klipita

j'ai du nouveau ! 😀 avec tous vos conseils et quelques recherches j'ai finalement mis le doigt sur ce que je veux. Mes services sont maintenant accessibles en HTTPS et l'un d'entre eux (le routeur) est bien redirigé automatiquement vers une page HTTPS avec un certificat reconnu. L'accès à mon NAS peut se faire via HTTPS et le certificat est aussi reconnu convenablement. Cependant, si je rentre l'url sans le protocole, j'arrive aussi sur mon NAS en HTTP. J'ai tenté d'appliquer une règle supplémentaire sur le reverse proxy pour ce cas de figure, mais rien n'y fait. Si jamais vous avez des idées .. Je suis preneur.

bah j'avance ... je crois que j'ai trouvé ce qui ne va pas. A force d'en parler et de chercher, je viens de tomber sur quelque chose. Je vous tiens au courant dès que j'ai terminé mes tests, mais l'avancement me parait pas mal ! 😍

Certes c'est vrai ! seulement si une simple sécurité de ce type là pause déjà problème ... comment faire si l'on rajoute des couches.

le pare-feu du NAS n'est pas activé pour le moment. PS: Loin de moi l'idée d'ajouter encore de la complexité dans l'affaire ^^ mdr)

Je ne comprends pas pourquoi je n'ai pas la redirection. Logiquement parlant si une requêtes https entre dans ma Box elle dois traverser le routeur et ci celui-ci détermine que la requête n'est pas pour lui, il devrait la rediriger. J'avoue être dans le flou...

Et bien justement NON, je n'en suis pas sur. Je suppose que le reverse proxy peut s’implémenter partout à condition d'avoir un nom de domaine et la bonne configuration. La seule chose qui n'ai pas configuré à mon sens sur mes équipements actuellement et qui permet de faire une résolution de nom de domaine convenable est le serveur DNS. Mais est-ce que quelqu'un peut me confirmer que le problème pourrai venir de là ... ? Telle est la question.

Hello tout le monde me revoilà. Après plusieurs tests, je reviens vers vous. J'explique ma situation actuelle : 1 - Voici La configuration du Firewall sur le routeur (Pou rappel celui-ci se trouve juste derrière la box en mode bridge) : Il faut préciser qu'après tous mes tests effectués le port 80 est resté pour tous. Si je l'ouvre uniquement pour l'ip de mon NAS, il est incapable de mettre à jour son DDNS chez synology.. Je ne comprend pas pourquoi, je ne trouve pas ça logique du tout. Mais c'est le comportement que j'ai à l'heure actuelle. NB : Même la transmission de port ni change rien. ICI un screenshot de la synchro du NDD par mon NAS quand le port 80 est ouvert. Dans la foulé j'ai aussi mis en place la Transmission de port (tjrs sur le routeur) : Sur mes deux périphériques j'ai aussi importé le certificats let's encrypt, généré depuis mon nas. (Je ne sais pas si à ce stade cela à son importance, mais je m’interroge tout de même) Ensuite je confirme que OUI, WebStation est bien installé sur mon NAS. J'ai même un petit site de monté dessus sur le port 80. Les règles de reverse proxy n'ont pas changées, j'ai tjrs laissé les mêmes : Quant à mon résultat actuelle : 1 - Si je tente d'accèder à mynas.mondomain.synology.me ==> je suis redirigé vers le Webstation (le NAS) sur le port 80. 2 - Si je tente d'accèder à rtam.mondomain.synology.me ==> je suis redirigé vers le Webstation (le NAS) sur le port 80. Bilan : 1 - Rien ne me redirige vers un port 443 par défaut alors que le routeur devrais le forcer car j'ai cocher dans les Paramètres de SRM "Rediriger automatiquement les connexions HTTP vers HTTPS " . Je souhaite rediriger toutes mes requètes HTTP vers du HTTPS. Si le service n'existe pas alors le routeur doit Bloquer le traffic. 2 - Si je désactive dans le firewall la règle lié au port HTTP 80, seulement la mise à jour du nom de domaine sur le NAS est impacté. 3 - Lorsque je suis redirigé sur mes Webstation via mes deux nom de domaine, je n'ai plus aucun certificat de reconnu cette fois. Normal car je suis diriger vers un port HTTP en 80 Du coup dans cette configuration je ne retombe pas sur une connexion https. Je dirai que j'ai reculé par rapport à mon résultat précédent.

Comment puis-je faire ça ? Je me suis basé sur le tuto de Fenrir et ces règles de pare-feu. Cela me semblais juste. En effet je peux restreindre d'avantage le port 80. Cette ligne est essentiellement pour permettre au NAS de renouveler son ndd automatiquement. Avant d'ouvrir le port 80 dans le pare-feu, j'ai fais un transmission du port 80,443 vers => le NAS. Comme il existe le webservice d'actif sur mon nas et que celui-ci est en http seulement. Je me retrouve avec ce résultat. Je précise que le NAS n'est pas configuré pour forcer le protocole http à passer en https. Dans ce cas de figure je suis en partie d'accord. Cependant je ne peux pas attribuer un port 443 a SRM par défaut. Je ne vois pas comment faire ça. la BOX est en mode bridge, elle ne fait office que de simple modem, aucune règle de pare-feu, de transmission de port où autres n'existe. mon seul rempart est le pare-feu du routeur qui lui dois jouer son rôle et tout bloquer. j'ai déjà partagé les règles du pare-feu et l'on peut voir aussi sur le screenshot les transmissions de ports. J'avoue ne pas comprendre ce qu'il me manque. Est-ce que cela pourrai venir de mon certificat .. Est-ce un problème DNS ..?

Oui ce sont bien deux équipements différents. Voici les règles que j'ai mis sur le NAS: Voici mes règles de pare-feu actuel sur le routeur : (j'ai fais quelques changements, hélas): si j'arrive à le faire marcher, je changerai les ports par la suite. Ce que je ne veux pas : Ce que j'espère atteindre : La configuration de mon routeur force toutes les connexion entrant a passer en https. En ce qui concerne le Webservice (serveur web) du Syno : J'ai bien installé le paquet, mais c'est un peu pour le moment le cadet de mes soucis. Bien sur que j'aimerai avoir accès à mon site web hébergé sur mon nas. Mais, mon principale objectif est l'accès a DSM et SRM via le net en https pour le moment. En espérant comprendre ce que je fais mal surtout.

NON, j'accède à SRM en connexion non sécurisé. l'url https://monNas.monNomDeDomain.synology.me me redirige automatiquement vers SRM. et SRM n'est pas accessible sur le même port que DSM. C'est comme-ci la transmission de port dans mon routeur + le reverse proxy ne fonctionnait pas. OUI le résultat est bien celui que je cherche. Par cette url j'accède bien à SRM sur mon routeur et la connexion est bien sécurisé via https. Le navigateur reconnait bien la connexion comme sécurisé. Si lorsque l'on parle du webservice du syno, on parle de SRM. Alors oui, cela me redirige vers SRM. Donc mon routeur. (alors que je voudrais que cela me redirige vers mon nas) En faite sur ma config, (ce qui je pense est normal) : - SRM : est accessible en https via un port spécifique, - DSM : est accessible en https via un autre port spécifique,

Bon j'ai remis le certificats de mon NAS sur le routeur car sans ça je n'ai plus d'https de reconnu. "Autoriser l'accès externe à SRM" => Je n'ai pas cocher cette case chez moi. Je redirige SRM sur un port spécifique (pas les ports par défauts) J'ai bien ajouté la règle reverse proxy sur le NAS pour le routeur. MonNAs - Source : https://monNas.monNomDeDomain.synology.me (port 443) - Destination : https://IP_Local (mon_Port_de_DSM) DownloadStation -- Source : https://dl.monNomDeDomain.synology.me (port '443) - Destination : https://IP_Local (mon_port_DL) MonRouteur - Source : https://monRouteur.monNomDeDomain.synology.me (port 443) - Destination : https://IP_locale_du_routeur (mon_Port_de_SRM) J'ai aussi rebooté les deux device dans l'ordre : 1 - le routeur et 2-le NAS. Mais j'ai toujours le même effet. Si je tente d’accéder à https://monNas.monNomDeDomain.synology.me ==> il me redirige vers https://monNas.monNomDeDomain.synology.me : mon_port_de_SRM (sans https) Si je tente d’accéder à https://monrouteur.monNomDeDomain.synology.me ==> il me redirige vers https://monrouteur.monNomDeDomain.synology.me : mon_port_de_SRM (en https) Si je tente d’accéder à https://monNomDeDomain.synology.me ==> il me redirige vers https://monNomDeDomain.synology.me : mon_port_de_SRM (en https)

Bah pour la configuration du reverse proxy ma première règle est pour le NAS MonNAs - Source : https://monNas.monNomDeDomain.synology.me (port 443) - Destination : https://IP_Local:mon_Port_de_DSM DownloadStation -- Source : https://dl.monNomDeDomain.synology.me (port '443) - Destination : https://IP_Local:mon_port_DL Sachant que j'ai importé le certificats du NAS sur mon Routeur, peut-être que c'est ça le problème non? NB: Je viens de générer un certificat auto-signé pour le routeur et si je tente d'accéder à mon NAS, il me redirige toujours sur le routeur. 😞

Pour le FTP = OK ce n'était peut-être pas le meilleurs exemple. Je garde ça en tête. Mais si j'ajoute la transmission du port 443 vers le NAS. Rien ne se passe, il me redirige toujours vers le routeur qui est en première ligne. Est-ce que c'est à ce moment là que le DNS joue un rôle ? Comment mon sous domain mynas.monNomDeDomain.synology.me peut-il être reconnue comme une URL différente avec l'accès à un port différent ?

Bonjour à tous, J'ai hésité longuement à venir vous voir concernant mon problème. Il est certainement d'une simplicité enfantine mais je suis une vrai tête de mule et je ne veux pas faire comme tout le monde. J'ai lu tous les tutos sur le forum concernant les certificats let's encrypt , le reverse proxy, la sécurité du nas ... je suis ok avec tout ça. J'explique mon cas : Mon schéma réseau est simple : une freebox (en mode modem) ==> relier à un RT1900ac ( firewall actif tout bloqué par défaut sauf port 443/80 / DHCP actif) ==> puis derrière tout ça ==> un switch ==> avec NAS Synology (ip fixe), PC fixe , pc portable , tablette etc ... Ma config firewall : Avec en première ligne un autorisation full sur mon réseau local. Rien de plus ! L'objectif est le même que tout le monde. Pouvoir accéder de façon sécurisé via HTTPS à mon routeur et à mon NAS de l'extérieur. J'ai donc enregistré un ndd auprès de chez Synology car il propose le service gratuit et que je ne voulais pas m'acheter un ndd qui n'aurait pas marcher du à une configuration pourrie de ma part. j'ai donc un formidable monNomDeDomain.synology.me J'ai créer à partir de mon NAS le certificats let's encrypt avec tous les sous domaines qui vont bien de déclaré audio.monNomDeDomain.synology.me , video.monNomDeDomain.synology.me , FTP.monNomDeDomain.synology.me, monRouteur.monNomDeDomain.synology.me etc..etc... Ce certificat est le default certificat de mon NAS. il n'y a rien d'autre dessus. Je souhaite un certificats à gérer pour tout mon réseau. J'ai aussi exporté ce certificat sur mon routeur car celui-ci me le permet (et c'est là que je me demande si j'aurai bien du faire ça) et que je ne peux malheureusement générer ce certificat qu'a partir de mon NAS. Remarqués bien pour le moment que je ne vous parle pas de serveur DNS car je n'ai pas choisi d'installer de serveur DNS dans mon réseau Local pour le moment ni sur le routeur, ni sur le NAS. A partir de ce moment, je peux accéder en HTTPS à monRouteur.monNomDeDomain.synology.me:monPort. Je suis bien redirigé sur en HTTPS car j'ai cocher l'option sur mon routeur et je vois que mon navigateur affiche bien un cadenas vert sur la page à laquelle je veux accéder. J'ai donc configurer le reverse proxy sur mon nas pour que celui-ci redirige les sous domaine en fonction de l'url que je tape monNAS.monNomDeDomain.synology.me monSite.monNomDeDomain.synology.me, monsrvFTP.monNomDeDomain.synology.me, Dans le portail des applications, j'ai été dans reverse proxy puis j'ai créer pour chaque sous domain Sources HTTPS Nom d'hôte : monNAS.monNomDeDomain.synology.me port : 443 Destination Protocol : HTTPS (car j'ai cocher aussi la case sur le nas rediriger les flux vers https) nom d'hôte : localhost port : monport HTTPS Et j'ai refait ceci pour tous mes services. Dès lors j'ai l"espoir que cela fonctionne sauf que ... toutes mes requêtes de sous domaine sont toute redirigés vers le routeur sans passer au dessous. J'ai du mal à comprendre ce qu'il me manque. J4ai tenter des trasnmission de port sans ouvrir tous les ports sur le Firewall mais rien ni fait ... Est-ce que quelqu'un pourrait m'expliquer ce qu'il me manque ? Un grand merci à tous !

Une merveille !! merci pour le temps déployer sur le script. +1 je fais un don car vraiment c'est top !