Aller au contenu

DSM réseau externe


Messages recommandés

Bonjour,

Venant de déménager j'ai fais l'acquisition d'un nouveau NAS et je viens de souscrire avec VideoTron.

J'ai voulu ouvrir l'accès à DSM sur internet mais je suis bloqué... Tout d'abord j'ai essayé de configurer mon routeur, celui-ci est bien réglé sur UpnP, j'ai réalisé un port forwarding du 5001 au 5001. Avec cette configuration (que je pensais suffisante aucuns accès distants).

Je me suis donc tourné vers le NAS et me suis rendu sur La configuration du routeur dans Accès Externe > Configuration du routeur.

J'obtiens:

Vérification de l'interface réseau : OK

Vérification du port de connexion : OK

Vérification de la connexion internet : OK

Vérification de l'environnement réseau : KO

Avertissement si toutes les règles de transmission de ports échouent, vérifier si il existe deux ou d'avantages de routeurs sur votre réseau. Le cas échéant, consultez votre fournisseur de service Internet pour paramétrer le modem/routeur en Mode Bridge....

Vérification du serveur DNS : OK

Détecter l'information du routeur : OK

Il est vrai que VideoTron fournis deux équipements, un équipement câblé en fibre et un second en Ethernet servant de Modem.

Savez vous si quelqu'un à déjà rencontré un problème similaire ?

Pour informations : Quand je fais le test de connexion sous DSM le test est OK

Quentin.

 

 

 

 

Capture_d’écran_2019-01-19_à_09_14_27.png

Modifié par Quentinb56
Lien vers le commentaire
Partager sur d’autres sites

Ah, Vidéotron, tout un programme ! J'ai rarement vu un FAI aussi hermétique avec une flopée de ports fermés dont le 80 (bonjour la mise en place d'un certificat Let's Encrypt). Y'a qu'au Canada (et plus généralement en Amérique du Nord) qu'on voit des trucs pareils. Quant aux tarifs, ..... smicards s'abstenir.

il y a 11 minutes, Quentinb56 a dit :

un équipement câblé en fibre et un second en Ethernet servant de Modem (????)

Ne serait-ce pas plutôt switch ?

Vous avez activé plusieurs choses que nous préconisons tous de ne surtout pas utiliser : UPNP, Configuration du routeur.

Avant de pouvoir vous aider, il faudrait que vous commenciez par mettre en oeuvre le tuto de Fenrir sur la sécurisation de nos NAS. Vous le trouverez dans la section Tutorials. Il vous aidera sans doute à résoudre quelques uns de vos soucis.

Lien vers le commentaire
Partager sur d’autres sites

Je comprends bien mais avant de même de me lancer dans de la sécurité ne devrais-je pas essayer de faire fonctionner une connexion sortante ? Pour information l'uPnP est par défaut activé chez VideoTron.

Pour la question sur l'équipement, je ne suis pas expert mais il s'agit peut être d'un switch Ethernet + Wifi (équipement Zixel).

Mettre en oeuvre le tutoriel sur la sécurité a t'il plus de chances d'aboutir ? Je cherche à connaitre la source de mon problème (qui semble être le routeur à priori).

Quentin.

Modifié par Quentinb56
Lien vers le commentaire
Partager sur d’autres sites

C'est l'inverse : avant d'envisager de faire fonctionner une connexion sortante, il faut d'abord sécuriser les accès en interne.

Le tuto sur la sécurité vous indique le minimum a faire pour que les accès soient les plus sûrs possibles. A l'heure actuelle, vous avez probablement un NAS ouvert aux quatre vents, un pare feu pas paramétré et une foultitude de réglages qui ne sont pas faits. Alors, avant de s'aventurer à l'extérieur, il faut commencer par régler son NAS et le préparer à sortir couvert. Les réglages du routeur et des accès extérieurs se font après.

Mais si tout ceci vous effraie, vous avez la possibilité d'utiliser les services Quickconnect de Synology qui sont faciles à mettre en oeuvre, mais d'une lenteur parfois excessive en utilisation et surtout d'une sécurité questionable. Ca aussi c'est expliqué dans le tuto.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour Mic, j'ai suivi en parti le tutoriel. Pare-feu, droit utilisateur (via ldap), http redirigé vers https, smb3...

Je reviens sur le sujet videotron et le blocage du port 80, comment faire pour changer le certificat Synology et obtenir le certificat LetsEncrypt ? Un tutoriel, un post d'une personne dans cette situation ? Je n'ai pas trouvé de sujets pour le moment. 

J'ai installé Audio Station, quand celui ci est installé il propose de rajouter une règle dans le parefeu, je suis étonné de voir qu'audio station fonctionne en UDP ou TCP, il ne marche pas uniquement en TCP ?

Prochaine étape ouvrir Audio Station vers l'extérieur pour un premier test.

 

Il me reste si je suis correcte à désactiver l'uPnP sur ma boxe et faire le port forwarding sur celui-ci. Si j'arrive à m'y connecter via mon IP public il me restera à configurer le DNS correcte ?

 

 

 

Modifié par Quentinb56
Lien vers le commentaire
Partager sur d’autres sites

il y a 34 minutes, Quentinb56 a dit :

Je reviens sur le sujet videotron et le blocage du port 80, comment faire pour changer le certificat Synology et obtenir le certificat LetsEncrypt ? Un tutoriel, un post d'une personne dans cette situation ? Je n'ai pas trouvé de sujets pour le moment.

le certificat LE c'est lorsque vous avez un ndd en propre. Dans ce cas, l'obtention du certificat est assez compliquée sans le port 80. On peut utiliser des services tiers pour obtenir un certificat wildcard. Il y a un tuto pour ça :

Si vous n'avez pas de ndd, la question ne se pose pas : vous utilisez simplement le certificat Synology par défaut avec un ndd du type mondomaine.synology.me.

Pour ce qui est des règles proposées par Synology pour le parefeu, mieux vaut inhiber cette fonction est construire ses propres règles en fonction de ses besoins.

Tous les ports par défaut et leurs protocole sont ici : https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/Network/What_network_ports_are_used_by_Synology_services

 

Lien vers le commentaire
Partager sur d’autres sites

Merci Mic, nouvelle question, j'ai tenté de suivre le tutoriel sur le reverse proxy mais pour le moment sans succès.

- Etape 1 - enlever redirection http vers https

- Etape 2 - Proxy inversé sources : https://dsaudio.mondomaine.fr destination : http://localhost:5000

- Etape 3 - je rajoute un filtre dans le proxy en ouvrant le port 443 (https)

- Etape 4 - j'ouvre le port 443 sur la boxe en effectuant le port forwarding

Il me reste si j'ai bien compris à configurer mon DNS ?

Je suis chez OVH, la seule chose que j'ai réalisé sous DynHost : .mondomaine.fr cible : ip public.

Je n'ai pas bien compris le CNAME et le A, il s'agit bien de l'onglet redirection sur OVH ?

Je n'ai dans cette page que des CNAME, par exemple : www.mondmaine.fr qui pointe sur mondomaine.fr

 

Lien vers le commentaire
Partager sur d’autres sites

Comme le dirait Fenrir, un sous-domaine ça n'existe pas.

.ca est un domaine sur le web qui matérialise le canada, mondomaine.ca est un domaine lié à .ca, toto.mondomaine.ca est un domaine lié a mondomaine.ca et.... etc... c'est une question de sémantique.

Un enregistrement A correspond toujours à une adresse IP. Comme vous avez une adresse dynamique, il ne faut pas utiliser d'enregistrement A dans votre zone puisqu'il ne fonctionnerait que jusqu'au renouvellement de l'adresse. C'est le DynHost qui s'en charge et qui tient dynamiquement à jour un enregistrement A que vous ne voyez pas dans la liste de vos enregistrements. Ce DynHost bien entendu ne pourra fonctionner que si vous l'avez lié avec le DDNS de votre NAS ou de votre routeur, sinon OVH ne saura pas que vous avez changé d'adresse IP !

Le CNAME est un alias qui permet de lier un nom de domaine avec un autre. Par exemple pour dire que ce qui arrive sur toto.mondomaine.ca doit être transféré sur mondomaine.ca.

Concernant le wildcard, je ne sais pas si OVH l'accepte. Personnellement je préfère appeler un chat un chat. J'ai donc un allias pour chaque domaine.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, Mic13710 a dit :

Lorsque vous créez un DynHost chez OVH, le CNAME se crée automatiquement.

Les CNAME et les A sont des enregistrements à faire dans la zone DNS.

Donc le DynHost crée automatiquement un CNAME et je dois ensuite créé d'autres ALIAS avec CNAME. Je vais rééssayer merci.

 

Fenrir résume assez bien la situation concernant la sécurité. Les gens s'intéressent principalement à la sécurité des enfants, de leurs environnements ... mais c'est bien parce qu'ils parlent le même langage. Parler sécurité avec quelqu'un qui s'y connait c'est insupportable vous n’emploierez jamais les bons termes ...

Sur OVH je viens donc de créer la ligne suivante.

Domaine Type Cible
         
dsaudio.mondomaine.fr vers un domain (CNAME) mondomaine.fr  
  • Attention : si dsaudio.mondomaine.fr n'est pas déclaré sur le serveur cible mondomaine.fr, la redirection ne fonctionnera pas.

 

Avec ma redirection de port, la modification du proxy, la déclaration de mon reverse proxy cela est il suffisant ? Je n'ai rien oublié ?

 

Lien vers le commentaire
Partager sur d’autres sites

Erreur de ma part : ce n'est pas un CNAME mais un enregistrement A qui se crée automatiquement et qui est maintenu par le DynHost. J'avais corrigé dans mon message suivant. Mais ça ne change rien pour vous.

Si mondomaine.fr (tient vous êtes en fr maintenant ?) est bien redirigé vers votre routeur par le DynHost, que vous avez paramétré votre DDNS pour qu'il mette à jour votre DynHost, que vous avez ouvert le port 443 et qu'il est dirigé vers le NAS, que vous l'avez autorisé dans le parefeu, et que vous avez renseigné votre proxy pour que dsaudio.mondomaine.fr soit dirigé vers le localhost:leportaudiostationdunas, il n'y a pas de raison que ça ne fonctionne pas.

Par contre, il vous faudra résoudre votre problème de certificat car à l'heure actuelle vous ne l'avez pas mis en place puisque le port 80 est fermé. Il vous faudra faire des exceptions si vous voulez tester.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.