Acces Nas Du Boulot

[rogerb]

Bonjour,

Je rencontre un problème simple :

accès à mon nas impossible à partir du boulot. Je suis bloqué avec un message qui dit grosso modo que c'est interdit parce que l'adresse que je cherche à joindre est détéctée comme: Dynamic DNS Host;File Storage/Sharing. Je ne sais pas si c'est un filtre proxy? ou autre...

J'ai consulté quelques topics sur le forum et j'ai trouvé cela :

mais je ne suis pas certain que cela résolve mon pb. (avant d'essayer j'aimerai savoir si cela sera utile pour mon cas).

D'après ce que j'ai compris :

1 - les filtres proxy bloquent certains ports. Pour résoudre ce problème, on utilise un reverse proxy qui "entre" par un port ouvert (genre ) et donne accès aux autres ports dispo sur le LAN. Dans mon cas, je n'ai trouvé aucun port ouvert sur mon NAS en partant du réseau du boulot.

A priori je dirai que cette solution ne pourra pas marcher. Vrai ?

2 - j’utilise une adresse mondomaine.synology.com qui en dehors du réseau boulot me donne pleine satisfaction. Une autre hypothèse pour moi serait de faire en sorte que le filtre du boulot ne detecte plus mon nas comme "Dynamic DNS Host;File Storage/Sharing" .

Est ce possible?

3 - je viens de faire un test qui me fait penser que peut etre le reverse proxy pourrait m'aider :

3a - mondomaine.synology.com:45001 bloqué par le proxy (message dans le navigateur) ==> kport fermé par le proxy du boulot.

3b - mondomaine.synology.com: filtré et message reseau interne. ==> port ouvert mais contenu filtré (NAS etc..)

Du coup, si je redirige avec un reverse proxy vers 45001, j'aurai accès? ou je serai filtré?

Merci pour votre aide.

Roger.

Modifié le 16 décembre 2013 par rogerbraguette

[nathann60]

salut a toi , a tu fais un essai en tapent l'ip externe de ta box de chez toi pour voir si tu accède a ton nas?

[rogerb]

Hello,

J'accède à mon Nas de n'importe où dans le monde ... sauf lorsque j'essaye d'y accèder en étant sur le réseau du boulot.

Si la question est de voir s'il y a un problème de redirection de port ou d'accès via internet : la réponse est non

Roger.

[nathann60]

non pas de problème de ports mais vue que le proxy vois que tu fais des essais de connexion sur une adresse DDNS fais un essai avec l'adresse ip externe de ta box

[rogerb]

ok je vais tenter si j'arrive à retrouver mon ip

je ne la connais pas par coeur

je te tiens au jus.

Modifié le 16 décembre 2013 par rogerbraguette

[nathann60]

regarde chez ton fournisseur de DDNS ou alors si tu est chez toi regarde

-- ICI --

[CoolRaoul]

Les noms de domaines DDNS (dont font partie ceux fournis par synology *.synology.com, *.myds.me etc ..) sont catégorisés comme noms de domaines dynamiques et, par suite, très souvent filtrés par les proxies d'entreprise.

La solution est, soit comme on te l'a suggéré d'utiliser ton IP (si elle est fixe), mais c'est pas très pratique, surtout si tu veux faire du virtualhost, soit de t'acheter un nom de domaine: l'abonnement annuel est franchement pas élevé (moins de 10€ par an en .fr chez OVH par exemple: http://www.ovh.com/fr/domaines/dotfr.xml)

Modifié le 16 décembre 2013 par CoolRaoul

[nathann60]

@ CoolRaoul, c'est vrai je n'avait pas penser a un nom de domaine.fr mais oui c'est une solution.

[rogerb]

Ok on avance !

j'arrive à acceder à mon nas. Le filtre "boulot" n'opère plus Super merci !

Par contre, impossible d'acceder au DSM manager.

Ca tourne et j'obtiens un "connection time out" et du coup j'ai l'impression que ça ressemble au pb décrit dans le post plus haut.

Je vais ptet devoir passer par le reverse proxy...

A suivre.

[CoolRaoul]

Par contre, impossible d'acceder au DSM manager.

Ca tourne et j'obtiens un "connection time out" et du coup j'ai l'impression que ça ressemble au pb décrit dans le post plus haut.

Je vais ptet devoir passer par le reverse proxy...

Très probable que ton proxy ne laisse pas passer le port 5000 (classiquement seuls et 443 sont autorisés)

[rogerb]

Très probable que ton proxy ne laisse pas passer le port 5000 (classiquement seuls et 443 sont autorisés)

oui je pense que le port 45000 redirigé vers le 5000 du Nas est bloqué du boulot. (point 3a de mon post initial).

Vous confirmez que pour by passer cela je dois:

A - mettre en place le reverse proxy?

ou

B - modifier "les fichiers de config pour inverser les ports avec 5000 et 443 avec 5001" du post

ps:

je vais surement passer chez ovh pour avoir un nom de domaine qui va bien.

Ca facilitera la vie je pense.

Modifié le 16 décembre 2013 par rogerbraguette

[CoolRaoul]

Vous confirmez que pour by passer cela je dois:

A - mettre en place le reverse proxy?

ou

B - modifier "les fichiers de config pour inverser les ports avec 5000 et 443 avec 5001" du post

L'option "A" est plus propre

Sinon tu as aussi la solution haproxy

En ce qui me concerne j'ai tendance à préconiser le reverse proxy car c'est ce que je maîtrise le mieux vu que j'utilise et que j'ai rédigé un tuto, mais haproxy répond aussi à la problématique.

Je l'avais testé au début mais il m'avait planté le NAS et j'ai préféré en rester là. Mais je package a été très certainement fiabilisé depuis le temps.

[rogerb]

Je vais regarder ce que fait HAProxy et voir si c'est plus facile que ta méthodo qui semble sur le papier assez simple.

Dans la méthodo, je vois que les balises ProxyPassReverse et ProxPass ont la même URL:Port. j'imagine que c'est normal mais je ne comprends pas.

Une autre question me vient à l'esprit :

j'ai mis en place du port forwarding pour eviter l'accès "facile" par le scan d'ip à mon nas sur les ports connus (5000, 5001, etc...).

Est ce que le reverse proxy n'est pas une regression d'un point de vue securité :

1 - ca ne sert plus à rien d'ouvrir les ports différents de et 443 puisque le but est qu'ils canalisent tout.

2 - est ce que je ne redeviens pas vulnérable puisque tout passe par et 443 dorénavant ?

N'existe t il pas un moyen de combiner les 2 (reverser + forward de port) ?

Est ce comme ça que cela fonctionne?

[CoolRaoul]

j'ai mis en place du port forwarding pour eviter l'accès "facile" par le scan d'ip à mon nas sur les ports connus (5000, 5001, etc...).

Est ce que le reverse proxy n'est pas une regression d'un point de vue securité :

1 - ca ne sert plus à rien d'ouvrir les ports différents de et 443 puisque le but est qu'ils canalisent tout.

2 - est ce que je ne redeviens pas vulnérable puisque tout passe par et 443 dorénavant ?

N'existe t il pas un moyen de combiner les 2 (reverser + forward de port) ?

Est ce comme ça que cela fonctionne?

Ce n'est pas forcément un risque: avec le reverse proxy au lieu d'acceder directement par exemple à l'interface DSM via les port 5000 et 5001 ou un autre port choisi par toi, il va falloir passer par un "virtualhost" du genre "MenuDSM.mondomaine.com"

Vu que tu peux choisir ce que tu veux pour la chaîne "MenuDSM", un potentiel attaquant aura du mal à la deviner en tapant au hasard; alors que le port il pourra par le trouver avec un peu de patience avec un simple scan de ports.

En plus, si tu veux, dans les blocs de définition de virtual hosts des fichiers de conf apache rien ne t’empêche de mettre en place des restrictions d'IP (via les clause "order", "deny" et "allow") pour n'accepter les connexions entrantes qu'a partir de sources connues et amies.

Et enfin, n'oublie pas que le blocage auto d'IP assure une bonne sécurité aussi.

Modifié le 16 décembre 2013 par CoolRaoul

[rogerb]

En plus, si tu veux, dans les blocs de définition de virtual hosts des fichiers de conf apache rien ne t’empêche de mettre en place des restrictions d'IP (via les clause "order", "deny" et "allow") pour n'accepter les connexions entrantes qu'a partir de sources connues et amies.

Oui j'ai créusé un peu le sujet et j'ai parcourru le site d'apache où j'ai trouvé plein d'options relatives aux virtualhosts et aux proxys.

Je ne sais pas ce que ça va donner mais si je trouve un truc je reviendrai le partager ici.

Et enfin, n'oublie pas que le blocage auto d'IP assure une bonne sécurité aussi.

Yep, j'ai passé une nuit sans et je me suis fait "bombarder" .

Du coup c'est le premier truc que j'ai activé et qui en plus du port forwarding me permet de dormir sur mes 2 oreilles !

Enfin, j'ai mis en place le reverse proxy grâce à ta méthodo et cela fonctionne très bien:

j'ai parfaitement accès au DSM depuis le boulot ce qui n'était pas le cas avant !

MERCI !

:) :)

[nathann60]

ba voila tu y est arrivé!!!!!!!

[CMDC]

Yep, j'ai passé une nuit sans et je me suis fait "bombarder" .

L'étape suivante est de ne pas ouvrir les ports en dessous de 1024 .... (en particulier le fameux port 22 de SSH ) mais c'est une autre histoire !

[rogerb]

L'étape suivante est de ne pas ouvrir les ports en dessous de 1024 .... (en particulier le fameux port 22 de SSH ) mais c'est une autre histoire !

Ca je pense que c'est bon : je n'ai que le d'ouvert. Tout le reste est en "port forwarding" et du coup au dessus de 1024