Aller au contenu

Firewall : Autoriser Une Adresse Dyndns (Ip Dynamique)


Messages recommandés

Bonjour,

J'aimerais autoriser l'accès de mon syno a un particulier dont l'ip est dynamique (son FAI change son ip régulièrement)... comment faire ?

Je lui créé une adresse dyndns fixe mais je ne peux pas l'insérer dans les réglages du firewall

Est-ce impossible de créer une règle de firewall avec un nom de domaine dyndns au lieu d'une ip ?

Lien vers le commentaire
Partager sur d’autres sites

Si je comprends bien ton firewall filtre les entrées par les adresses IP avec celles autorisées placées sur une "liste blanche" ?

Dans le cas d eton ami il n'y a pas de solution facile, ni même possible peut-être. En effet son IP lui est fournie eclusivement par son FAI et personne d'autre n'y peut quelque chose. Si son FAI lui change tous les jours elle changera tous les jours, tu n'y peux rien. Un DDNS (genre dyndns) ne rend pas cette IP "fixe" mais se charge seulement d'organiser un lien, une sorte d'alias qui lui est toujours le même (comme toto.dyndns.org par exemple) qui va être en permanence redirigé vers l'IP dynamique du moment. Ainsi aujourd'hui toto.dyndns.org dirigera vers 90.56.45.215 (ta vraie IP de connexion) et demain vers une autre comme 75.152.25.68 qui sera celle que te fournira ton FAI pour demain.

Lien vers le commentaire
Partager sur d’autres sites

La seule chance de pouvoir faire cela n'est pas "natif" au firewall du synology .... mais comme en informatique tout est possible, voici une possibilité (parmi d'autres très certainement) de pouvoir contourner le problème.

utilisation d'un script schédulé à ton bon vouloir qui récupère l'adresse IP de ami en utilisant l'adresse dyndns (par exemple en faisant un simple "ping machine.nomdedomaine.dyndns"

comparaison de cette adresse IP avec celle stockée par ton script dans un fichier texte (par exemple lastip.txt) lors de son dernier lancement

1) l'adresse ip est la meme : rien a faire, on sort du script

2) l'adresse ip est différente :

- suppression de l'entrée existante (ancienne ip de ton ami) dans le firewall synology

- ajout de la nouvelle adresse ip dans le firewall dy syno avec les bonnes autorisations

- remplacer l'adresse ip dans le fichier lastip.txt

Et voilà le tour est joué.

Je te l'accord, la solution est loin d'être évidente, mais comme il est possible d'ajouter/supprimer/lister les règles de firewall du synology en ligne de commande, cela rend la création d'un script possible.

http://blog.gauss-it.net/2014/08/synology-du-dsm-au-terminal/ => III) Gérer votre Firewall depuis votre Syno

La ligne de commande pour récupérer l'adresse IP en fonction du nom est simple elle aussi :

ping -q -c 1 nom.complet.dyndsn | grep PING | sed -e "s/).*//" | sed -e "s/.*(//"
Lien vers le commentaire
Partager sur d’autres sites

Et si on n'a pas encore atteint un niveau de paranoïa trop élevé, il est possible d'autoriser les sous-réseaux de l'opérateur auquel l'adresse IP appartient.
Liste des sous-réseaux IP : ftp://ftp.ripe.net/ripe/stats/membership/alloclist.txt

Exemple avec un client Orange dont l'adresse appartient nécessairement à l'un des sous-réseaux ci-dessous :

fr.telecom
    Orange S.A.

    19930901	193.248.0.0/14	ALLOCATED UNSPECIFIED
    19930901	193.252.0.0/15	ALLOCATED UNSPECIFIED
    19930927	194.2.0.0/16	ALLOCATED UNSPECIFIED
    19950111	194.51.0.0/18	ALLOCATED PA
    19950711	194.3.0.0/16	ALLOCATED UNSPECIFIED
    19951019	194.51.64.0/18	ALLOCATED PA
    19951019	194.51.128.0/17	ALLOCATED PA
    19951019	194.206.0.0/16	ALLOCATED PA
    19960304	194.250.0.0/16	ALLOCATED PA
    19960730	195.6.0.0/16	ALLOCATED PA
    19961101	195.25.0.0/16	ALLOCATED PA
    19970307	195.101.0.0/16	ALLOCATED PA
    19970501	62.160.0.0/16	ALLOCATED PA
    19980416	212.234.0.0/16	ALLOCATED PA
    19980729	62.161.0.0/16	ALLOCATED PA
    19990802	213.56.0.0/16	ALLOCATED PA
    20001222	217.108.0.0/15	ALLOCATED PA
    20010115	217.128.0.0/16	ALLOCATED PA
    20010406	217.167.0.0/16	ALLOCATED PA
    20010503	.8.0.0/13	ALLOCATED PA
    20020325	81.48.0.0/13	ALLOCATED PA
    20020326	81..0.0/16	ALLOCATED PA
    20030213	81.248.0.0/13	ALLOCATED PA
    20031021	82.120.0.0/13	ALLOCATED PA
    20031212	83.112.0.0/14	ALLOCATED PA
    20031212	83.192.0.0/12	ALLOCATED PA
    20050302	86.192.0.0/10	ALLOCATED PA
    20060302	90.0.0.0/9	ALLOCATED PA
    20070712	92.128.0.0/10	ALLOCATED PA
    20091007	109.208.0.0/12	ALLOCATED PA
    20100712	2.0.0.0/12	ALLOCATED PA
    20000623	2001:688::/32
    20051230	2a01:c000::/19

Lien vers le commentaire
Partager sur d’autres sites

Norbert231, voici un script que tu pourrais utiliser pour faire ce que tu souhaites, il suffira de le schéduler à ta guise :

#!/bin/sh
# *******************************************
# Script permettant d'autoriser une ip dynamique
# dans les regles de firewall du synology
# *******************************************
# *******************************************
# v1.0 - 01/03/15 - Version initiale
# *******************************************

# *******************************************
# Renseigner le nom FQDN du host a autoriser (dyndns ou autre)
# *******************************************
FQDNhost=monhost.dyndns.org
# *******************************************
# Renseigner le chemin complet ou sauvegarder la derniere adresse IP
# *******************************************
ArchiveIpFile=/volume1/homes/admin/store_managed_ip_dynamic.txt
# *******************************************
# Renseigner le nom de l'interface reseau du syno
# *******************************************
INTERF=eth0

# *******************************************
# Ne pas modifier la suite du fichier
# *******************************************
IPDYN=`nslookup $FQDNhost 2> /dev/null | awk '/^Address 1: / { print $3 }' | sed -n 2p`
ACTVAL=""

if [ -z "$IPDYN" ];then
    echo "Erreur nslookup"
    exit 1
fi
echo "$FQDNhost: $IPDYN"

if [ -f $ArchiveIpFile ]; then
    . $ArchiveIpFile
fi

if [ "$IPDYN" != "$ACTVAL" ]; then
    # Mise a jour des regles de firewall
    # Suppression de l'ancienne regle 
    IDRULE=`synofirewall --list $INTERF | grep "$(printf 't')ALL$(printf 't')(all)$(printf 't')$ACTVAL$(printf 't')allow" | sed 's/^([0-9]*)t.*$/1/'`
    if [ -z "$IPDYN" ];then
        echo "ID regle a supprimer: $IDRULE"
        synofirewall --delete $INTERF $IDRULE 2>&1
    else
        echo "Pas de regle a supprimer"
    fi
    # Ajout de la nouvelle regle
    echo "Ajout de la nouvelle regle:"
    synofirewall --insert $INTERF 500 2>&1 << EOF
0
1
$IPDYN
0
1
EOF
    # enregistrement de la nouvelle adresse
    echo "ACTVAL=$IPDYN" >$ArchiveIpFile
else
  echo "Aucun changement d'adresse IP"
fi
Lien vers le commentaire
Partager sur d’autres sites

Waouw ! Merci pour toutes ces aides et réponses

(je suis assez noobs et) je pensais qu'il y avait juste une case à cocher qui m'avait échappé qelque part dans l'interface du DSM ou quelque chose de simple de ce genre... je n'imaginais pas avoir enclenché une demande de script personnalisé sur mesure pour mon cas !

Merci loli71 pour cet effort héroique, je vais essayer de le mettre en place

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Routeur Orange ? Livebox play par exemple ?

Elle dispose de trois services DDNS : dtdns.net, no-ip.com et dyndns.org. Ce dernier pour mémoire car il est devenu payant.

On va prendre l'exemple de dtdns qui est gratuit et très fiable.

D'abord aller sur le site www.dtdns.net

S'enregistrer comme nouvel utilisateur.

Renseignements importants demandés:

définir un nom d'hôte (il faut qu'il soit libre, pas déjà utilisé par quelqu'un d'autre) par exemple toto

définir un mot de passe (pour toto)

donner une adresse mail fonctionnelle (il faudra confirmer l'inscription)

les autres renseignements sont sans intérêt on peut mettre n'importe quoi.

Dès lors (une fois le mail d'acceptation validé) tu auras un "nom de connexion" comme ça : toto.dtdns.net

Tu peux quitter c'est fini.

Tu vas maintenant dans ta box en tant qu'administrateur >>> configuration avancée >>> onglet DynDns

Dans la fenêtre en dessous tu auras

Nom d'hôte = tu y mets celui obtenu précédemment = toto.dtdns.net

Nom utilisateur mail = toto (tout seul il ne faut pas mettre l'adresse mail, la dénomination de la fenêtre est trompeuse)

Mot de passe = le mot de passe défini ci-dessus pour toto)

Enfin bien faire "ajouter". Je ne sais pas pourquoi mais on oublie souvent.

La première mise en route peut prendre de quelques minutes jusqu'à 72 heures ! (il parait)

Le principe de fonctionnement :

Ce petit logiciel installé dans la box que tu viens de paramétrer va en permanence vérifier ton adresse IP publique. Celle fournie par ton FAI et qui change régulièrement.

Dès qu'il note un changement d'IP il transmet la nouvelle IP vers ton compte chez dtdns. Dès lors dtdns va associer ton nom de connexion (toto.dtdns.net) avec ton IP publique du moment. A chaque changement d'IP la redirection sera remise à jour dans les instants qui suivent.

Ce qui fait que quiconque tapera http://toto.dtdns.netdans un navigateur atteindra ta livebox.

Et restera bloqué là. (sécurité du parefeu et des ports d'entrée fermés)

Il te faudra alors paramétrer l'onglet NAT/PAT de la box pour "ouvrir" c'est à dire rediriger les ports nécessaires aux applications voulues vers le nom du syno ou son IP privée.

Il faudrait aussi créer un bail c'est à dire dans l'onglet DHCP inscrire le syno, son numéro MAC et l'IP voulue dans le cadre IP statiques.

De ce fait ton syno aura toujours la même adresse IP quoi qu'il arrive et le routeur (box) ne l'attribuera jamais à personne d'autre.

Enfin bien activer et paramétrer (et peut être installer aussi) les applications voulues dans le syno.

Par contre et bien que cela soit très tentant NE JAMAIS LANCER EZinternet dans le syno qui est théoriquement indiqué pouvoir tout paramétrer automatiquement.

SAUF NOS BOX françaises trop élaborées. En tout cas EZinternet ne marche pas sur Liviebox, dérègle plein de choses ce qui nécessite la plupart du temps un reset "usine" de la box.

Rassure toi : ça parait hardu comme ça mais quand on l'a fait deux ou trois fois ca rentre tout seul.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Domlas,

Bon ne sachant pas que DtDNS était gratuit je suis tombé sur ton post

De ce pas vite fait bien fait je me suis crée un compte chez DtDNS

Compte accepter et confirmer via mon émail et le code d'activation.

J'ai été dans la Livebox ajouter un service DynDNS en choisissant bien DtDNS

Dans nom d’hôte complet j'ai mis toto.dtdns.net, toto a été remplacer par mon propre User Name

Le reste avait deja été fait comme les ports le bail de l'IP serveur

Un truc me chiffone, les 2 premières lettres du User Name sont passer en majuscule alors que moi je n'avais mis que des minuscules

La déclaration dans la box doit-elle faite avec des majuscule ou des minuscules ?

Dans la box colonne "dernière mise à jour' pour l'instant il y a "unknown"

Je suppose que l'on doit attendre la mise a jour

Lien vers le commentaire
Partager sur d’autres sites

Ok c'est parti,

Sur dtDNS : J'ai créé un username dans Hostnames, j’espère que c'est bien ca, donc j'ai bien un truc genre : username.dtdns.net qui a detecté mon IP et m'as mis en "Active Dynamic" ... et la mise à jour fonctionne dans la liveBox ! Parfait !

Question 1 : Différence entre Hostnames et Manage Domains sur DtDNS ?

Question 2 : Comment changer le mot de passe / login admin par defaut sur la liveBox ? (un peu dangereux la ^^)

(Edit1 : j'ai changé le mot de passe pour un mdp fort, à prioris le login : pas possible de le changer)

Ok par contre c'est chaud non ? je pense qu'on voit toute mon installation sans que je me log en tapant : username.dtdns.net ?

(Edit2: hmm je pense que y'a une redirection automatique quand je tape username.dtdns.net en local, car si je test en 3G par mon téléphone, j'ai une erreur pour l'instant).

Question 3 : Est ce que le FireWall LiveBox Orange paramétré en "moyen" suffit ?

Modifié par skyrick
Lien vers le commentaire
Partager sur d’autres sites

Ok c'est parti,

Sur dtDNS : J'ai créé un username dans Hostnames, j’espère que c'est bien ca, donc j'ai bien un truc genre : username.dtdns.net qui a detecté mon IP et m'as mis en "Active Dynamic" ... et la mise à jour fonctionne dans la liveBox ! Parfait !

Bonjour

Tu a bien de la chance car sur ma Livebox Play c'est encore marqué "unknown"

Moi je pense avoir fait exactement comme domlas l'a expliquer

Lien vers le commentaire
Partager sur d’autres sites

Dans "Configuration avancée" tout en bas tu a "Administration"

C'est ici que tu modifie la passe de l'administrateur de la Livebox

Yep, j'ai demandé pour changer le login, crééer autre chose que "admin" pour le mdp j'avais trouvé.

-----

Question 4 : Pour tester : meme en local j'arrive pas à acceder au DiskStation en tappant :

- username.DtDNS.net/DiskStation ou :5000

- 192.168.1.1/DiskStation:5000

Normal ?

Lien vers le commentaire
Partager sur d’autres sites

Non

192.168.1.1/photo (pour atteindre photo station par exemple) depuis le réseau interne ou

usernameDTDNS/photo depuis l'extérieur

ou 192.168.1.1:5000 pour l'accès par un port.

Par ailleurs je n'ai jamais trouvé le moyen de changer l'identifiant "admin" sur la LB.

Si quelqu'un connait la procédure ?

Modifié par domlas
Lien vers le commentaire
Partager sur d’autres sites

Hmm cella ne fonctionne pas mais j'imagine que je dois ouvrir des ports avec NAT/PAT, genre 5000 ? mais ne vaut'il mieux pas, par sécurité changer le port par defaut du DiskStation ?

J'utilise aussi BitSync et CloudSync, j'imagine qu'il faut aussi ouvrir ces ports ?

edit : J'ai un peu tout testé, et je n'arrive à rien afficher avec 192.168.1.1:5000/photo en ouvrant 5000 sur NAT/PAT

Modifié par skyrick
Lien vers le commentaire
Partager sur d’autres sites

Non ca c'est l'IP de ta Livebox

Tu dois tapé l'IP du serveur sans le numéro de port

La tu arrive dans l'interface du serveur Synology, tu rentre le pseudo et mot de passe du compte

Ca chez moi ca marche nickel

Par contre de l'extérieure je n'arrive a rien avec le service DtDNS

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.