Ouvrir port 443 en +

[forplatina]

Bonjour à tous,

Je continue à découvrir mon nas. Comme mis dans mes messages précédents je suis archi débutant dans le domaine des nas, et des configuration réseaux en général.

J'ai donc une petite question :

J'ai changé les ports 5000 (http) et 5001 (https) du nas pour des ports + exotiques depuis le DSM pour une question de sécurité lus sur des tutos. Mon but étant de vouloir accéder au nas depuis l'extérieur. J''ai donc ensuite paramétré les options NAT de ma box SFR en disant de renvoyer les ports de la box vers les ports et l'IP du NAS. Je ne sais pas si ce que j'écris est convenable, m'enfin ça fonctionne !!!

Exemple dans ma box j'ai écrit : port 1980 (externe) puis 192.168.1.49 (IP fixe local du NAS définis dans l'option DHSCT de la box) puis de nouveau 1980 (port interne du NAS changé dans DSM qui était 5001 à l'origine). Ne connaissant pas les impacts niveau sécurité à poster de vrais valeurs sur un forum, l'adresse IP et les ports mentionnés ci-dessus sont imaginés, ils sont différents dans ma config réelle.

Je n'ai rien précisé sur la box pour le port 5000 lui meme changé dans le DMS du NAs, car j'ai coché de tj basculer en mode HTTPS. Ai je bien fait ?

Quoi qu'il en soit, cela fonctionne bien depuis mon téléphone en 4G pour accéder au nas en tapant : monadresse.synology.me:1980

 

Mon pbm est qu'à l'heure actuel, je ne peux pas accéder à mon Nas depuis mon PC professionnel. Le parefeu (proxy ? c'est la meme chose ?) de l'entreprise me refuse l'accès.

J'ai lu que cela pouvait venir du fait que les proxy d'entreprise autorisent seulement certains ports tel que le 443. Et quoiqu'il en soit, l'entreprise utilise un filtrage d'URL en fonction du thème des sites, et ça je le comprend tout à fait.

Ma question est donc de savoir, si je retourne dans les options NAT de ma box, et que je demande d'ouvrir le port 443 (externe = de ma box si j'ai bien compris ?) et de le retourner vers l'IP de mon Nas (192.168.1.49) et de son port HTTPS (1980 qui équivalait au 5001 d'origine) est ce que ça pourrait fonctionner ?

En gros, est ce que d'une manière GENERALE, on peut envoyer plusieurs ports de ma box (par exemple les ports 5000 + 5001 + 443 + 80 etc), toujours sur le port unique https du NAS (le 1980 qui est 5001 d'origine) et est ce que ma façon de faire est logique ???

Sachant qu'il y'a encore 2 jours, je ne connaissais ABSOLUMENT rien à ce qu'était une adresse IP, masque de sous-réseau, redirection de port etc. Donc ca reste encore très compliqué pour moi. Je pense avoir saisi la logique, mais sans certitude, seule la pratique et vos conseils/expériences me permettront d'apprendre rapidement.

Merci d'avance.

Modifié le 3 novembre 2016 par forplatina

[Fenrir]

Il y a 2 heures, forplatina a dit :

Je n'ai rien précisé sur la box pour le port 5000 lui meme changé dans le DMS du NAs, car j'ai coché de tj basculer en mode HTTPS. Ai je bien fait ?

Oui

Il y a 2 heures, forplatina a dit :

Ma question est donc de savoir, si je retourne dans les options NAT de ma box, et que je demande d'ouvrir le port 443 (externe = de ma box si j'ai bien compris ?) et de le retourner vers l'IP de mon Nas (192.168.1.49) et de son port HTTPS (1980 qui équivalait au 5001 d'origine) est ce que ça pourrait fonctionner ?

Oui, en passant, c'est du PAT, pas du NAT mais tout le monde fait l'erreur (pour faire simple, le NAT c'est de ton réseau vers Internet et le PAT c'est d'Internet vers ton réseau)

Il y a 2 heures, forplatina a dit :

En gros, est ce que d'une manière GENERALE, on peut envoyer plusieurs ports de ma box (par exemple les ports 5000 + 5001 + 443 + 80 etc), toujours sur le port unique https du NAS (le 1980 qui est 5001 d'origine) et est ce que ma façon de faire est logique ???

Oui tu peux, mais ce n'est pas pertinent (illogique n'est pas le bon terme)

--------------

Si tu n'as pas besoin d'administrer ton nas depuis le net, n'ouvre pas l'accès à DSM, même en changeant les ports, ce qui, soit dit en passant, n'apporte presque rien niveau sécurité (quoiqu'en disent les tutos ou la doc de Synology). Il vaut mieux laisser les ports d'admin (22/5000/5001) par défaut.

Si ça te rassures de les changer, fais le simplement avec ta box (tcp 1980 -> tcp 5001).

Je te propose 3 approches plus sécurisées (par ordre décroissant) :

• le plus facile à mettre en place (c'est vraiment très facile) mais un peu plus contraignant à l'usage : utilise le serveur VPN du Synology
  • le gros avantage c'est que tu pourras  accéder à toutes les applications de n'importe où et de manière sécurisée comme si tu étais chez toi (y compris les partages Windows/Mac/NFS)
  • l'inconvénient c'est qu'il faut pouvoir faire la configuration VPN sur le client, ce qui n'est pas toujours possible (ton poste de travail en entreprise par exemple)
• le plus compliqué à mettre en place, au début, après ça va : tu peux utiliser la fonction ReverseProxy du Synology (il y a aussi un paquet qui permet d'aller plus loin)
  • l'avantage c'est que tu peux rendre toutes les applications Web accessibles depuis un même port (https://tonnas.com/file, https://tonnas.com/photo, ...)
  • l'inconvénient c'est que ce n'est possible que pour les applications "Web"
• le plus facile à utiliser mais qui peut ne pas répondre à tous tes besoins (firewall/proxy d'entreprise par exemple) : configure les applications pour qu'elles écoutent sur des ports dédiés, en général c'est à faire dans Paramètres->Portail des applications, exemple :
  • l'avantage c'est que tu n'es pas obligé d'ouvrir l'accès à DSM, seulement aux applications de ton choix
  • l'inconvénient c'est que ça t'oblige à utiliser plusieurs ports et que certains risquent d'être bloqué en entreprise
  • un autre inconvénient potentiel est que certains appli ne permettent pas ce réglage, donc à voir en fonction de ce que tu utilises

Après rien ne t'empêches de combiner plusieurs méthodes (la tienne et les 3 que je te propose), elles ne sont pas exclusives.

A titre perso je fais tout passer par le VPN, c'est évidemment plus sécurisé mais surtout ça me permet de ne pas me poser de questions de quel port ou quelle adresse utiliser en fonction de si je suis chez moi, en voyage, dans une entreprise (les ports VPN sont généralement ouvert en entreprise), ... Je clique sur Connecter et j'ai accès à tout comme à la maison (y compris au net si besoin).

[forplatina]

Merci Fenrir d'avoir pris le temps de me répondre point par point !!

Concernant mon besoin en entreprise, il est simple. Je souhaite pouvoir accéder aux données de mon NAS et pouvoir également transférer des données vers lui. 

En gros faire + ou - la même chose qu'avec les applis DS (Android) mais depuis mon pc pro car + confortable.

Pour info, je viens de tester à l'instant et la redirection du port 443 fonctionne. Je tape l'ip de ma box:443 et j'accede au DSM (côté sécurité, j ai activé la double identification).

Par contre j imagine que l'IP de la box SFR peut bouger régulièrement...

Je vais donc essayer tes propositions notamment le vpn.

Avant de me lancer, pourrais tu me dire si il est pertinent de paramétrer avec le vpn Hide my Ass que j ai en abonnement pour mon pc au départ ou il faut absolument passer par le vpn Synology ? 

Peu importe pour moi, le plus simple à paramétrer sera le meilleur choix pour moi.

Merci d avance.

Ps : est ce que je peux me baser sur ce tuto en choisissant openvpn : http://blog.e-nnov.fr/synology-dsm/vpn/

Modifié le 4 novembre 2016 par forplatina

[Fenrir]

Il y a 8 heures, forplatina a dit :

Par contre j imagine que l'IP de la box SFR peut bouger régulièrement...

Ça dépend des FAI et des abonnements, je ne sais pas pour SFR. Mais tu as un système de DNS Dynamique dans les synology qui devrait te permettre de contourner cette limitation.

Il y a 8 heures, forplatina a dit :

Avant de me lancer, pourrais tu me dire si il est pertinent de paramétrer avec le vpn Hide my Ass que j ai en abonnement pour mon pc au départ ou il faut absolument passer par le vpn Synology ? 

Ça n'a aucun rapport :

• le Serveur VPN du Synology te permet, depuis Internet, de te connecter de manière sécurisée au NAS
• mes machins du genre Hide my ... c'est dans l'autre sens, ça permet au client (le nas par exemple) d'aller sur Internet (en contournant certaines limitations géographiques), de mon point de vue, il faut fuir ces produits (je ne rentrerai pas dans le débat du pourquoi, je l'ai déjà fait assez souvent)

http://www.nas-forum.com/forum/topic/53328-vpn-server/

 

[forplatina]

Merci Fenrir pour ton tuto.

Je viens de paramétrer le NAS pour le L2TP/Ipsec.

Par contre, je ne comprend pas ce que je dois renseigner pour l'adresse internet sous windows 7 : Est ce 10.2.0.0 a renseigner ? ou bien monpseudo.synology.me ?

Enfin, j'ai essayé les 2 mais ça ne fonctionne pas depuis mon pc branché en wifi depuis mon domicile (est ce pour cela ?)

Et dernier point, tu mets dans ton tuto qu'il faut changer la clé registre si je passe par une box (c'est le cas : SFR), donc il faut obligatoirement le faire j'imagine...

En résumé, peux tu me confirmer l'adresse à saisir sur cette fenêtre :

Et tant qu'à faire, me confirmer que pour ces champs :

il faut que je renseigne mon identifiant synology type : pseudo.synology.me (mais sans le synology.me....)

et le mot de passe est bien celui que j'ai renseigné dans le paramètrage du VPN (à 16 caractères minimum ?)

Et si je peux faire un test sur mon pc qui est en wiki local ou ca ne sert à rien, et il faut passer forcément par un pc branché à l'externe ?

Merci d'avance pour tes conseils et ton temps !!

 

Modifié le 5 novembre 2016 par forplatina

[Fenrir]

Il y a 2 heures, forplatina a dit :

Par contre, je ne comprend pas ce que je dois renseigner pour l'adresse internet sous windows 7 : Est ce 10.2.0.0 a renseigner ? ou bien monpseudo.synology.me ?

monpseudo.synology.me

Je viens de mettre à jour le tuto

[forplatina]

Merci Fenrir pour le partage de tes connaissances !!

A priori ça fonctionne, j'arrive à me connecter mais je n'ai pu tester que depuis mon pc en local (et je crois que ça ne sert pas à grand chose). J'essaierai donc dès demain sur mon pc professionnel en espérant que je puisse ajouter la clé registre sur le pc (pas sur d'y arriver sans droit administrateur...)

 

 

[Fenrir]

Il y a 1 heure, forplatina a dit :

pas sur d'y arriver sans droit administrateur...

Tu ne pourras pas tester sans les droits d'administrateur et de toute manière je déconseille de configurer un VPN perso sur une machine professionnelle (sauf TPE) à moins que le service IT donne son feu vert. Je n'avais pas fait attention à ta remarque suivante (pourtant en gras) :

Le 03/11/2016 à 21:39, forplatina a dit :

je ne peux pas accéder à mon Nas depuis mon PC professionnel

Dans ce cas tu dois te limiter aux solutions "web", comme le reverse proxy ou la simple ouverture de ports (le vpn reste valable en déplacement, en vacances, ...)

[forplatina]

Ok je pense aussi. Je vais donc regarder du coté du reverse proxy, sachant que par l'ouverture du port 443 ça fonctionne.