Babou57

Je pourrais rendre DSM accessible depuis l'extérieur via le port 443 au lieu du port 5001 mais c'est pas ce que je veux faire. Je veux accéder à DSM uniquement pour configurer le NAS, c'est à dire de manière très très occasionnelle puisque ma configuration touche à sa fin. A ce titre je veux pouvoir le configurer par IP privée du NAS et xxx.synology.me en local et via VPN uniquement! Si je passe par le port 443, étant donné que ce port est autorisé et NATé en permanence pour le reverse proxy, je ne trouve pas cela suffisamment sécurisé. Je laisse une porte ouverte constamment vers DSM depuis l'extérieur hors VPN. ça ne me plait pas beaucoup. Aujourd'hui ce qui ne fonctionne pas c'est d'utiliser xxx.synology.me. C'est pour ça qu je cherche à configurer le serveur DNS en loopback. Si je passe par le port 443 ça rendrait le VPN caduque pour le coup. Non pas de redirection HTTP vers HTTPS car j'ai cru comprendre que ça cassait le proxy inversé (sauf en insérant un script dans webstation) et je n'en ai pas l'utilité de toutes façons. D'accord. il me semble que le NTP est utile pour le serveur mettant à jour l'horloge automatique du NAS. C'est utilisé dans la vérification en 2 étapes. Pour le serveur de fichiers windows je pense qu'il s'agit du service SMB. Je vois pas l'intérêt d'ajouter une règle dans le pare feu pour ça... Là par contre je ne comprends pas trop ta question. Je suis débutant dans les NAS... Dans DNS server en type A j'ai bien renseigné l'adresse IP fixe privée du NAS. Sur mon smartphone, tablette, box android tv, pour me connecter aux applications synology j'utilise le proxy inversé: music.xxx.synology.me:443 par exemple pour audio station. Tout fonctionne. Il n'y a que pour accéder à DSM que je suis obligé de taper l'adresse IP fixe du NAS. Avant quand le port 5001 était ouvert je pouvais y accéder par le nom de domaine. Je voudrai pouvoir le faire à nouveau via le loopback de DSN serveur en local et via VPN à l'extérieur.

Je viens de faire la modif mais ça ne change rien apparemment. que je rentre http://ndd.synology.me:5000, https://ndd.synology.me:5001 ou ndd.synology.me, je n'accède jamais à la page

Ah mais j'utilise le proxy inversé! C'est pour ça que je NAT et que j'autorise le port 443. Je l'utilise pour mes applications smartphone, tablette et android TV et pour partager DSVIDEO simplement avec ma famille à distance. Effectivement j'avais traité le port 80 pour le certificat Let's encrypt car j'avais entré les sous noms de domaine un par un. Maintenant que j'utilise une wildcard, je ne savais pas que ça n'a plus lieu d'être. Je ne redirige pas HTTP vers HTTPS et je n'ai pas de site web. Par contre j'utilise Photo Station. Cette appli utilise le port 80 je crois. Non? Parce que j'aimerai fermer ce port s'il n'est pas utilisé. Edit: je viens de voir que photo station utilisait le port 443 en https, je vais fermer le port 80. D'ailleurs j'ai autorisé le port pour le service NTP dans le pare feu mais je ne suis pas sûr que ce soit utile justement. Idem pour les ports "serveur de fichiers windows CIFS"... qu'en penses-tu? Lors de l'installation d'une appli ou d'un service, DSM me les a autorisé directement mais je ne sais pas à quoi ils correspondent. Parfait, je vais les fermer dans ce cas. Oui le port 1194 est déjà ouvert et NATé. Pour la restriction à la plage 10.8.0.0 c'est une bonne idée 🙂 je le fais tout de suite. En utilisant le proxy inversé je peux utiliser toutes les applis dont j'ai besoin sans traiter le port 5001. Oui c'est vrai que les liens de partage de fichier ne sont plus opérationnels du coup mais si j'ai besoin de partager un fichier, j'autorise le port dans le pare feu, je transmets le lien de partage. Une fois que le destinataire a accédé aux fichiers, je ferme le port. C'est tellement occasionnel que je préfère fonctionner de la sorte. 🙂

Voici les captures d'écran: Pour le NAT: pare feu du nas: Pour les règles de pare feu: 1/ Je refuse toutes les communications venant de Chine/ Mali/ Côte d'Ivoire, etc 2/ J'autorise tout le trafic provenant d'une connexion depuis VPN Serveur 3/ J'autorise tout le trafic provenant des appareils de mon réseau local. 4/ J'autorise les ports de certaines applications en les sélectionnant directement dans la liste (ports 80, 443, openVPN, NTP, transferts de fichiers windows etc) 5/ J'autorise le port spécifique SFTP (je désactive cette règle lorsque je ne m'en sers pas) 6/ Je refuse tout le reste Pour DNS Server: Pour la résolution Pour la zone Pour la vue:

Bonjour @.Shad. et @oracle7 et merci pour vos réponses. Effectivement c'est utile d'ouvrir le port 5001 quand je veux me connecter en local via mon ndd synology.me car c'est comme si je me connectais "à l'extérieur". Ma box internet ne fait pas de loopback. C'est la raison pour laquelle j'ai installé et configuré DNS Server. Je veux me connecter en local et via VPN à DSM avec ndd.synology.me sans que ça me fasse passer par l'extérieur de mon réseau. Dans ce cas, il serait inutile d'ouvrir le port 5001 en théorie puisque ça revient à me connecter avec l'ip privée du NAS. Sauf que ça ne fonctionne pas, je passe visiblement encore par l'extérieur... Je vais faire les captures correspondantes, merci à toi!

Bonjour à tous. J'ai essayé de configurer un serveur DNS avec DNS Server en suivant ce tuto pour la partie locale https://www.nas-forum.com/forum/topic/55206-tuto-dns-server/ Malheureusement, ça ne fonctionne pas. Lorsque je n'autorise pas le port 5001 dans le pare feu du NAS, je ne peux pas accéder à DSM via mon nom de domaine ndd.synology.me Je souhaite accéder à DSM en local avec ce nom de domaine et également via VPN à distance. Ceci dans le but de ne pas autoriser le port 5001 dans le pare feu. Dans la liste des IP source, je n'ai pas ajouté les adresses 172.16.0.0/255.240.0.0 car je n'utilise pas docker. Je n'ai pas créé de ressources de type CNAME (j'avais essayé au départ mais ca ne fonctionnait pas non plus). De plus je compte accéder à DSM uniquement avec https://ndd.synology.me A votre avis quel serait le soucis?

Merci beaucoup @Jeff777 ! J'ai effectivement essayé de me connecter via mon nom de domaine:5001 ou :5000 avec directement un câble Ethernet sur la box internet et ça ne fonctionne pas. Donc pas de loopback J'ai peur de ne pas comprendre ta remarque. Quand j'ouvre le port 5001 dans le parefeu, il suffit que je tape https://ndd.synology.me pour que ça m'amène automatiquement sur le port 5001. C'est un soucis d'après toi? Je ne sais pas pourquoi je serai redirigé vers le port 80 ou 443. Je n'e fais pas proxy inversé pour DSM. J'ai essayé de configurer un serveur DNS mais ça ne fonctionne pas. Lorsque je n'ouvre pas le port 5001 dans le pare feu, je ne peux pas accéder à DSM via ndd.synology.me Je vais ouvrir un autre sujet. Y'a vraiment aucun soucis, merci à toi de m'aider et pour ta disponibilité!

Merci @Mic13710, justement j'ai vu que tu avais appliqué ce tuto à la lettre et que tu avais fait un retour très complet dessus! https://www.nas-forum.com/forum/topic/55206-tuto-dns-server/ Me concernant, étant donné que je souhaite accéder à DSM en tapant mon nom de domaine synology.me en wifi local et à l'extérieur par VPN uniquement, est ce que la partie zone DNS publique est utile pour moi? Où devrais-je m'arrêter?

Merci @Jeff777 pour l'idée du proxy inversé! Par contre ça me fera ouvrir DSM via le port 443 au lieu du port 5001 directement... ça revient un peu au même je trouve. Ce que je ne comprends pas c'est pourquoi je ne peux pas me connecter à DSM en wifi local via mon nom de domaine synology.me si je ne traite pas le port 5001 (box et pare feu)? Sur un autre post, on m'a dit que ça vient peut être du fait que je passe par l'extérieur car la résolution DNS interne ne permet pas de savoir que c'est le NAS que je cherche à atteindre. Il y aurait plusieurs solutions à ce problème : - avoir une box qui fait du loopback: comment savoir si c'est le cas? - mettre en place un serveur DNS local: ça a l'air trop complexe pour moi - modifier le fichiers hosts de tes clients: comment faire cela? J'y suis presque en tout cas!

Merci beaucoup de m'avoir aidé! Après avoir remplacé le certificat Let's Encrypt en ajoutant les sous noms de domaine des applis et après avoir appliqué un double chiffrement dans le proxy inversé pour Video Station (port 443 vers port HTTS local de Video Station), tout fonctionne! Je peux me connecter à toutes les applis. Merci à toi, effectivement il y avait eu une erreur lors de ma première manip, cette fois ci je vois bien *.ndd.synology.me et ça fonctionne aussi bien qu'avant. Je reviens vers toi par rapport à ce que tu m'avais dit @.Shad. J'ai configuré le NAS en serveur VPN également pour accéder à DSM à distance. L'intérêt pour moi c'est de ne pas rediriger le port spécifique DSM dans ma box. Lorsque je me connecte avec OpenVPN ça fonctionne. En entrant l'adresse IP Locale 192.168.X.X ou l'adresse VPN 10.8.X.X, j'arrive à DSM. Par contre, que ce soit en wifi local ou en VPN via 4g, lorsque je rentre le nom de domaine ndd.synology.me, je n'aboutis à rien. Les applications configurées dans le proxy inversé fonctionnent toutes. C'est uniquement pour accéder à DSM par cette voie qu'il y a un soucis. Est ce que cela est dû au fait que je passe par l'extérieur à cause de la résolution DNS interne de mon ndd synology.me justement? Parmi les solutions que tu énonces: Comment savoir si ma box fait du loopback? Le tuto DSN Server a l'air hors de ma portée, surtout concernant la partie publique Comment modifier les fichiers host des clients? Sur la box je ne redirige que les 2 ports du proxy inversé, le port 6690, le port 16881 et le port OpenVPN. Je ne fais pas celui de DSM. Idem dans le pare feu, j'ai décoché celui de DSM et je n'autorise que les ports précédents. Merci encore!

Merci beaucoup à tous les 2! Chez moi le TAP-adaptater était tout le temps "connecté" (donc sans croix rouge) même quand je quittais OpenVPN. J'ai suivi vos conseils et j'ai désinstallé OpenVPN de fond en comble. J'ai installé OpenVPN Connect (que je ne connaissais pas mais c'est le premier téléchargement du site officiel OpenVPN). Je l'ai lancé et j'ai intégré le fichier de configuration. On m'a demandé le certificat externe qui va avec mais bizarrement il ne le trouve pas (alors qu'il était dans le même dossier). J'ai fait "continuer quand même" et là ça a fonctionné! Du coup comme je trouvais le logiciel un peu lourd, je me suis décidé à réinstaller OpenVPN client. Cette fois, dans la config d'installation j'ai sélectionné le strict minimum: open client, driver TAP-adaptater. J'ai décoché Wintun driver, VPN service, Configuration samples et tout le reste. Pour la copie du fichier de config, je l'ai copier directement sous Program Files/openVPN/config. Avant je l'avais copié dans User/OpenVPN/config. Je n'ai copié QUE le fichier de config et pas le certificat avec comme avant. En retentant de me connecter... ça a fonctionné aussi! C'est nickel, je peux accéder à l'interface DSM en 4G via adresse IP locale et 10.8.X.X en port 5000 ou 5001! Je peux même accéder à l'interface de ma box internet en 4G mais je pense que c'est normal puisque j'ai coché la case "Autoriser aux clients l'accès au serveur LAN" c'est cela? Par contre je ne peux pas accéder à DSM via mon nom de domaine en synology.me. C'est normal? Il faudrait que ma box internet fasse du loopback pour cela si j'ai bien compris? Merci beaucoup en tout cas!

J'ai trouvé. Dans le certificat Let's encrypt j'ai ajouté comme autres noms de domaine l'adresse de dsvideo renseignée dans le menu Reverse Proxy. Pour ce qui est du proxy inversé, j'ai fait du double chiffrement: HTTPS port 443 vers port HTTPS de videostation et tout fonctionne. Aussi bien en local qu'en 4g. Par contre, même avec le tuto pour activer le DTS et le TRUE HD, je remarque que j'ai un film qui se lance sur la shield sans le son. Sur toutes les autres plateformes le son y est. Le même film sur plex se lance avec le son. La plage son de ce film est en FLAC. C'est normal que le son ne sorte pas sur Shield?

ça a l'air d'être bon... par contre j'ai un "OpenVPN Wintun" je ne sais pas à quoi ça correspond.

Je viens d'essayer et ça ne fonctionne pas non plus. J'ai essayé également en laissant le caractère de commentaire sur la ligne redirect gateway mais j'ai le même soucis... incompréhensible

Bonjour à tous, Je patine depuis plusieurs semaines avec videostation. J'ai configuré le proxy inversé pour cette application. Je me connecte via mon nom de domaine synology.me:443 en https. J'ai accès à toute ma bibliothèque. J'ai suivi le tuto pour débrider video station, activer la lecture du DTS. Certains films se lancent sur un ordinateur en wifi local. D'autres non. On ne me dit pas que le format n'est pas reconnu, on ne me dit rien. La roulette de chargement tourne indéfiniment. Sur smartphone, les mêmes films se lancent en wifi local, les autres ne se lancent pas non plus. Par contre en 4g aucun film ne se lance. On me propose de choisir un lecteur, je sélectionne VLC puis le plot de chargement tourne indéfiniment. J'ai beaucoup cherché et je n'ai rien trouvé. Ce serait un problème de transcodage?

Je simule une connexion extérieure en connectant mon ordi portable sur la 4g de mon téléphone portable. (fonction point d'accès mobile sur le téléphone et connexion en wifi sur le réseau "Android AP" sur l'ordi portable) Avec mon Wifi Local c'est pareil, la connexion ne se fait pas. Tu crois qu'au lieu de renseigner mon adresse IP publique dans le fichier de config je devrais plutôt renseigner le nom de domaine ndd.synology.me?

Voici les captures d'écran. Pour le NAT, l'adresse masquée est l'adresse fixe du NAS (Fixée dans la box internet) Pour les règles de pare feu: 1/ Je refuse toutes les communications venant de Chine/ Mali/ Côte d'Ivoire, etc 2/ J'autorise tout le trafic provenant d'une connexion depuis VPN Serveur 3/ J'autorise tout le trafic provenant des sous-réseaux de Docker. 4/ J'autorise tout le trafic provenant des appareils de mon réseau local. 5/ J'autorise les ports de certaines applications en les sélectionnant directement dans la liste (ports 80, 443, DSM, openVPN, NTP, transferts de fichiers windows etc) 6/ J'autorise le port spécifique SFTP (je désactive cette règle lorsque je ne m'en sers pas) 7/ Je refuse tout le reste Pour le VPN, l'adresse IP masquée sur la capture 2 est celle fixe du NAS

Merci Jeff, j'ai redémarré ma box plusieurs fois depuis que j'ai le NAS (1 mois) et j'ai toujours la même adresse IPV4 publique. Malheureusement je ne vois toujours pas ce qui coince pour le VPN et je suis à cours d'idée...

C'est bizarre car dans le tuto que j'ai suivi, c'est indiqué: Après j'y connais pas grand chose. A quoi sert cette ligne? Comment je peux savoir si ma box a une adresse IP publique fixe? Edit: En allant sur ce lien http://www.mon-ip.com/ip-dynamique.php, j'ai pu constater que j'avais une adresse ip fixe. Par contre on ne m'affichait qu'une adresse IP V6, je sais pas si c'est normal.

Voici: J'ai mis l'adresse IP publique du NAS et j'ai enlevé le caractère de commentaire à "redirect gateway" car j'ai coché la case "Autoriser aux clients l'accès au serveur LAN" dev tun tls-client remote 78.118.X.X 1194 # The "float" tells OpenVPN to accept authenticated packets from any address, # not only the address which was specified in the --remote option. # This is useful when you are connecting to a peer which holds a dynamic address # such as a dial-in user or DHCP client. # (Please refer to the manual of OpenVPN for more information.) #float # If redirect-gateway is enabled, the client will redirect it's # default network gateway through the VPN. # It means the VPN connection will firstly connect to the VPN Server # and then to the internet. # (Please refer to the manual of OpenVPN for more information.) redirect-gateway def1 # dhcp-option DNS: To set primary domain name server address. # Repeat this option to set secondary DNS server addresses. #dhcp-option DNS DNS_IP_ADDRESS pull # If you want to connect by Server's IPv6 address, you should use # "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode proto udp script-security 2 comp-lzo reneg-sec 0 cipher AES-256-CBC auth SHA512 auth-user-pass <ca> -----BEGIN CERTIFICATE-----

J'ai essayé *.ndd.synology.me et apparemment ça fonctionne mais ça n'inscrit pas plus de noms de domaines que ce que j'avais mis. J'en avais pas oublié donc je pense 🙂

J'ai du nouveau pour DS video sur smartphone. Il y a une étape importante que je n'avais pas faite (je ne savais pas qu'elle était à faire car c'est traitre...) c'est d'ajouter les sous domaines synology.me pour les applications du proxy inversé au certificat let's encrypt. En effet on voit dans le certificat: "Pour Drive, video.ndd.synology.me, music.ndd.synology.me mais en fait ces sous-domaines ne sont pas inscrits dans le certificat. Il faut remplacer le certificat et réécrire un par un les sous domaines dans "autres noms". Bref un problème de réglé! Depuis je n'ai plus de message comme quoi le certificat est non fiable. Je peux accéder directement à la page de connexion des applications via un navigateur. Pour DS video, en reconfigurant le reverse proxy en https, la lecture des films fonctionne en local via wifi en me connectant via video.ndd.synology.me:443 et en activant https sur la page de connexion. C'est très bien mais je constate qu'en 4g ça ne fonctionne toujours pas. La lecture ne se fait plus. Mais je touche au but!

Merci de ta réponse, oui je l'avais configuré comme dans le tuto justement. Là j'ai désactivé le pare feu pour tester et je constate en fait que le client VPN ne se connecte pas. Il me marque: "Initialization Sequence Completed With Errors" Je vois pas le soucis... j'ai suivi le tuto à la lettre Parmi les erreurs j'ai: "WARNING: Compression for receiving enabled. Compression has been used in the past to break encryption. Sent packets are not compressed unless "allow-compression yes" is also set." "DEPRECATED OPTION: --cipher set to 'AES-256-CBC' but missing in --data-ciphers (AES-256-GCM:AES-128-GCM). Future OpenVPN version will ignore --cipher for cipher negotiations. Add 'AES-256-CBC' to --data-ciphers or change --cipher 'AES-256-CBC' to --data-ciphers-fallback 'AES-256-CBC' to silence this warning." "WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info." "WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this" "Warning: route gateway is not reachable on any active network adapters:10.8.X.X"

Bonjour à tous. J'ai suivi ce tuto pour configurer un serveur Open VPN: https://www.nas-forum.com/forum/topic/53328-tuto-vpn-server/ Il est vraiment très bien fichu. J'ai suivi à la lettre les étapes. J'ai traité le port 1194 et autorisé aux clients l'accès au serveur LAN. J'ai exporté le certificat et je l'ai intégré correctement dans mon client OpenVPN windows. Lorsque je me connecte, la connexion est réussie. Sauf que quand je tape dans la barre d'adresse 10.8.X.X ou http://10.8.X.X:5000 ou https://10.8.X.X:5001 ou encore 192.168.X.X, https://192.168.X.X:5001 et http://192.168.X.X:5000 je n'accède jamais à DSM. La page charge indéfiniment et on me dit qu'elle n'existe pas. Je m'y prends peut être mal... J'ai un nom de domaine en synology.me également. Pourquoi je ne peux pas y accéder?

Je pensais que les ports 6001-6010 ne correspondait qu'au Airplay. Etant donné que je n'ai pas d'appareils Apple, j'ai décidé de ne plus les traiter. Sauf qu'apparemment ça enlève aussi les périphériques chromecast! Je ne les vois plus apparaitre sur mon téléphone dans audio station, uniquement "le nom de mon téléphone". Je les ai re-natté et ré-autorisé et c'est revenu... Je pense donc que ces ports autorisent plus que Airplay. J'en ai profité pour re-traiter 9025-9040 car je ne voyais plus les périphériques dans video station non plus. D'ailleurs concernant les périphériques distants, je me suis aperçu d'un truc dingue. Lorsque je me connecte à audio station avec un compte admin, je vois les périphériques DLNA mais pas les périphériques chromecast (alors qu'avec DS audio sur smartphone je vois les 2). MAIS SURTOUT, si je me connecte avec un compte utilisateur qui a accès à tous les dossiers du nas et toutes les applications, je ne vois plus aucun périphérique!!!!!! Uniquement "Mon ordinateur". J'ai refait le test en faisant appartenir cet utilisateur au groupe administrateur également et là je peux voir les périphériques DLNA... J'y comprends rien. Idem dans Video Station, il faut un compte administrateur pour voir les différents périphériques de lecture!! Et alors pourquoi les périphériques chromecast ne sont visibles que dans l'appli smartphone... Mystère!!