Babou57

Merci beaucoup @.Shad. pour ton aide. Voici le menu IPV6 de ma box. on voit que le serveur DHCP v6 est sur Off. Par contre j'ai pu donner une IPv6 statique au NAS Le SLAAC est activé: Et voici les règles du pare-feu IPV6 de la box: J'ai configuré le pare-feu du NAS également (du temps où je pouvais encore me servir de l'IPV4) mais je me demande si je dois configurer quelque chose de différent pour l'IPV6.. En tout cas, je t'écris en MP pour qu'on puisse voir ça ensemble 🙂 Merci à toi!

Bonjour à tous, 1 an après j'ai un peu avancé mais pas tant que ça. J'ai configuré le routeur Mesh TPLink en mode point d'accès. Il est donc en mode pont et est transparent dans mon réseau local. Mes services reverse proxy refonctionnent sur des appareils android uniquement. J'ai constaté que certains PC sous windows n'avaient pas le protocole IPV6 activé. ça a résolu une partie du problème. Par contre je ne peux accéder au VPN que lorsque je suis connecté au même réseau que le NAS. Depuis l'extérieur (avec une connexion 4G d'un téléphone par exemple et en partage de connexion), ça ne fonctionne pas. Je désespère. Le DHCPv6 de la box est désactivé. J'ai donné une adresse IPV6 statique au NAS dans la box. Dans le pare-feu de la box, le port OpenVPN est ouvert ainsi que ceux des autres services qui m'intéressent. Dans le NAS, la connexion IPV6 est configurée sur DHCPv6-PD. Dans le fichier de configuration OpenVPN j'ai renseigné l'adresse IPV6 du NAS après "remote" A votre avis: Pourquoi je ne peux pas accéder au reverse proxy sur les PC (en local ou en extérieur)? Pourquoi je ne peux pas accéder au VPN à l'extérieur (android ou PC)? Je pense au pare-feu du NAS: j'ai bien ouvert les ports correspondants mais pour une plage d'adresse IPV4. Faut-il configurer le pare-feu aussi pour des adresses IPV6? Si oui, comment faire? Merci pour votre aide

Une idée?

Finalement en reconnectant le NAS au port RJ45 du routeur et non de la box, ça fonctionne aussi. Il y a bien un mode bridge uniquement sur l'IPV6. c'est plutôt pas mal, ça me convient. Par contre j'ai toujours un soucis d'accès au NAS quand je suis chez ma compagne. Je peux y accéder avec mon téléphone (via reverse proxy et VPN) mais impossible via un ordinateur. Est-ce dû au fait que, ma box SFR ne me donnant plus la possibilité de faire du NAT en IPV4, mon téléphone se connecte en IPV6 et donc ça fonctionne mais mes ordinateurs chez elle se connectent en IPV4 et donc ça ne fonctionne plus? J'ai lu ça sur un forum. https://la-communaute.sfr.fr/t5/installation-et-paramétrage/nas-box-nb6vac-pas-d-accès-externe/td-p/2355870 "Ce que j'ai voulu évoquer c'est que durant toutes les années que prendra la transition de IPv4 vers IPv6, il y aura 2 types de connexions vers ta box : celles qui proviennent d'IPv4 (l'écrasante majorité encore aujourd'hui) celles qui proviennent d'IPv6 (quelques-unes, et souvent celle provenant d'un smartphone sur réseau mobile par exemple qui sont souvent organisé en réseau IPv6) Pour le cas 2 (comme évoqué sur mon premier lien plus haut) c'est purement en IPv6, et donc tu n'as plus besoin de redirection de ports : en effet, le client externe pourrait désigner ton NAS via son adresse personnelle que tu mettrais dans ton outil de DNS. Mais pour le cas 1 (l'essentiel des connexions externes à ce jour sans doute) ça reste en IPv4, donc masqué par l'intermédiaire de l'IPv4 publique de ta box, et cette dernière doit donc rediriger vers ton NAS "caché derrière car il n'a pas d'adresse IPv4 publique" : et la redirection de port en IPv4 est IMPOSSIBLE avec la box SFR une fois que l'abonné est en CGNAT" Si c'est cela, comment résoudre le problème? Merci

Il est toujours en mode routeur. Mais il est en bridge pou l'IPV6. J'aurais préféré faire un DMZ sur la box et donner carte blanche au tp link mais bon... C'est quand même dingue qu'on ne puisse pas lui attribuer une IPv6 Statique

Merci à toi pour ces précisions. Bon ça ne m'arrange pas des masses parce que je souhaite garder ma configuration en IPV4 du routeur mesh pour mes appareils (si jamais je change d'opérateur au moins j'aurais pas tout à refaire) Du coup j'ai essayé d'activer le DMZ de la box. Le soucis c'est que je ne peux pas donner une IPV6 fixe au routeur mesh. Donc ça tombe à l'eau. J'ai trouvé dans la configuration de l'IPV6 du routeur qu'on pouvait la passer en mode Bridge (le mode pont marqué plus haut) En faisant ça, je garde toute la partie IPV4, seule la partie IPV6 est gérée par la box j'ai l'impression. J'ai alors essayé d'accéder au NAS, connecté au port RJ45 du routeur mesh mais rien à faire. J'ai donc connecté le NAS au RJ45 de la box comme avant... ça refonctionne. J'ai tenté aussi de connecter directement le routeur mesh à l'ONT mais ça ne fonctionne pas (je pense qu'il faut impérativement que je garde la partie modem de la box) Autre intérêt d'avoir passer l'IPV6 du routeur mesh en bridge: Sur ma box TV Nvidia shield, certaines applications comme amazon prime ou disney + ne fonctionnaient plus car elles mettaient trop de temps à se connecter. Depuis, c'est résolu ça refonctionne. Mais c'est tout de même embêtant de ne pas pouvoir utiliser le DMZ de la Box pour laisser le NAS connecté au routeur. Merci à vous en tout cas 🙂

Merci Piwi, Du coup, en configurant le routeur en point d'accès, je garderai la même couverture et les mêmes débits d'après toi? J'ai connecté tous mes appareils au réseau du MESH. J'espère que je ne vais pas devoir tout refaire... Je n'ai pas de box internet TV, uniquement le téléphone fixe. J'utilise une Nvidia Shield avec un abonnement à Mycanal pour la TV. Je pense que c'est possible de raccorder le routeur à l'ONT directement mais je perdrai le téléphone fixe. Du coup le NAS resterait relié au routeur MESH ou à la box internet directement, en mode point d'accès? J'essaierai ça ce soir. Merci beaucoup!

Bonjour Piwi. J'ai une maison à étage et la Box internet au rez de chaussée. La couverture Wifi à l'étage était exécrable. Aucun répéteur wifi ne réglait le problème. De plus j'ai un abonnement fibre à 1Gbps. Je voulais donc améliorer la couverture Wi-fi dans la maison tout en améliorant les débits internet avec un routeur wifi 6. J'ai remarqué en effet qu'on pouvait passer de routeur à point d'accès mais c'est déconseillé dans la notice car on perdrait les avantages du MESH. Je ne sais pas trop bien en quoi. En tout cas, même configuré en routeur, je devrais pouvoir accéder à mon NAS... Il n'y aurait pas possibilité de donner tous les pouvoirs au routeur TP-Link et de ne se servir de la box uniquement comme un boitier qui donne la fibre au routeur? Histoire de ne gérer que le réseau géré par le routeur MESH. Merci à vous

Je remets une pièce dans la machine. En ouvrant les ports pour l'adresse IP du NAS et du routeur dans ma box, ça ne fonctionne toujours pas. Je suis à court d'idées. Quelqu'un peut m'éclairer? Merci,

Bonjour à tous. Dans le but d'améliorer la couverture réseau de mon domicile, j'ai investis dans un routeur mesh TP-link Deco X90. Avant mon NAS DS 918+ était connecté directement à la box de mon opérateur SFR. J'avais posté un sujet ici car SFR avait supprimé le NAT de l'IPV4, m'obligeant à configurer le tout en IPV6. https://www.nas-forum.com/forum/topic/74860-accès-impossible-au-nas-via-vpn-server-après-migration-ipv4-vers-ipv6/ A la fin, tout fonctionnait. J'avais accès aux applications via reverse proxy et je pouvais me connecte au NAS via OpenVPN. Mais depuis que j'ai connecté le routeur après ma box et connecté le NAS dessus, j'ai juste réussi à me connecter à DSM en local (en changeant les règles du pare-feu Synology et en autorisant les adresses IP du routeur. J'ai activé l'IPV6 sur le routeur et sur ma box. J'ai donné une IP fixe au routeur sur la box et au NAS sur le routeur. J'ai configuré le pare feu IPV6 de la box pour ouvrir les ports du reverse proxy et du VPN sur le routeur et le pare feu IPV6 du routeur pour ouvrir ces mêmes ports sur le NAS. Je ne m'y connais pas beaucoup en réseau et je pense que j'ai mal configuré le routeur ou le NAS, ou les deux. Pour le reste j'ai laissé l'IPV4 de l'interface réseau du NAS en statique avec la même adresse que celle que j'ai configuré dans le routeur pour le NAS et l'IPV6 laissé en auto. Dans le routeur, pour l'IPV6, on me propose ces options: IP dynamique / PPPoE / Tunnel 6 à 4 / pont Pour le type assigné on me propose: ND Proxy / SLAAC + DHCP sans état / DHCPv6 / SLAAC + RDNSS J'ai choisi IP dynamique et SLAAC + RDNSS. A votre avis pourquoi je ne peux plus accéder aux applications en local via reverse proxy et au NAS à distance en général? Merci à vous

Merci beaucoup @.Shad. Je ne sais pas ce qu'il s'est passé mais la première fois que j'ai réexporté le certificat ça ne fonctionnait toujours pas. Puis en modifiant le chiffrement de l'authentification de SHA512 en SHA256 et en réexportant ça a fonctionné. Je l'ai repassé en SHA512 maintenant et ça fonctionne encore. Je ne sais pas ce qu'il s'est passé mais problème résolu. Merci à toi!

Merci pour tes explications. Je déterre le sujet car j'ai essayé plusieurs fois et malheureusement je n'arrive plus à me connecter à la box ni nulle part à chaque fois. C'est possible que ma box n'aime pas du tout que je désactive le serveur DHCP? Je suis un peu perdu, je ne vois pas pourquoi le DHCP du NAS ne prend pas le relais.

Bonjour à tous. J'avais posté précédemment ce sujet: https://www.nas-forum.com/forum/topic/68419-résoluimpossible-daccéder-à-dsm-via-openvpn/ Tout fonctionnait très bien mais depuis le début du mois je n'arrive plus à me connecter. J'ai réédité un fichier de configuration mais cela ne change rien. J'obtiens une erreur comme quoi le certificat Let's Encrypt serait expiré. Or le certificat est à jour (mais bizarrement émis par R3 au lieu de Lets'encrypt... Comment puis-je faire?

Je suis chez Red de SFR. Une offre fibre dual play (pas de box TV de l'opérateur). Ma box est une sfrbox plus (NV7) J'ai 2 shield sur lesquelles j'ai mycanal, plex, ds vidéo, netflix etc. J'ai fait une belle bêtise. En voulant supprimer le DHCP de la box et configurer celui du NAS, je me suis retrouvé sans internet nulle part 😭 Impossible de se connecter à la box même en Ethernet. Du coup j'ai fait un reset pfffff. Tout est redevenu normal mais je patine un peu pour la configuration du DHCP. J'ai peur de refaire la boulette. Merci @maxou56, je l'ai décoché de la liste d'autorisation du coup :)

Il y a bien une partie DHCP mais j'ai l'impression qu'elle m'autorise juste à configurer la plage d'adresses IP dynamiques attribuées aux clients de mon réseau et à attribuer des adresses statiques (c'est ici que j'ai fixé celle du NAS et de 2 répéteurs wifi) Par contre il y a un autre onglet qui est "DNS". C'est peut être ici que je peux ajouter le serveur DNS du NAS. Qu'en penses-tu? Je n'ai fixé que les adresses IP du NAS et de 2 répéteurs wifi (je ne sais pas si c'est utile pour les répéteurs) Du coup je dois faire une manip particulière concernant les répéteurs? Si je me connecte au wifi diffusé par un répéteur, ma requête ne sera pas basculée sur le serveur DNS du NAS si je ne fais rien? Edit: après avoir renseigné l'adresse IP du NAS dans la partie "DNS local" il semblerait que ça ne change rien. En SSH on me renvoie encore l'adresse IP publique ainsi que sous windows.

Merci @.Shad. je pense que tu as mis le doigt sur ce qui ne va pas. Je ne savais pas pour le contrôle d'accès du proxy inversé, c'est bon à savoir! Oui je crois que c'est toi qui m'avait dit justement qu'en passant par synology.me je passe en externe même sur un wifi local. C'est aussi pour ça que je voulais faire du loopback avec DNS server. Effectivement dans mes informations IPV4 sous windows, le serveur DNS renseigné est ma box internet (la passerelle donc). En SSH, pour les 2 requêtes, j'obtiens comme réponse l'adresse IP publique du NAS. Du coup pour rectifier cela je dois configurer le serveur DHCP? Il est intégré dans le syno? C'est la partie serveur DHCP du panneau de configuration DSM? Ou alors est ce celui de ma box internet?

Je pourrais rendre DSM accessible depuis l'extérieur via le port 443 au lieu du port 5001 mais c'est pas ce que je veux faire. Je veux accéder à DSM uniquement pour configurer le NAS, c'est à dire de manière très très occasionnelle puisque ma configuration touche à sa fin. A ce titre je veux pouvoir le configurer par IP privée du NAS et xxx.synology.me en local et via VPN uniquement! Si je passe par le port 443, étant donné que ce port est autorisé et NATé en permanence pour le reverse proxy, je ne trouve pas cela suffisamment sécurisé. Je laisse une porte ouverte constamment vers DSM depuis l'extérieur hors VPN. ça ne me plait pas beaucoup. Aujourd'hui ce qui ne fonctionne pas c'est d'utiliser xxx.synology.me. C'est pour ça qu je cherche à configurer le serveur DNS en loopback. Si je passe par le port 443 ça rendrait le VPN caduque pour le coup. Non pas de redirection HTTP vers HTTPS car j'ai cru comprendre que ça cassait le proxy inversé (sauf en insérant un script dans webstation) et je n'en ai pas l'utilité de toutes façons. D'accord. il me semble que le NTP est utile pour le serveur mettant à jour l'horloge automatique du NAS. C'est utilisé dans la vérification en 2 étapes. Pour le serveur de fichiers windows je pense qu'il s'agit du service SMB. Je vois pas l'intérêt d'ajouter une règle dans le pare feu pour ça... Là par contre je ne comprends pas trop ta question. Je suis débutant dans les NAS... Dans DNS server en type A j'ai bien renseigné l'adresse IP fixe privée du NAS. Sur mon smartphone, tablette, box android tv, pour me connecter aux applications synology j'utilise le proxy inversé: music.xxx.synology.me:443 par exemple pour audio station. Tout fonctionne. Il n'y a que pour accéder à DSM que je suis obligé de taper l'adresse IP fixe du NAS. Avant quand le port 5001 était ouvert je pouvais y accéder par le nom de domaine. Je voudrai pouvoir le faire à nouveau via le loopback de DSN serveur en local et via VPN à l'extérieur.

Je viens de faire la modif mais ça ne change rien apparemment. que je rentre http://ndd.synology.me:5000, https://ndd.synology.me:5001 ou ndd.synology.me, je n'accède jamais à la page

Ah mais j'utilise le proxy inversé! C'est pour ça que je NAT et que j'autorise le port 443. Je l'utilise pour mes applications smartphone, tablette et android TV et pour partager DSVIDEO simplement avec ma famille à distance. Effectivement j'avais traité le port 80 pour le certificat Let's encrypt car j'avais entré les sous noms de domaine un par un. Maintenant que j'utilise une wildcard, je ne savais pas que ça n'a plus lieu d'être. Je ne redirige pas HTTP vers HTTPS et je n'ai pas de site web. Par contre j'utilise Photo Station. Cette appli utilise le port 80 je crois. Non? Parce que j'aimerai fermer ce port s'il n'est pas utilisé. Edit: je viens de voir que photo station utilisait le port 443 en https, je vais fermer le port 80. D'ailleurs j'ai autorisé le port pour le service NTP dans le pare feu mais je ne suis pas sûr que ce soit utile justement. Idem pour les ports "serveur de fichiers windows CIFS"... qu'en penses-tu? Lors de l'installation d'une appli ou d'un service, DSM me les a autorisé directement mais je ne sais pas à quoi ils correspondent. Parfait, je vais les fermer dans ce cas. Oui le port 1194 est déjà ouvert et NATé. Pour la restriction à la plage 10.8.0.0 c'est une bonne idée 🙂 je le fais tout de suite. En utilisant le proxy inversé je peux utiliser toutes les applis dont j'ai besoin sans traiter le port 5001. Oui c'est vrai que les liens de partage de fichier ne sont plus opérationnels du coup mais si j'ai besoin de partager un fichier, j'autorise le port dans le pare feu, je transmets le lien de partage. Une fois que le destinataire a accédé aux fichiers, je ferme le port. C'est tellement occasionnel que je préfère fonctionner de la sorte. 🙂

Voici les captures d'écran: Pour le NAT: pare feu du nas: Pour les règles de pare feu: 1/ Je refuse toutes les communications venant de Chine/ Mali/ Côte d'Ivoire, etc 2/ J'autorise tout le trafic provenant d'une connexion depuis VPN Serveur 3/ J'autorise tout le trafic provenant des appareils de mon réseau local. 4/ J'autorise les ports de certaines applications en les sélectionnant directement dans la liste (ports 80, 443, openVPN, NTP, transferts de fichiers windows etc) 5/ J'autorise le port spécifique SFTP (je désactive cette règle lorsque je ne m'en sers pas) 6/ Je refuse tout le reste Pour DNS Server: Pour la résolution Pour la zone Pour la vue:

Bonjour @.Shad. et @oracle7 et merci pour vos réponses. Effectivement c'est utile d'ouvrir le port 5001 quand je veux me connecter en local via mon ndd synology.me car c'est comme si je me connectais "à l'extérieur". Ma box internet ne fait pas de loopback. C'est la raison pour laquelle j'ai installé et configuré DNS Server. Je veux me connecter en local et via VPN à DSM avec ndd.synology.me sans que ça me fasse passer par l'extérieur de mon réseau. Dans ce cas, il serait inutile d'ouvrir le port 5001 en théorie puisque ça revient à me connecter avec l'ip privée du NAS. Sauf que ça ne fonctionne pas, je passe visiblement encore par l'extérieur... Je vais faire les captures correspondantes, merci à toi!

Bonjour à tous. J'ai essayé de configurer un serveur DNS avec DNS Server en suivant ce tuto pour la partie locale https://www.nas-forum.com/forum/topic/55206-tuto-dns-server/ Malheureusement, ça ne fonctionne pas. Lorsque je n'autorise pas le port 5001 dans le pare feu du NAS, je ne peux pas accéder à DSM via mon nom de domaine ndd.synology.me Je souhaite accéder à DSM en local avec ce nom de domaine et également via VPN à distance. Ceci dans le but de ne pas autoriser le port 5001 dans le pare feu. Dans la liste des IP source, je n'ai pas ajouté les adresses 172.16.0.0/255.240.0.0 car je n'utilise pas docker. Je n'ai pas créé de ressources de type CNAME (j'avais essayé au départ mais ca ne fonctionnait pas non plus). De plus je compte accéder à DSM uniquement avec https://ndd.synology.me A votre avis quel serait le soucis?

Merci beaucoup @Jeff777 ! J'ai effectivement essayé de me connecter via mon nom de domaine:5001 ou :5000 avec directement un câble Ethernet sur la box internet et ça ne fonctionne pas. Donc pas de loopback J'ai peur de ne pas comprendre ta remarque. Quand j'ouvre le port 5001 dans le parefeu, il suffit que je tape https://ndd.synology.me pour que ça m'amène automatiquement sur le port 5001. C'est un soucis d'après toi? Je ne sais pas pourquoi je serai redirigé vers le port 80 ou 443. Je n'e fais pas proxy inversé pour DSM. J'ai essayé de configurer un serveur DNS mais ça ne fonctionne pas. Lorsque je n'ouvre pas le port 5001 dans le pare feu, je ne peux pas accéder à DSM via ndd.synology.me Je vais ouvrir un autre sujet. Y'a vraiment aucun soucis, merci à toi de m'aider et pour ta disponibilité!

Merci @Mic13710, justement j'ai vu que tu avais appliqué ce tuto à la lettre et que tu avais fait un retour très complet dessus! https://www.nas-forum.com/forum/topic/55206-tuto-dns-server/ Me concernant, étant donné que je souhaite accéder à DSM en tapant mon nom de domaine synology.me en wifi local et à l'extérieur par VPN uniquement, est ce que la partie zone DNS publique est utile pour moi? Où devrais-je m'arrêter?

Merci @Jeff777 pour l'idée du proxy inversé! Par contre ça me fera ouvrir DSM via le port 443 au lieu du port 5001 directement... ça revient un peu au même je trouve. Ce que je ne comprends pas c'est pourquoi je ne peux pas me connecter à DSM en wifi local via mon nom de domaine synology.me si je ne traite pas le port 5001 (box et pare feu)? Sur un autre post, on m'a dit que ça vient peut être du fait que je passe par l'extérieur car la résolution DNS interne ne permet pas de savoir que c'est le NAS que je cherche à atteindre. Il y aurait plusieurs solutions à ce problème : - avoir une box qui fait du loopback: comment savoir si c'est le cas? - mettre en place un serveur DNS local: ça a l'air trop complexe pour moi - modifier le fichiers hosts de tes clients: comment faire cela? J'y suis presque en tout cas!