Aller au contenu

problème d'accès à distance via un nom de domaine


rvga

Messages recommandés

Bonjour,

J'ai réussi (non sans peine) à configurer l'accès à mon NAS via l'IP fixe (82.247.190.114) de ma freebox revolution. L'ayant à peu près configuré selon les recommandations de Fenrir (sécuriser les accès à son nas) j'ai une connexion externe sécurisée qui si je tape 82.247.190.114:5000 me redirige vers 82.247.190.114:5001. J'accède au NAS depuis internet, tout va bien (enfin il me semble)

Cherchant à professionnaliser un peu l'environnement du NAS, j'ai acheté ce matin un domaine chez OVH (twiners.fr) et je souhaite naturellement le faire pointer vers mon IP fixe.

Ce tuto, plus l'aide OVH m'ont conduit à paramétrer ma zone DNS chez OVH, comme suit :

  1.                                          Domaine : twiners.fr | TTL : 0 | Type : A | Cible : 82.247.190.114
  2. sous-Domaine : www | Domaine : twiners.fr | TTL : 0 | Type : A | Cible : 82.247.190.114

Suite à ce paramétrage, j'obtiens désormais les connexions suivantes selon ce que je saisis :

  1. si je saisis : 82.247.190.114 OU twiners.fr OU www.twiners.fr ==> J'arrive sur ma page de connexion "mafreebox"...  est-ce normal ? parce que ce n'est pas l'objectif
  2. si je saisis : 82.247.190.114:5000 OU twiners.fr:5000 OU www.twiners.fr:5000 ==> J'arrive au bon endroit

Evidemment je souhaite arriver directement sur la page de connexion sécurisée en tapant simplement twiners.fr (éventuellement www.twiners.fr ) dans la barre d'adresse, mais comme je n'y vois plus très clair dans ces notions que je ne maîtrise pas, je ne sais plus quoi paramétrer pour que ce soit propre et sécurisé.

Un coup de main SVP pour finaliser la dernière ligne droite ne serait vraiment pas de refus. D'avance merci.

 

Lien vers le commentaire
Partager sur d’autres sites

Il faut faire des redirections de ports dans l'interface de la freebox.

 

port 80 ====> port 80 sur l'ip local de votre nas (exemple 192.168.1.20) pour le http://

port 443====> port 443 sur l'ip local de votre nas (exemple 192.168.1.20) pour le https://

Lien vers le commentaire
Partager sur d’autres sites

Pour y voir plus clair et reprenant le déroulé du tuto de Fenrir, voilà l'ensemble du paramétrage de mon NAS.

1.1 Accès externe - DDNS : aucun

5a4b466010bde_1.1.1-Accs-externe-DDNS.png.563d90ec771b76f5d5284bae0949c337.png

1.2 Accès externe - Pas de configuration routeur

1.3 - Accès externe - Avancé : aucun paramétrage.

5a4b475a7f091_1.1.3-Accs-externe-avanc.png.6010396c0e876a379585c1b6bdf47a8d.png

2.1 - Réseau - Général - paramétrage conventionnel je pense

5a4b47ab6bb44_1.2.1-Accs-externe-Reseau-General.png.fba401e3cb711591ca4a5c3f87d5f5f8.png

2.2 - Reseau - interface réseau/Lan1, plutot conventionnel également je pense

5a4b49b3378c5_1.2.2-Accs-externe-Reseau-interface-reseau-LAN1-modifier.png.27e6291ef9537c5274c1c0db10922fc6.png

IPv6 : désactivé

2.3 - Réseau - Paramètre DSM

J'avais ici activé le 'Domaine' mais ça n'avait rien changé, du coup je l'ai supprimé.

5a4b4a7ab4ad7_1.2.3-Accs-externe-Reseau-ParmetresDSM.png.dd19729214b42588484030fcff352187.png

3.1 - Sécurité Pare-feu, je suis resté minimaliste en me contentant de paramétrer les 4 premières règles du tuto

5a4b4b7532df4_1.3.1-Accs-externe-Scurit-Parefeux.png.f7d9f68b4ff40fcaf7af919819c3232b.png

3.2 - Sécurité - Protection DoS Lan1 : activé

3.3 - Sécurité - Certificat, j'ai laissé par défaut l'auto-signé de Synology , mais je le changerai par un gratuit d'OVH-LetsEncrypt quand l'accès externe via le domaine fonctionera

3.4 - Sécurité - onglet Avancé : reste identique au tuto

 

En espérant que ça puisse aider...

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, rvga a dit :

Salut Pascalou,

je ne vois pas ou modifier ce paramètre dans la console mafreebox ? Si tu veux bien me guider un peu...

 

 

Bonjour

Tu n' as pas beaucoup cherché,  Configuration sur ta copie d'écran: 

Configuration Accès à Freebox OS
 
Lien vers le commentaire
Partager sur d’autres sites

 

Il y a 10 heures, Mike913 a dit :

Tu n' as pas beaucoup cherché,  Configuration sur ta copie d'écran: 

Configuration Accès à Freebox OS

Oops désolé...

Ca m'inquiète un peu de laisser cette option décocher, j'ai l'impression de laisser la porte grande ouverte, non ?

configuration-acces-freebox-desactiver.png.4fa211e58bc5072199ec8d7cdf4e1400.png

Effectivement on a progressé, reste que je ne pointe pas encore sur la page du login. J'ai essayé d'activer webstation,...sans succès :(

enable-web-station.png.a7ecc10ffabf7fde39fa571c9ebb5b11.png

Lien vers le commentaire
Partager sur d’autres sites

Oops ! Ben non en fait, j'ai parlé trop vite, mon site n'est pas accessible depuis l'extérieur.

Je me suis fait avoir, jusqu'à maintenant je me connectais depuis chez moi, donc j'ai cru que ça fonctionnait, mais aujourd'hui que je suis vraiment à l'extérieur, je me rends compte que je n'accède pas à mon NAS via le nom de domaine, pas plus que par l'IP publique. Là pour le coup, je sais pas quel paramètre regarder pour corriger.

Lien vers le commentaire
Partager sur d’autres sites

D'après les règles du par feu de votre nas c'est normal.

Vos ports sont accessibles pour les IPs du réseau local seulement.

Il vous faut faire une règle dans le par feu du nas pour le port que vous voulez ouvrir, autoriser une ou plusieurs IP (ou zone france) et la mettre avant la dernière règles de votre par feu.

Modifié par El_Murphy
Lien vers le commentaire
Partager sur d’autres sites

Je pensais avoir compris en autorisant l'accès à l'interface de gestion (5000, 5001) pour mon IP publique mais visiblement ce n'est pas ça. J'ai testé avec http://canyouseeme.org/... ça ne fonctionne pas :(

Par ailleurs, je souhaiterai bloquer toutes connexions autre que les françaises. Est-ce que la règle "France" (une fois activée) fonctionnera bien dans ce sens ?

Enfin la configuration de mon NAS fait qu'il créé et paramètre lui-même la règle des ports 80,443 sans l'activer. Quel intérêt ? Je comprends bien que le système paramètre une règle suite à l'installation du drive et qu'il l'active, mais celle des 80,443... je vois pas ?

5a59c8306e5ea_1.3.1-Accs-externe-Scurit-Parefeux-v2.png.8b79119ffdaf8aba9ba34a08c8ae5e6b.png

 

Lien vers le commentaire
Partager sur d’autres sites

Oui , pour la règle concernant "Interface de Gestion, File St..." c'est bon.

La règle juste au dessus " Tous  Tous  France  Autoriser" vous l'enlevez vite.

Vous cochez "Activé" pour la règle 80/443 vous validez et c'est bon.

Dernier point , n'oubliez pas de renseigner dans : Panneau de Configuration => Réseau => Paramètre DSM => Activer un Domaine Personnalisé 

Le 02/01/2018 à 10:15, rvga a dit :

5a4b4a7ab4ad7_1.2.3-Accs-externe-Reseau-ParmetresDSM.png.dd19729214b42588484030fcff352187.png

 

Domaine :   twiners.fr

Modifié par El_Murphy
Lien vers le commentaire
Partager sur d’autres sites

Non , je ne peut pas non plus et c'est normal , 

vos 2 règles de par feu sont configurer pour laisser passer les requêtes provenant de l'ip 72.235.180.94.

Il n'y as qu'a partir de cette ip que l'on peut acceder a vos port.

Pour que moi j'accede a votre DSM il faudrait par exemple mettre mon ip a la place , ou mettre "Tous" ou "France".

 

Edit : Chez moi j'ai mis "France"  (car les ip de mes téléphones 4G change souvent mais sont toujours françaises)

Modifié par El_Murphy
Lien vers le commentaire
Partager sur d’autres sites

C'est ça ! Merci El_Murphy pour votre patience face à mon incompréhension pour ces malheureux réglages. Si vous avez un tuto, un site... à me préconiser sur le sujet, je suis preneur parce que là je suis vraiment très idiot.

Canyouseeme renvoie ce msg d'information : "Your ISP is not blocking port 5000"... ISP c'est quoi ? C'est bon signe ou pas ?

5a5b48c5924f2_1.3.1-Accs-externe-Scurit-Parefeux-v4.png.cf2051a6abfcb600785bdd0a863621b6.png

Lien vers le commentaire
Partager sur d’autres sites

ISP = Internet Service Provider (FAI chez nous , Fournisseurs d'accès internet, Orange/SFR/Bouygues/Free).

Et c'est normal qu'il ne le voit pas car le serveur de canyouseeme doit être a l'étranger , par conséquent il doit avoir une IP que votre par feu refuse.

j'ai essayé http://twiners.fr et https://twiners.fr et j'arrive a chaque fois sur votre page DSM , il n'y a pas besoin de mettre :5000 ou : 5001 .

 

Pour le https , je vous conseille de remplacer le certificat synology par un certificat Let's Encrypt ::

Panneau de Configuration => Sécurité => Certificat => Ajouter => Remplacer un certificat existant = Synology

Ensuite dans la fenêtre suivante vous cochez "Procurez vous un certificat Let's encryp" et la case Configurer par défaut puis Suivant.

Dans la partie Domaine vous mettez twiners.fr

Email : vous mettez la votre 

Autres noms d'objet : www.twiners.fr 

Si vous avez d'autre noms a déclarer (exemple dsm.twiners.fr / file.twiners.fr ou autres) vous pouvez le rajouter a la suite de www.twiners.fr en mettant un point virgule comme ça :

www.twiners.fr;file.twiners.fr;mail.twiners.fr;dsm.twiners.fr

 

Avant de validez cette dernière étape , vous devez vous assurez de plusieurs choses :

N°1 Let's Encrypt va regarder les entrés DNS pour les noms que vous déclarez. Il faut donc bien vérifier que les CNAME / A existe bien (chez votre fournisseur de noms de domaine)

Si je déclare "dsm.twiners.fr;www.twiners.fr;file.twiners.fr" et que sur mon domaine il n'y a pas de redirection pour file.twiners.fr la procédure va se stopper là.

N°2 Let's Encrypt va devoir passer par le port 80 , et leurs IP ne sont pas françaises.Vous allez devoir changer la règle du par feu concernant le port 80/443 pour autoriser toutes les ip le temps de validé la procédure.

Une fois la procédure finis , vous pourrez remettre "France".

N°3 Tous les 3 mois , votre certificat va vouloir se renouveler , il faudrat donc penser a ré-ouvrir le port 80 pour toutes les ip , le temps du renouvellement.

 

Edit : Canyouseeme n'a pas l'air très stable , essayez https://www.yougetsignal.com/tools/open-ports/

Pour Drive , n'oubliez pas de faire un transfert de port (6690) de la freebox sur le NAS.

Et vous devriez remettre "France" sur vos règles de par-feu (drive, 80/443 , interface de gestion...)

Sauf si vous avez beaucoup d'utilisateurs a l'étranger.

 

Modifié par El_Murphy
Lien vers le commentaire
Partager sur d’autres sites

Changer de certificat, c'était le prochain objectif - vous m'avez devancé. Y'aura certainement des doutes et des questions que je poserai dans une file plus appropriée dans le forum.

Merci pour les tous derniers conseils et d'une manière générale un Grand merci pour votre temps et votre aide. Vous m'avez été précieux.

Lien vers le commentaire
Partager sur d’autres sites

Je viens de changer de certificat en suivant les conseils ci-dessus... comme une lettre à la poste ;)

Cependant je n'accède plus directement au nas via l'adresse "twiners.fr"...

Page-connexion-1.png.068849cf6e7fa7dcd4fb6633a0ff9648.png

... je dois saisir "twiners.fr:5001" pour y accéder.

Page-connexion-2.png.c34376ae9eb523781a4a3a2b8adc1c2d.png

Aurai-je dû rajouter 'twiners.fr:5001' dans les autres nom de l'objet ou services de mon nouveau certificat Lets Encrypt ?

connectivite-securite-certificat-1.png.0b71342327a523202905c5e379875ff3.png

A moins que ça soit au niveau d'OVH qu'il faut créer une nouvelle entrée pour gérer le 'twiners.fr:5001' ?

Modifié par rvga
Lien vers le commentaire
Partager sur d’autres sites

Je n'accéde plus non plus à Redmine via : https://www.twiners.fr:30002/ "Site inaccessible" alors qu'il est bien déclaré dans les règles du parfeu ?

5a5f754c6b40d_1.3.1-Accs-externe-Scurit-Parefeux-v5.png.01c4aad80c2e617f8d7669c5d714ff1f.png

J'accède toujours bien à Drive mais jai pas compris ce conseil :

Le 14/01/2018 à 13:46, El_Murphy a dit :

Pour Drive , n'oubliez pas de faire un transfert de port (6690) de la freebox sur le NAS.

ça veut dire quoi faire un transfert de port freebox vers le NAS ?

Modifié par rvga
Lien vers le commentaire
Partager sur d’autres sites

La freebox bloque les ports a destination de votre réseau.

Il faut lui dire quels ports doivent aller où , comme ce que vous avez fait pour les port 80,443,500,5001 ici :

Le 02/01/2018 à 01:12, rvga a dit :

Ports-freebox.png

Donc il vous faut faire une règle pour le port 6690 tcp (drive) et une règle pour votre container docker (port 30002) a destination du DS718.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.