Aller au contenu

Accès iSCSI distant (iscsi over wan)


SAMU

Messages recommandés

METHODE PERMETTANT LE CONTOURNEMENT DU BUG SYNOLOGY INTERDISANT LES LIAISONS iSCSI EN MODE WAN

Après pas mal de tâtonnements, voici une méthode simple* pour accéder au disque iSCSI d'un  Syno depuis un PC éloigné:
*Mon ami Claude,, qui est un Ayatollah implacable de la simplicité,, pourra valider

On dispose d'un Syno sur un réseau local 1 et d'un PC sur un autre réseau local 2 utilisant la même plage d'IP(@).
L'IP privée du Syno est A et son adresse publique est B (IP publique ou DDNS) . Le port 3260 est, bien sûr, natté.

Donner au PC, du réseau local 2, la même IP privée A que celle du Syno distant sur le réseau 1(@).
Sur ce PC,  
- Aller à:        Panneau de configuration\Système et sécurité\Pare-feu Windows
                                  Choisir:       "Autoriser une application ou une fonctionnalité via le Pare-feu Windows"
                                             Cocher:       "Service iSCSI" Privé et Public (et faire OK)
- Ouvrir une fenêtre Dos en tant qu'administrateur, puis, en remplaçant A.et B, exécuter la commande suivante:
                       netsh interface portproxy add v4tov4 3260 A connectaddress=B connectport=3260 protocol=tcp

Ce PC peut désormais accéder au disque iSCSI du Syno distant par son adresse publique B (ou l'IP A)
De plus, ce PC permet à TOUS les PC du réseau local 2, sans configuration particulière, d'accéder séparément au disque iSCSI par son adresse publique B (ou l'IP A).

Explication:
Le "bug Synology" consiste en ce que le Syno renvoie toujours comme adresse de retour son IP locale A du réseau 1 et non son IP publique. Les transactions émises sur le réseau 2 ne peuvent donc jamais l'atteindre. C'est le PC du réseau 1 qui, ayant l'IP A équivalente, reçois ces transactions, puis les route vers la bonne IP publique B du Syno.

N.B.  
La commande "netsh interface portproxy ..." semble devoir être relancée à chaque démarrage du "PC routeur" (on pourra la placer dans son Planaficateur de tâches).
Même si l'on n'utilise  pas le "PC routeur" pour se connecter au disque, son pare-feu doit être configuré (mais inutile d'y installer l'initiateur iSCSI). 
Les Syno qui se trouveraient sur le réseau local 2 restent accessibles par le port 3260

@  Si l'on souhaite conserver son IP actuelle, on peut ajouter A comme IP supplémentaire au PC, quelque soit la plage de l'IP déjà attribuée (option "Avancé" des propriétés TCP/IPV4).
Mais, si la plage d'IP n'est pas la même, à moins de rajouter, aussi des IP supplémentaires, dans cette plage, sur les autre PC, il sera le seul à pouvoir accéder au Syno.

P.S.
La configuration du "Pare-feu Windows" pourrait être remplacée par des commandes Dos (en tant qu'administrateur) mais elles peuvent varier d'un Windows à l'autre.
        Sur certaines configs ce sera::
               netsh advfirewall firewall set rule name="Service iSCSI (TCP-Sortie)" profile="Private,Public" new enable=yes
               netsh advfirewall firewall set rule name="Service iSCSI (TCP-Entrée)" profile="Private,Public" new enable=yes
        Sur d'autres configs ce sera::
               netsh advfirewall firewall set rule name="Service iSCSI (TCP-Sortie)" profile="Public" new enable=yes
               netsh advfirewall firewall set rule name="Service iSCSI (TCP-Sortie)" profile="Private" new enable=yes
               netsh advfirewall firewall set rule name="Service iSCSI (TCP-Entrée)" profile="Public" new enable=yes
               netsh advfirewall firewall set rule name="Service iSCSI (TCP-Entrée)" profile="Private" new enable=yes
Au minimum le "Service iSCSI (TCP-Entrée)" activé en "Private" semble suffire à notre besoin ...

                                                                                                                                  *  *  *  *  *  *  *
Pour se connecter au disque iSCSI, il n'est pas nécessaire d'utiliser "Initiateur iSCSI" de Windows qui ne mémorise pas les identifiants CHAP, il suffit de 2 commandes Dos:

          iscsicli.exe QAddTargetPortal AouB
          iscsicli.exe QLoginTarget   USER  PW*

*remplacer les champs en GrasRayé par les valeurs appropriées. 
*On obtiendra QLoginTarget par la commande:
          iscsicli.exe ListTargets

*Pour partager un disque iSCSI (nativement non partageable, du fait de son mode "block"), il suffit de le déclarer partagé depuis le PC accèdant (SMB gérera le partage).

                                                                                                                                  *  *  *  *  *  *  *

Actuellement, j'utilise comme "PC routeur" une petite tablette 8 pouces ARCHOS 80 CESIUM  (Atom Z373G à 1,33 Mhz - 1Go de mémoire - disque de 16Go - Windows 10):
Bien que sa configuration minimaliste puisse paraitre pénalisante, je transfère, depuis les autres PC vers le Syno, jusqu'à 380 Mo en une heure. C'est proche du débit montant de 1 Mb/s de mon ADSL.

2 autres méthodes de contournement sont envisageables:
- la mise en VPN des 2 réseaux. Ca marche mais, n'en ayant pas l'usage, je trouvais cela trop pénalisant pour l'usage d'internet.
- l'adressage, avec l'IP publique B, d'une clé Wifi installée, pour la circonstance, en mode routeur. Cela permet bien la reconnaissance à distance de la bonne IP publique mais ce n'est guerre utilisable si l'IP n'est pas fixe.

Si vous trouvez un autre moyen, merci pour les infos…
(on évitera l'éternel débat sur l'opportunité d'utiliser ou non iSCSI à distance).

 

Modifié par SAMU
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Hello, merci pour les infos cela me sera utile. 🙂
De mon côté je cherche encore pourquoi je n'arrive pas à backuper une LUN à travers le net avec HyperBackup...
Les ports 3260 et 873 sont ouvert en UDP, redirigés vers le NAS, firewall ouvert côté routeur et NAS également.

Je commence à penser à un bug également puisque cela fonctionne si le NAS cible est en local.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.