Param

[7nat7]

Bonjour,

Ca fait quelque temps que je cherches à sécuriser toutes mes connections en n'accédant au DSM plus qu'en HTTPS, et j'ai un soucis pour le paramétrage.

Mon serveur NAS est un Synology 212+ avec DSM4.3 à jour. Il est derrière le NAT d'une Livebox avec une adresse IP fixe sur 192.168.1.39/24.

J'ai correctement paramétré le DynDNS et les requètes DNS sont toujours OK, d'où que je sois.

Le NAT de ma box est également paramétré pour ouvrir vers le NAS les ports 5000. 5001

Il y a plusieurs cas de figures que j'observe et n'arrive pas à comprendre.

1) L'ordinateur client est sur le réseau local (à l'adresse 192.168.1.50 par exemple)

1/ Quand j'essaie d'accéder à l'adresse http://192.168.1.39 ou http://192.168.1.39:5000 ou https://192.168.1.39:5001 :

La redirection automatique marche et j'obtient une connection HTTPS avec mon DSM à l'URL https://192.168.1.39:5001. PARFAIT.

Donc le service HTTPS sur le Syno fonctionne.

2/ Quand j'essaie d'y acceder par l'adresse http://mon.nomdedomaine.tld ou :5000

La redirection marche, et m'envoie sur l'URL https://mon.nomdedomaine.tld:5001 (ce que je veux).

Mais la page ne se charge pas (Firefox dit "Firefox can't establish a connection to the server at ..."

3/ Quand j'essaie directement https://mon.nomdedomaine.tld:5001

Pas de redirection à faire, et ça ne marche pas non plus

2) L'ordinateur est à l'extérieur :

Les cas 2 et 3 sont les mêmes.

Je suppose que le problème vient du paramétrage du NAT, puisqu'en local les adresses ne sont pas traduites, mais j'ai tenté d'ouvrir tous les ports et je n'ai pas trouvé de solution.

Pour le moment, le paramétrage que j'ai et qui me semble le plus logique est une redirection (TCP uniquement) des ports 5000->5000 & 5001->5001 vers 192.168.1.39

Y'a t'il quelquechose sur les NAT ou sur le protocole HTTPS que je ne pige pas?

Merci d'avance à tous.

BOUSSON Valentin

EDIT :

Pour précisions, je n'ai aucunes règles dans le pare-feu Syno (par défaut : accepter), le pare-feu de ma box est coupé et n'est régi que par les règles NAT.

J'ai également désactivé toutes les options de sécurités (par dépit ^^) concernant les connection HTTPS.

Modifié le 29 octobre 2013 par 7nat7

[oli.oli]

Apparemment, les cas 1.1 et 1.2 sont normaux avec la LiveBox. Elle bloque ce qu'on appelle le "loopback" (le fait d'accéder à ton LAN depuis ton LAN en passant par le Web)...

Depuis l'extérieur, que se passe-t-il avec ton IP publique?

https://ton_IP_publique:5001?

[7nat7]

Ah, je savais pas. Quelle sont les raisons qui motivent à bloquer le loopback ?

Depuis l'extérieur, sur FF ça mouline à l'infini. Et sur chrome, "Page web inaccessible"

J'ai aussi tenté en passant par un proxy (Hidemyass) et il me répond que "le port est invalide"

Le NAT n'a pas envie de forward mon port 5001 ?

(Je déteste le NAT des BOX, j'ai l'impression qu'il y a de la magie noire à l'intérieur. (cf les problèmes que posent les 2-sided NAT pour FTP) ^^)

[oli.oli]

Pour la loopback, faut demander à Orange...

Sinon, tu as mis quoi en protocole pour tes règles de NAT?

Modifié le 29 octobre 2013 par oli.oli

[7nat7]

Pour le HTTP 5000, qui marche (puisque redirection) (et puisque ca merchait bien avant).

port externe 5000

port interne 5000

adresse ip 192.168.1.39

protocole TCP

Pour le HTTPS 5001, qui ne marche visiblement pas

port externe 5001

port interne 5001

adresse ip 192.168.1.39

protocole TCP + UDP

Pourtant, c'est du SSL qui passe par là, donc je vois pas le problème, le TCP devrait même suffir, non ?

Ca parait tout bête comme config, je vois pas où ça pourrait pécher.

[oli.oli]

Pour le cas 2.3 tu as quoi comme erreur exactement?

Et c'est la même qu'en mettant directement ton IP publique?

Et si tu mets 443 redirigé vers le 192.168.1.39:5001 en TCP pour le NAT et que tu testes avec https://ton_nom_de_domaine (sans numéro de port), ça donne quoi?

[Fravadona]

Pas de probleme au niveau des certificats ?

[7nat7]

Bonjour,

Alors, à propos des certificats, quand j'accède au DSM depuis chez moi, j'ai un certificat non signé, mais je le passe en exception sans problème. J'ai cherché si un problème pouvait venir de ce coté là, mais je n'en suis pas convaincu.

--

Bon alors, en fait, je viens de faire quelquechose que j'aurai du faire en premier. J'ai supprimé puis rerentré la règle NAT HTTPS, redémarré ma box, et ça fonctionne.

Je ne saurais dire pourquoi, mais j'avais une règle NAT fantome. Foutues Box.

Désolé de vous avoir embété avec ce faux-problème et merci pour votre écoute.

Moralité (toujours bonne à réapprendre) : Toujours tester un redémarrage !

Au passage, nonon, la livebox (dumoins la mienne : Livebox FTTH v2)

ne bloque pas le loopback. J'arrive à accéder depuis chez moi à l'adresse https://mon_ip_publique:5001