DSM réseau externe

[Quentinb56]

Bonjour,

Venant de déménager j'ai fais l'acquisition d'un nouveau NAS et je viens de souscrire avec VideoTron.

J'ai voulu ouvrir l'accès à DSM sur internet mais je suis bloqué... Tout d'abord j'ai essayé de configurer mon routeur, celui-ci est bien réglé sur UpnP, j'ai réalisé un port forwarding du 5001 au 5001. Avec cette configuration (que je pensais suffisante aucuns accès distants).

Je me suis donc tourné vers le NAS et me suis rendu sur La configuration du routeur dans Accès Externe > Configuration du routeur.

J'obtiens:

Vérification de l'interface réseau : OK

Vérification du port de connexion : OK

Vérification de la connexion internet : OK

Vérification de l'environnement réseau : KO

Avertissement si toutes les règles de transmission de ports échouent, vérifier si il existe deux ou d'avantages de routeurs sur votre réseau. Le cas échéant, consultez votre fournisseur de service Internet pour paramétrer le modem/routeur en Mode Bridge....

Vérification du serveur DNS : OK

Détecter l'information du routeur : OK

Il est vrai que VideoTron fournis deux équipements, un équipement câblé en fibre et un second en Ethernet servant de Modem.

Savez vous si quelqu'un à déjà rencontré un problème similaire ?

Pour informations : Quand je fais le test de connexion sous DSM le test est OK

Quentin.

 

 

 

 

Modifié le 19 janvier 2019 par Quentinb56

[Mic13710]

Ah, Vidéotron, tout un programme ! J'ai rarement vu un FAI aussi hermétique avec une flopée de ports fermés dont le 80 (bonjour la mise en place d'un certificat Let's Encrypt). Y'a qu'au Canada (et plus généralement en Amérique du Nord) qu'on voit des trucs pareils. Quant aux tarifs, ..... smicards s'abstenir.

il y a 11 minutes, Quentinb56 a dit :

un équipement câblé en fibre et un second en Ethernet servant de Modem (????)

Ne serait-ce pas plutôt switch ?

Vous avez activé plusieurs choses que nous préconisons tous de ne surtout pas utiliser : UPNP, Configuration du routeur.

Avant de pouvoir vous aider, il faudrait que vous commenciez par mettre en oeuvre le tuto de Fenrir sur la sécurisation de nos NAS. Vous le trouverez dans la section Tutorials. Il vous aidera sans doute à résoudre quelques uns de vos soucis.

[Quentinb56]

Je comprends bien mais avant de même de me lancer dans de la sécurité ne devrais-je pas essayer de faire fonctionner une connexion sortante ? Pour information l'uPnP est par défaut activé chez VideoTron.

Pour la question sur l'équipement, je ne suis pas expert mais il s'agit peut être d'un switch Ethernet + Wifi (équipement Zixel).

Mettre en oeuvre le tutoriel sur la sécurité a t'il plus de chances d'aboutir ? Je cherche à connaitre la source de mon problème (qui semble être le routeur à priori).

Quentin.

Modifié le 19 janvier 2019 par Quentinb56

[Mic13710]

C'est l'inverse : avant d'envisager de faire fonctionner une connexion sortante, il faut d'abord sécuriser les accès en interne.

Le tuto sur la sécurité vous indique le minimum a faire pour que les accès soient les plus sûrs possibles. A l'heure actuelle, vous avez probablement un NAS ouvert aux quatre vents, un pare feu pas paramétré et une foultitude de réglages qui ne sont pas faits. Alors, avant de s'aventurer à l'extérieur, il faut commencer par régler son NAS et le préparer à sortir couvert. Les réglages du routeur et des accès extérieurs se font après.

Mais si tout ceci vous effraie, vous avez la possibilité d'utiliser les services Quickconnect de Synology qui sont faciles à mettre en oeuvre, mais d'une lenteur parfois excessive en utilisation et surtout d'une sécurité questionable. Ca aussi c'est expliqué dans le tuto.

[Quentinb56]

Cool je te remercie pour ton aide, je regarde et prends note du tutoriel et je reviens vers vous si jamais je rencontre un blocage. Merci beaucoup ! 

[Quentinb56]

Bonjour Mic, j'ai suivi en parti le tutoriel. Pare-feu, droit utilisateur (via ldap), http redirigé vers https, smb3...

Je reviens sur le sujet videotron et le blocage du port 80, comment faire pour changer le certificat Synology et obtenir le certificat LetsEncrypt ? Un tutoriel, un post d'une personne dans cette situation ? Je n'ai pas trouvé de sujets pour le moment. 

J'ai installé Audio Station, quand celui ci est installé il propose de rajouter une règle dans le parefeu, je suis étonné de voir qu'audio station fonctionne en UDP ou TCP, il ne marche pas uniquement en TCP ?

Prochaine étape ouvrir Audio Station vers l'extérieur pour un premier test.

 

Il me reste si je suis correcte à désactiver l'uPnP sur ma boxe et faire le port forwarding sur celui-ci. Si j'arrive à m'y connecter via mon IP public il me restera à configurer le DNS correcte ?

 

 

 

Modifié le 20 janvier 2019 par Quentinb56

[Mic13710]

il y a 34 minutes, Quentinb56 a dit :

Je reviens sur le sujet videotron et le blocage du port 80, comment faire pour changer le certificat Synology et obtenir le certificat LetsEncrypt ? Un tutoriel, un post d'une personne dans cette situation ? Je n'ai pas trouvé de sujets pour le moment.

le certificat LE c'est lorsque vous avez un ndd en propre. Dans ce cas, l'obtention du certificat est assez compliquée sans le port 80. On peut utiliser des services tiers pour obtenir un certificat wildcard. Il y a un tuto pour ça :

Si vous n'avez pas de ndd, la question ne se pose pas : vous utilisez simplement le certificat Synology par défaut avec un ndd du type mondomaine.synology.me.

Pour ce qui est des règles proposées par Synology pour le parefeu, mieux vaut inhiber cette fonction est construire ses propres règles en fonction de ses besoins.

Tous les ports par défaut et leurs protocole sont ici : https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/Network/What_network_ports_are_used_by_Synology_services

 

[Quentinb56]

Merci Mic, nouvelle question, j'ai tenté de suivre le tutoriel sur le reverse proxy mais pour le moment sans succès.

- Etape 1 - enlever redirection http vers https

- Etape 2 - Proxy inversé sources : https://dsaudio.mondomaine.fr destination : http://localhost:5000

- Etape 3 - je rajoute un filtre dans le proxy en ouvrant le port 443 (https)

- Etape 4 - j'ouvre le port 443 sur la boxe en effectuant le port forwarding

Il me reste si j'ai bien compris à configurer mon DNS ?

Je suis chez OVH, la seule chose que j'ai réalisé sous DynHost : .mondomaine.fr cible : ip public.

Je n'ai pas bien compris le CNAME et le A, il s'agit bien de l'onglet redirection sur OVH ?

Je n'ai dans cette page que des CNAME, par exemple : www.mondmaine.fr qui pointe sur mondomaine.fr

 

[Mic13710]

Lorsque vous créez un DynHost chez OVH, le CNAME se crée automatiquement.

Les CNAME et les A sont des enregistrements à faire dans la zone DNS.

[Quentinb56]

Le A correspond au domaine et le CNAME à des sous domaines bien ça ? Si j'ai bien compris je dois remplacer le CNAME existant par un A et ensuite créer un sous domaine avec étoile pour accepter tous les sous domaines ? 

[Mic13710]

Comme le dirait Fenrir, un sous-domaine ça n'existe pas.

.ca est un domaine sur le web qui matérialise le canada, mondomaine.ca est un domaine lié à .ca, toto.mondomaine.ca est un domaine lié a mondomaine.ca et.... etc... c'est une question de sémantique.

Un enregistrement A correspond toujours à une adresse IP. Comme vous avez une adresse dynamique, il ne faut pas utiliser d'enregistrement A dans votre zone puisqu'il ne fonctionnerait que jusqu'au renouvellement de l'adresse. C'est le DynHost qui s'en charge et qui tient dynamiquement à jour un enregistrement A que vous ne voyez pas dans la liste de vos enregistrements. Ce DynHost bien entendu ne pourra fonctionner que si vous l'avez lié avec le DDNS de votre NAS ou de votre routeur, sinon OVH ne saura pas que vous avez changé d'adresse IP !

Le CNAME est un alias qui permet de lier un nom de domaine avec un autre. Par exemple pour dire que ce qui arrive sur toto.mondomaine.ca doit être transféré sur mondomaine.ca.

Concernant le wildcard, je ne sais pas si OVH l'accepte. Personnellement je préfère appeler un chat un chat. J'ai donc un allias pour chaque domaine.

[Quentinb56]

Il y a 9 heures, Mic13710 a dit :

Lorsque vous créez un DynHost chez OVH, le CNAME se crée automatiquement.

Les CNAME et les A sont des enregistrements à faire dans la zone DNS.

Donc le DynHost crée automatiquement un CNAME et je dois ensuite créé d'autres ALIAS avec CNAME. Je vais rééssayer merci.

 

Fenrir résume assez bien la situation concernant la sécurité. Les gens s'intéressent principalement à la sécurité des enfants, de leurs environnements ... mais c'est bien parce qu'ils parlent le même langage. Parler sécurité avec quelqu'un qui s'y connait c'est insupportable vous n’emploierez jamais les bons termes ...

Sur OVH je viens donc de créer la ligne suivante.

Domaine	Type	Cible
dsaudio.mondomaine.fr	vers un domain (CNAME)	mondomaine.fr

• Attention : si dsaudio.mondomaine.fr n'est pas déclaré sur le serveur cible mondomaine.fr, la redirection ne fonctionnera pas.

 

Avec ma redirection de port, la modification du proxy, la déclaration de mon reverse proxy cela est il suffisant ? Je n'ai rien oublié ?

 

[Mic13710]

Erreur de ma part : ce n'est pas un CNAME mais un enregistrement A qui se crée automatiquement et qui est maintenu par le DynHost. J'avais corrigé dans mon message suivant. Mais ça ne change rien pour vous.

Si mondomaine.fr (tient vous êtes en fr maintenant ?) est bien redirigé vers votre routeur par le DynHost, que vous avez paramétré votre DDNS pour qu'il mette à jour votre DynHost, que vous avez ouvert le port 443 et qu'il est dirigé vers le NAS, que vous l'avez autorisé dans le parefeu, et que vous avez renseigné votre proxy pour que dsaudio.mondomaine.fr soit dirigé vers le localhost:leportaudiostationdunas, il n'y a pas de raison que ça ne fonctionne pas.

Par contre, il vous faudra résoudre votre problème de certificat car à l'heure actuelle vous ne l'avez pas mis en place puisque le port 80 est fermé. Il vous faudra faire des exceptions si vous voulez tester.

[Quentinb56]

Le 20/01/2019 à 18:15, Quentinb56 a dit :

 

- Etape 2 - Proxy inversé sources : https://dsaudio.mondomaine.fr destination : http://localhost:5000

 

 

Oui je suis au Canada mais j'ai (j'avais) un domaine français.

 

Ce soir je regarde pour mettre en place le certificat merci.