Configuration de l'accès à distance/NAT/UPnP/SFR

[omabou]

Bonjour/bonsoir à tous,

j'ai pas mal de soucis à configurer l'accès à distance de mon NAS et j'ai poncé mes doigts durant toute une journée sur mon clavier en me tirant les cheveux. Pour information, j'ai déjà lu le guide utilisateur synology, des tonnes de posts sur ce/les forums, les tutos sécurité/VPN de Fenrir. Je vais essayer d'être au plus synthétique pour en faire profiter les novices comme moi.

Matériel: Box SFR THD "Fibre" (coaxial numéricable) faisant office de routeur, Airport Extrême en mode pont sur lesquel est branché mon NAS Synology DS216+II et mon PC ou mon MAC connectés en WIFI via Airport.

Configuration réseau: NAS en IP statique configuré dans la box (.0.25 réservée pour son adresse mac avec plage DHCP réglée de 30 à 50 pour les autres devices).

Problème: après avoir configuré le NAS au niveau du système de fichier, et après avoir appliqué le tuto de Fenrir sur la sécurité sur la majorité des points, j'ai voulu avoir accès à mon NAS via internet. J'ai me suis donc laissé séduire par la solution Synology (non, pas Quickconnect  , Fenrir disant que c'est un VPN non sécurisé) qui consiste à utiliser un nom de domaine .synology.me puis activer la config routeur (oui je sais que c'est une faille de sécurité, mais je ne l'ai su que plus tard), se faire un petit certif aux petits oignons avec le service proposé par EZ Internet, laissant faire DSM pour les ports. Tout fonctionnait, mais le tuto sécurité de Fenrir parlait donc d'une faille de sécu sur ce système, un genre d'UPnP si j'ai bien compris?

Plusieurs lectures plus tard j'ai donc désactivé la config auto du routeur, supprimé mon nom de domaine et mon certificat pour faire le mec qui hait les DNS . Résultat: j'essaie de me connecter à mon NAS via l'adresse IP publique:5001 (d'ailleurs si elle change, comment faire pour tomber sur son IP sans nom de domaine? Et d'ailleurs le nom de domaine lui fait comment pour savoir à quelle adresse IP se lier?) et là, c'est le drame.

J'ai configuré la translation des ports (NAT) sur ma box dans le style: 5001 to 5001 (interne, externe) vers .0.25 (adresse statique de mon NAS) puis j'ai autorisé le port sur le pare-feu de DSM pour autoriser l'accès au NAS. Rien n'y fait.

D'ailleurs une fois les préconisations pare-feu de Fenrir pour DSM mises en place, Plex n'arrivait plus à établir la connexion avec mon NAS (en local ou en accès à distance) même en autorisant le port 32400 dans le pare-feu. De plus, une mise à jour de DSM est disponible mais pas compatible avec Plex, mon NAS a donc essayé de l'installer sans succès, enfin bref, je m'éloigne du sujet principal (est-il possible que Plex Server ait planté? Faudrait stopper le paquet, redémarrer le NAS et réactiver Plex?)

J'ai aussi essayé sans accès à distance mais via VPN grâce au tuto de Fenrir, mais là de même, mais suivi à la lettre près, rien n'y fait, en L2TP ou OpenVPN (connexion serveur time out). Là j'ai presque lâché une larme en me disant que la vie est cruelle .

Que dois-je faire?

Esquisse de solution: je suis allé voir sur le forum SFR. Quelques posts parlent d'une impossibilité de faire du NAT sur cette box (????). Je me suis dit, bah je met la Box en mode modem et je fais le routage avec mon super Airport Extrême, ça devrait marcher. 
J'aimerais mieux faire fonctionner ma *****rie de box, j'suis pas un cador des réseaux, moi! 

Questions bonus:

• j'ai mon adresse IP et une passerelle en-dessous de la marque de sous-réseau. C'est quoi cette passerelle?
• dans mon onglet UPnP de la box, Plex y est recensé (32400 vers 25133), mais heu je l'y ai pas autorisé!

• Citation

  Pour le parefeu, commence par reprendre à l'identique mon premier exemple dans le tuto (celui avec 4 lignes). Puis en t'inspirant du second exemple, ajoute les autorisation dont tu as besoin (attention à l'ordre des règles).

  Parce que si je met la ligne "refuser" de ton tuto (Fenrir) au-dessus des lignes de ports que j'ai ouvert, ils ne s'ouvrent pas? 

Merci à tous pour votre lecture, "sorry for the long post", et d'avance un grand merci pour votre aide!

Modifié le 1 mai 2017 par omabou

[Fenrir]

Tu fais trop de changement en même temps, impossible de faire un diag dans ces conditions

Il faut y aller étape par étape

1. Commence par tester en local, en coupant le pare feu du nas => Si ça ne marche déjà pas comme ça, tu as un autre problème.
2. Puis, toujours sans le FW du nas, test depuis Internet avec le transfert de port de ta box => idem
3. Ensuite, test avec le FW
4. Enfin test avec le DDNS

Sinon en vrac :

• Pour l'upnp/ezinternet/configuration du routeur : j'explique dans le tuto pourquoi c'est dangereux
• Par contre, je n'ai aucun reproche à faire au DDNS (ton synology.me)
• Un DDNS regarde de temps en temps si ton ip publique change, si c'est le cas, il envoi une notif chez synology pour mettre à jour l'enregistrement DNS avec la nouvelle IP
• Pour les règles de FW, il faut bien entendu intercaler tes règles AVANT le drop de fin
• Tu dois aussi vérifier que ton nas a bien accès à Internet (c'est à ça que sert la passerelle, passer d'un réseau à un autre)
• C'est aussi pour ça que je conseille de laisser les paramètres IP (adresse, masque, passerelle, dns) en auto chez les novices

[omabou]

Merci de ta réponse Fenrir, je teste ça fin de semaine quand j'aurais mon NAS en local. Ceci dit en local je n'ai aucun problème d'accès (.0.25 en https, bon le https ne fonctionne pas évidemment en local), avec FW.

Pour le deuxième test, je mettrais dans ma box le paramètre NAT suivant: interne 5001, externe 5001 IP: 198.168.0.25. C'est bien juste? Je verrais déjà si le NAT de la box est en cause...

A bientôt pour le verdict, merci encore 

[omabou]

Bonjour à tous en ce dimanche électif,

Fenrir, j'ai pu tester les différents points. J'ai créer un nom de domaine à nouveau en synology.me tout en désactiver les accès routeur auto. J'ai ouvert les ports correspondants dans le pare-feu et mis la restriction (refuser, tous) en bas de la liste. J'ai créé un certificat avec Let's Encrypt pour le nom de domaine et ouvert les ports 443 et 80 pour la mise à jour du certificat (d'ailleurs pourquoi tu n'as autorisé qu'une adresse locale sur ton exemple de pare-feu -192.0.2.3- ?). Tout ceci en ne touchant RIEN du NAT de la box.

Point n°1: L'accès au NAS est donc possible à distance en Https avec le nom de domaine certifié par Let's Encrypt (https://mondomaine.synology.me:5001). Par contre en passant par l'ip directement, le certificat n'est pas reconnu. Pourtant je pensais que l'adresse IP était justement liée au domaine? Elle devrait donc être certifiée à même hauteur que le nom de domaine, non?

Point n°2: dans le pare-feu de DSM je dois obligatoirement ouvrir le port 5001 pour avoir l'accès à distance sur mon nom de domaine. Normal non comme je n'utilise pas un VPN?

Point n°3: Plex utilise l'UPnP comme un grand garçon pour ouvrir son petit port via la box. Ce qui est dommage c'est que l'accès à distance de Plex est compromis dès lors que je lance l'application VPN Server. Je ne sais pas pourquoi. Quand je stoppe le paquet, BIM, ça remarche. Pourtant aucun VPN n'est encore configuré et l'application n'utilise pas le port 32400 utilisé par Plex. J'aimerais beaucoup me connecter qu'en VPN si possible au lieu de passer par le navigateur et le port 5001 (je pense que c'est plus securitaire !?)

Point n°4: sur W10 j'ai accès à la racine de mon NAS facilement par Réseau/Ordinateur(nom du NAS), dès le démarrage. Sur mon mac par contre, je suis obligé de monter un disque réseau (serveur) et de choisir le dossier à monter. Pourtant, mon nas est visible dans les accès mais quand je clique dessus et que je "m'identifie comme...", ça ne fonctionne pas. Pourquoi cela? 

Dans tous les cas merci pour ces échanges très formateurs.

Bon dimanche citoyen (s) !

[Fenrir]

il y a 59 minutes, omabou a dit :

(d'ailleurs pourquoi tu n'as autorisé qu'une adresse locale sur ton exemple de pare-feu -192.0.2.3- ?)

Il ne s'agit pas d'une adresse local, c'est un adresse Internet d'exemple. Ce n'est pas parce qu'une adresse commence par 192 qu'elle est locale.

1. C'est tout à fait normal, ton certificat est valable pour un nom de domaine, pas pour une adresse IP.
2. Un port n'a aucun rapport avec un nom de domaine.
3. Plex ne devrait pas faire d'Upnp, c'est mal, s'il entre en conflit avec un autre paquet, c'est à plex de corriger
   • coupe l'upnp sur ta box et ouvre les ports dont tu as besoin à la main
   • oui le vpn serait très nettement plus sécurisé, en ouvrant le port 5001 directement depuis Internet, ton nas est à la merci du premier venu
4. c'est Apple qui veut que tu fasses comme ça

[omabou]

Merci pour tes réponses

[DaffY]

Bonjour

Pour le point 4
Quelle version d'osx enfin macOS ...
Et
TimeMachine active sur le NAS ?

[omabou]

Bonjour Daffy,

macOS X.12.4 (10.12.4 )

Time Machine actif sur le NAS, m'enfin ça m'a prit 2 siècles environ pour faire ma première sauvegarde, les suivantes sont plus rapides fort heureusement (oui, MBP Retina 13" 2013, pas d'adaptateur Thunderbolt/Ethernet sous la main, je plains les nouveaux acquéreurs d'ailleurs sans MagSafe et avec USB-C  ). 

Bonne soirée!

Modifié le 9 mai 2017 par omabou

[DaffY]

Bonjour

Pour le point 4

Bug syno connu
Protocoles afp et smb actifs sur le NAS + TimeMachine
== Finder voit le NAS en serveur smb, si montage afp réalisés alors Finder demande use et mot de passe et démonte les connexions afp existantes.

Si pas besoin du protocole smb tu peux l'ôter sur le syno
Sinon faire l'inverse plus de partage en afp tout en smb (ce qui finira par l'être sur nos Macs)

[omabou]

Merci beaucoup Daffy! Oui j'utilise une adresse du type afp://. Je vais switcher sur du tout smb je pense comme j'ai un pc et un mac!

 

[DaffY]

Bonjour,
À toi de voir.
Chez moi je garde l'afp pour les macs qui demeure un peu plus véloce que smb.
J'utilise l'app Mountain (sur macapstore puis en direct chez l'éditeur) pour gérer mes connexions.

Je n'utilise plus la partie gauche du Finder pour me connecter au NAS