moi mais que soit la Freebox, soit le Synology bloque. Y-a-t-il des choses que j'aurais zappées selon vous ? Merci beaucoup 🤘