Aller au contenu

NAS et IP Dynamique


Messages recommandés

Bonjour à tous,

J'ai fait hier l'acquisition d'une 4GBox de chez Bouygues Télécom, alors que j'utilisais anciennement une Freebox Revolution. Je passes donc d'une IP fixe à une IP Dynamique. Et autant vous dire que je ne suis vraiment pas calé en matière de réseau...

Lorsque j'utilise Video Station sur ma Shield TV, je suis régulièrement déconnecté, je pense que ça provient de cette histoire de changement d'adresse.

J'utilisais jusqu'à maintenant Quickconnect pour accéder à mon NAS, mais j'ai cru lire qu'utiliser un DDNS est à priori mieux. J'ai donc mis en place ceci, et ça semble fonctionner pour les accès distants (Accès DSM et DS file via mon téléphone Android, mais pas encore essayé Video Station, je ne suis pas chez moi pour le moment). Cependant DS Photo, qui fonctionne sans soucis avec mon Quickconnect ne veut pas se connecter avec le DDNS. J'ai ouvert les ports 80 et 443 sur mon NAS pour information, et j'ai cru comprendre que tout le paramétrage se fait via le NAS, et non par ma 4GBox.

Avez-vous des suggestions ?

 

Au passage, je profite de mon message pour un léger HS afin de profiter de votre expertise réseau... J'ai également chez moi un système de domotique (IPX800 V4), et j'ai le même genre de soucis, accès interne ok, mais pas d'accès externe. Je suppose que c'est pareil, c'est un soucis d'IP dynamique ? Il faudra que je passe par un service DDNS ? J'avais vu No-ip en gratuit, c'est un bon service ou vous en suggérez d'autres ?

 

Merci d'avance,

Geoffrey

Lien vers le commentaire
Partager sur d’autres sites

Salut,

Plusieurs questions dans ton post :

il y a 48 minutes, geoff42000 a dit :

J'ai fait hier l'acquisition d'une 4GBox de chez Bouygues Télécom, alors que j'utilisais anciennement une Freebox Revolution. Je passes donc d'une IP fixe à une IP Dynamique. Et autant vous dire que je ne suis vraiment pas calé en matière de réseau...

Lorsque j'utilise Video Station sur ma Shield TV, je suis régulièrement déconnecté, je pense que ça provient de cette histoire de changement d'adresse.

Si ta Shield TV est sur le même réseau local que ta 4GBox, l'IP fixe ou dynamique n'intervient pas car on parle ici d'une adresse WAN, l'adresse fournie par ton ISP, dans ton cas il suffit de mettre l'IP locale de ton NAS dans DS Video.
Si elle n'est pas sur le même réseau, alors dans DS Video il te faut passer par ton DynHost (le nom de domaine qui renvoie vers ton IP dynamique) chez ton registrar suivi du port sur lequel tu exposes Video Station (ex : nas.domain.tld:port).

il y a 48 minutes, geoff42000 a dit :

Au passage, je profite de mon message pour un léger HS afin de profiter de votre expertise réseau... J'ai également chez moi un système de domotique (IPX800 V4), et j'ai le même genre de soucis, accès interne ok, mais pas d'accès externe. Je suppose que c'est pareil, c'est un soucis d'IP dynamique ? Il faudra que je passe par un service DDNS ? J'avais vu No-ip en gratuit, c'est un bon service ou vous en suggérez d'autres ?

Pour la gestion d'un nom de domaine, voir le tutoriel de @Zeus :

J'utilise OVH aussi et j'en suis très content, pour quasi rien (3€/an) de surcroît...

il y a 48 minutes, geoff42000 a dit :

Cependant DS Photo, qui fonctionne sans soucis avec mon Quickconnect ne veut pas se connecter avec le DDNS. J'ai ouvert les ports 80 et 443 sur mon NAS pour information, et j'ai cru comprendre que tout le paramétrage se fait via le NAS, et non par ma 4GBox.

Je me connecte à DS photo en utilisant les mêmes sous-domaine et port que pour DSM.

Modifié par shadowking
Lien vers le commentaire
Partager sur d’autres sites

Merci pour ton retour.

il y a 41 minutes, shadowking a dit :

Si ta Shield TV est sur le même réseau local que ta 4GBox, l'IP fixe ou dynamique n'intervient pas car on parle ici d'une adresse WAN, l'adresse fournie par ton ISP, dans ton cas il suffit de mettre l'IP locale de ton NAS dans DS Video.
Si elle n'est pas sur le même réseau, alors dans DS Video il te faut passer par ton DynHost (le nom de domaine qui renvoie vers ton IP dynamique) chez ton registrar suivi du port sur lequel tu exposes Video Station (ex : nas.domain.tld:port).

J'ai testé pour video station tout simplement avec mon IP locale, ça fonctionne en effet, et du coup c'est même plus rapide (forcément). C'est donc réglé pour ça.

 

il y a 46 minutes, shadowking a dit :

Je me connecte à DS photo en utilisant les mêmes sous-domaine et port que pour DSM.

Pour DS photo, je me connecte sur l'appli avec :

****.synology.me

compte

mot de passe

HTTPS décoché

 

Et, après un long chargement : "éched de connexion. Assurez-vous que l'IP du Synology NAS est correcte et que la version de DSM est plus récente que la version 6.0."

Les mêmes paramètres de connexion fonctionnent avec DS file et DSM.

 

il y a 52 minutes, shadowking a dit :

Pour la gestion d'un nom de domaine, voir le tutoriel de @Zeus :

J'utilise OVH aussi et j'en suis très content, pour quasi rien (3€/an) de surcroît..

Merci beaucoup pour ce tuto, je vais me pencher dessus.

Un intérêt à utiliser ovh plutôt que le DDNS Synology pour mon NAS ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 29 minutes, geoff42000 a dit :

Un intérêt à utiliser ovh plutôt que le DDNS Synology pour mon NAS ?

Si tu comptes mettre en place un proxy inversé oui.
Au lieu de taper coucou.synology.me:port pour te connecter à un service en particulier, tu vas simplement taper par exemple video.domaine.tld
Plusieurs avantages à cela :
- Tu n'as plus à ouvrir les ports sur ton routeur, tout passe par le proxy inversé sur le port 443 (HTTPS) qui redirige en coulisse vers le service demandé (grâce au préfixe "video")
- Vu que ça passe par le port 443, les données sont chiffrées, un MITM (man in the middle) ne peut pas intercepter ton mdp.

A ma connaissance, Synology ne permet pas de créer des sous-domaines propres à chaque service.
Et sur OVH tu peux totalement personnaliser tes enregistrements DNS.

Modifié par shadowking
Lien vers le commentaire
Partager sur d’autres sites

il y a 13 minutes, geoff42000 a dit :

Un intérêt à utiliser ovh plutôt que le DDNS Synology pour mon NAS ?

  • DDNS Synology : gratuit, mais pas de domaine personnel
  • OVH : payant (pas cher), et tu as ton propre nom de domaine

edit : doublé par shadowking !!!!

Modifié par Kramlech
Lien vers le commentaire
Partager sur d’autres sites

Je suis en effet tombé sur un autre tuto cité dans celui présent plus haut qui explique cette histoire de proxy inversé.

Pour faire simple, un nom de domaine permet de sécuriser mon NAS (via les proxy inversés), et de contourner le problème d'IP dynamique ?

Et ça fonctionne de la même manière avec les applis android (en utilisant mon NDD au lieu du Quickconnect) ?

 

Et de la même manière , ça peut résoudre les soucis pour ma domotique ?

 

Il me faudra 2 NDD (un domotique et un NAS), ou je peux avoir 1 NDD avec des sous domaines ?

 

Je suis vraiment débutant en la matière, donc je voulais m'assurer que ça soit la bonne solution. Si oui j'en prends un pour tester, et j'essaye de me dépatouiller avec les tutos.

 

Une explication quand même par rapport au fait que tout fonctionne avec le DDNS synology sauf DS photo ?

Modifié par geoff42000
Lien vers le commentaire
Partager sur d’autres sites

Le nom de domaine t'amène à la porte de ta box.
Ensuite tu fais un routage vers le proxy inversé du NAS (port 443).
Dans le reverse proxy tu peux orienter vers une application du NAS en fonction du sous-domaine, mais tu peux également orienter la requête vers un autre équipement de ton réseau local, par exemple le serveur qui gère la domotique !

Donc tu peux n'avoir qu'un seul nom de domaine

Mais le plus important et à faire en premier est que tu lises le tuto de Fenrir sur "Sécuriser les accès au NAS", car accéder depuis l'extérieur en http c'est faire circuler son login et mot de passe en clair sur internet … et ça ce n'est pas terrible' 

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Donc, pour résumer :

Je suis à la lettre le tuto sécurité suivant :

J'enchaine avec lui pour contourner le système d'IP dynamique :

Et je termine avec lui pour paramétrer mes accès aux différentes applications :

Pour le coup, j'ai l'impression que je peux utiliser le module reverse proxy de mon NAS pour accéder à ma domotique, comme ce qui semble fait dans l'exemple pour le système Somfy.

 

Sur le principe, j'ai bon ? Vivement l'application pour voir si tout fonctionne !

Lien vers le commentaire
Partager sur d’autres sites

Du coup, j'ai avancé, j'en suis au troisième et dernier tuto.

J'en suis juste avant la création du certificat.

Pour le moment je n'arrive pas à accéder à mon NAS via mon NDD. J'ai le message avertissement de sécurité (normal donc pour le moment), puis un chargement sans fin, puis site inaccessible.

Edit : maintenant j'ai directement page inaccessible. 

Je ne sais pas si mon ouverture des ports est bonne sur ma 4gBox... Je suis allé dans port virtuel (je ne sais pas si c'est ce qu'il faut déjà), puis :

Port WAN : 80-80

Adresse IP LAN 192.168.X.XXX (IP local de mon NAS)

Port LAN : 80-80

Protocole : TCP

Etat : activé

Puis la même chose pour le port 443. Ca semble bon ?

 

Autre soucis, lorsque je veux créer le certificat comme indiqué dans le tuto, j'ai un message "échec de la connexion à Let's Encrypt. Assurez-vous que le port 80 est ouvert sur le Diskstation et le routeur, blabla".

Modifié par geoff42000
Lien vers le commentaire
Partager sur d’autres sites

Pour le certificat il faut, le temps de la création, autoriser les 2 adresses IP spécifiques de let's Encrypt dans le firewall du NS et mettre un routage du port 80 Box-Nas

Pour le reste il ne faut dans la box que le routage que du port 443 car tous passera par là.

Tant qu'il n'y a rien dans le reverse proxy l'accès aux fonction du Nas seront impossible car pas d'accès direct !
Idem pour l'interface du NAS qu'il ne faut pas ouvrir sur l'extérieur
Donc c'est normal que ton accès n'aboutisse pas

Lien vers le commentaire
Partager sur d’autres sites

J'ai suivi le tuto, donc les 2 adresses IP sont autorisées. La ou j'ai un gros doute c'est sur le routage du port 80 Box-Nas, je ne sais pas si j'ai bien fait, c'est pour a que j'ai bien décrit ma démarche. Je ne sais même pas si "serveur virtuel" est le bon endroit, mais a semble correspondre (description Configurez un serveur virtuel afin de permettre aux ordinateurs externes d'accéder aux services WWW, FTP et aux autres services assurés par le réseau local.)

 

J'ai ajouté quelque-chose (file station) dans le reverse proxy pour tester, rien non plus.

Pourquoi ne faut-il pas ouvrir l'interface du NAS sur l'extérieur ? Sécurité, c'est ça ?

 

L'erreur vient peut-être d'ici : sur OVH, j'ai mon NDD. J'ai créé un DynHost (dsm.ndd) avec pour cible l'adresse IP celle donnée par ce lien https://ip.netysl.fr/, et "dsm" comme sous-domaine. Donc sur l'accès externe de mon NAS, j'ai autorisé l'hôte "dsm.ndd", en nom d'utilisateur ndd-truc (truc étant rentré sur ovh dans les accès de mon DynHost), et l'IP est celle provenant du site. J'ai bon ?

Modifié par geoff42000
Lien vers le commentaire
Partager sur d’autres sites

Le routage est bien à faire dans serveur virtuel. Il faut mettre le routage du port Wan 443 vers le port Lan 443 et l'IP du local NAS

Pour le reverse proxy de file station, par exemple il faut source https://file.ndd.fr cible http://localhost:7000 (activer le port http sur l'application file station)

Pas d'accès dsm depuis l'extérieur … oui pour la sécurité … si tu veux tout de même pouvoir y accéder il vaut mieux passer par un VPN (voir le tuto correspondant, quand tout ce que tu mets en places actuellement fonctionnera bien)

Pour le dynhost :
C
hez ovh inutile de mettre un sous-domaine. Pour l'adresse IP c'est celle que tu vois dans l'interface d'administration de la box (ou par mon-ip.com).
  - Dans gérer les accès créer un identifiant Dynhost : Suffix ce que tu veux (-ident par exemple), sous-domaine rien (cf. au dessus), mot de passe
Sur le NAS dans Accès externe, DDNS  
 -  Fournisseur de service OVH,
 -  Nom d'hôte : ndd.fr
 -  Nom utilisateur : identifiant dynbhost d'OVH (ndd.fr-ident)
 -  Mot de passe
 

Pour l'instant laisse tomber le certificat, tu le créera quand le reste marchera !

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Merci en tout cas pour ton aide !

J'ai exactement comme ce que tu dis, à l'exception que j'ai un sous-domaine, mais il est bien présent sur mon NAS (statut du DDNS normal dans le NAS, donc c'est good je pense). Je bloque vraiment là. Et pour le port, sur ma box, j'ai un tiret, je suppose que c'est pour autoriser une plage de port ? Donc 443-443 pour le port 443 seulement.

Modifié par geoff42000
Lien vers le commentaire
Partager sur d’autres sites

il y a 11 minutes, Thierry94 a dit :

Le DDNS du Nas affiche bien la bonne adresse IP ? Idem pour OVH ?

Il affiche l'adresse donnée par le site mon-ip. Après j'ai une adresse dynamique avec ma box, mais je crois que ovh gère a tout seul.

il y a 13 minutes, Thierry94 a dit :

Comment est paramétré ton reverse proxy ?

J'ai dans Application : File Station avec le port 7000 en HTTP

Dans proxy inversé source protocole HTTPS,  nom d'hôte : file.NDD.ovh, port 443, j'ai activé HTTP/2, et destination : HTTP, nom d'hôte localhost, port 7000

il y a 15 minutes, Thierry94 a dit :

As tu autorisé le port 443 sur le firewall du Nas ?

J'ai autoricé Port 443 (et 80 pour le moment), TCP, Il situé en France

Lien vers le commentaire
Partager sur d’autres sites

Fonctionnement de l'IP variable avec le nom de domaine :
 - Bouygues t'attribut une IP variable et peut la changer quand il veut.
 - La fonction DDNS du NAS vérifie régulièrement que cette adresse IP n'a pas changée et si c'est la cas elle se connecte au service OVH avec l'identifiant DYnhost OVH pour lui indiquer le changement l'identifiant.
 - OVH met à jour l'association nom de domaine - adresse IP avec la nouvelle adresse

Dans portail des applications pour file station tu n'as bien activer que le port http ? (ne pas activer de domaine particulier)

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.