Reverse Proxy / Accès externe à un RT2600ac / Configuration VPN Plus

[_DR64_]

il y a 22 minutes, TuringFan a dit :

Enfin j'ai installé SSL VPN mais cela me fait beaucoup penser à quickconnect que j'essayais d'éviter ... ne retombe pas dans les travers de quickconnect avec cette solution qui semble ad hoc à Synology ? est-il possible d eparamétrer un client sans l'installation de SSL VPN Synology ?  

Là je suis pas d'accord, QuickConnect, grâce à un MONNAS.synology.ME te connecte à tout (c'est la porte ouverte à toutes les fenêtres j'ai envie de dire.)
Sur PC, quand tu connectes ton VPN, soit tu as forcément un client OpenVPN. J'ai testé avec Windows seul (En bas à droite/VPN/ etc...) ça ne fonctionne pas en natif (et j'ai W10 Pro) tu es obligé d'aller bidouiller des lignes de registre pour que ça marche! Là avec SSL VPN tu te connecte, tu télécharges les paramètres réseau (car c'est ça en gros) et ça marche. Simple / rapide / efficace.

Avant tout, pour joindre ton NAS depuis l'extérieur, tu rentres un domaine ou un sous domaine ?
nas.mondomaine.fr ou mondomaine.fr ?

Modifié le 17 mai 2020 par GrOoT64

[TuringFan]

il y a 1 minute, GrOoT64 a dit :

Là je suis pas d'accord, QuickConnect, grâce à un MONNAS.synology.ME te connecte à tout (c'est la porte ouverte à toutes les fenêtres j'ai envie de dire.)
Sur PC, quand tu connectes ton VPN, soit tu as forcément un client OpenVPN. J'ai testé avec Windows seul (En bas à droite/VPN/ etc...) ça ne fonctionne pas en natif (et j'ai W10 Pro) tu es obligé d'aller bidouiller des lignes de registre pour que ça marche! Là avec SSL VPN tu te connecte, tu télécharges les paramètres réseau (car c'est ça en gros) et ça marche. Simple / rapide / efficace.

C'était justement une question ouverte, je me rends compte que j'ai tapé trop vite et que je voulais marquer "ne retombe t on pas dans", à laquelle tu viens de répondre parfaitement.

Je n'ai pas les compétences techniques pour en juger.
Mais est il possible d'utiliser le protocole SSL VPN sans utiliser le client de Synology ?
Puis je le configurer avec un autre client voire en natif sur iOS et:ou Windows ?
Peut-être à tord mais le fait de passer par un truc spécifique à Synology me faisait penser au fonctionnement de QuickConnect qui est clef en main mais te fait passer par des serveurs tiers.

[_DR64_]

il y a 6 minutes, TuringFan a dit :

Mais est il possible d'utiliser le protocole SSL VPN sans utiliser le client de Synology ?
Puis je le configurer avec un autre client voire en natif sur iOS et:ou Windows ?

A ma connaissance non. Mais je ne travaille pas chez Synology 😛

Pour tes ports : si tu veux être au plus simple on va dire : tu devrais avoir ouvert le port 80 et 443 vers le NAS ET C'EST TOUT <<- mais pour ça c'est reverse proxy obligé !

Si je comprend bien ce que tu me dis, toi tu as ouvert : 80 (let's encrypt) 5000 et 5001 vers le NAS c'est ça ?

Modifié le 17 mai 2020 par GrOoT64

[_DR64_]

Au passage @TuringFan, il serait bien d'aller faire un petit tour dans la section "présentation" du forum avec de nous faire la tienne (comme ça on pourra un peu mieux t'aiguiller)

[TuringFan]

il y a 29 minutes, GrOoT64 a dit :

A ma connaissance non. Mais je ne travaille pas chez Synology 😛

Pour tes ports : si tu veux être au plus simple on va dire : tu devrais avoir ouvert le port 80 et 443 vers le NAS ET C'EST TOUT <<- mais pour ça c'est reverse proxy obligé !

Si je comprend bien ce que tu me dis, toi tu as ouvert : 80 (let's encrypt) 5000 et 5001 vers le NAS c'est ça ?

Pare-Feu LiveBox

80 ouvert 
443 ouvert 
DMZ vers le RT

Pare-feu RT

SSL VPN Server (port 4443) ouvert
DNS Server (port 53) ouvert
Port 50 ouvert
Bloquer sinon

Port forwarding

80 vers IP NAS uniquement
443 vers IP NAS uniquement

Pare-feu NAS 

80 ouvert depuis France, USA uniquement 
443 ouvert depuis France, USA uniquement 
22 ouvert depuis la France
Tous le sports ouverts pour les IP en 10. / 192.168. / 172.16. 
Bloquer sinon

Est-ce que c'est bon ?

Questions d'un débutant mais faut il ouvrir les IPs en 127.0 sur le NAS ?
Comment-cela se fait-il que je puisse accéder à mon RT avec son IP:8001 en local sann avoir de règle spécifique dans mon pare-feu RT ?  

il y a 14 minutes, GrOoT64 a dit :

Au passage @TuringFan, il serait bien d'aller faire un petit tour dans la section "présentation" du forum avec de nous faire la tienne (comme ça on pourra un peu mieux t'aiguiller)

Volontiers, en plus d'être novice en réseau je suis également débutant en forum. merci pour le conseil.

Modifié le 17 mai 2020 par TuringFan

[_DR64_]

il y a 9 minutes, TuringFan a dit :

Pare-Feu LiveBox

80 ouvert 
443 ouvert 
DMZ vers le RT

Si ton RT est en DMZ de ta livebox, les ports 80 et 443 n'ont pas besoin d'être ouverts car ils passent forcément via la DMZ (DMZ = Tous les ports ouverts vers ton routeur

il y a 9 minutes, TuringFan a dit :

Pare-feu RT

SSL VPN Server (port 4443) ouvert
DNS Server (port 53) ouvert
Port 50 ouvert
Bloquer sinon

SSL VPN : ok
DNS serveur : Pourquoi faire ?
Port 50 : C'est quoi ?

il y a 9 minutes, TuringFan a dit :

Port forwarding

80 vers IP NAS uniquement
443 vers IP NAS uniquement

Impec là tu es prêt pour paramétrage Reverse proxy

 

il y a 9 minutes, TuringFan a dit :

Pare-feu NAS 

80 ouvert depuis France, USA uniquement 
443 ouvert depuis France, USA uniquement 
22 ouvert depuis la France
Tous le sports ouverts pour les IP en 10. / 192.168. / 172.16. 
Bloquer sinon

Surtout pas le port 22 ouvert sur toute la France !
Le reste OK

il y a 9 minutes, TuringFan a dit :

Questions d'un débutant mais faut il ouvrir les IPs en 127.0 sur le NAS ?

Pour les IPs en 127 si tu t'en a pas il n'y a pas de raison 😄

il y a 9 minutes, TuringFan a dit :

Comment-cela se fait-il que je puisse accéder à mon RT avec son IP:8001 en local sann avoir de règle spécifique dans mon pare-feu RT ?

La réponse est dans la question. Tu es en LOCAL donc tu as accès à TOUT en natif.
 

Modifié le 17 mai 2020 par GrOoT64

[_DR64_]

Dans mon cas :

Pare-Feu LiveBox


et DMZ vers le RT.

Pare-feu RT

SSL VPN : ouvert pour tous
Remote desktop : ouvert pour tous
80 : ouvert pour tous
443 : ouvert pour tous
SFTP : ouvert pour tous
Active Backup : ouvert pour tous

Port forwarding

80 : vers NAS1
443 : vers NAS1
SFTP : vers NAS1
Active Backup : vers NAS1

Pare-feu NAS1

[TuringFan]

il y a 56 minutes, GrOoT64 a dit :

Au passage @TuringFan, il serait bien d'aller faire un petit tour dans la section "présentation" du forum avec de nous faire la tienne (comme ça on pourra un peu mieux t'aiguiller)

Et une bonne chose de faite (en plus de ma signature) : 

 

il y a 42 minutes, GrOoT64 a dit :

Si ton RT est en DMZ de ta livebox, les ports 80 et 443 n'ont pas besoin d'être ouverts car ils passent forcément via la DMZ (DMZ = Tous les ports ouverts vers ton routeur

Ok je ferme.

il y a 42 minutes, GrOoT64 a dit :

DNS serveur : Pourquoi faire ?

Mon DNS est sur mon RT

il y a 42 minutes, GrOoT64 a dit :

Port 50 : C'est quoi ?

Erreur : c'est maintenant fermé.

il y a 42 minutes, GrOoT64 a dit :

Surtout pas le port 22 ouvert sur toute la France !

Ok, le mieux est de fermer alors pour un accès en local uniquement ?
Je pensais que comme bloqué par le RT, il n'y avait pas de risque.

il y a 42 minutes, GrOoT64 a dit :

Pour les IPs en 127 si tu t'en a pas il n'y a pas de raison

Je sais que c'est mentionné dans le tuto DNS au même titre que les IP locales ou VPN, je pensais donc qu'il fallait avoir le même comportement.

il y a 42 minutes, GrOoT64 a dit :

La réponse est dans la question. Tu es en LOCAL donc tu as accès à TOUT en natif.

Ok du coup pour la même raison, je peux faire sauter toutes les règles d'autorisation de mes IP locales / VPN dans mon pare-feu NAS alors ?
Pourquoi certains tuto préconisent la création de ces dites règles justement ?

Modifié le 17 mai 2020 par TuringFan

[_DR64_]

il y a 44 minutes, TuringFan a dit :

Mon DNS est sur mon RT

Tu t'en sers qu'en local ? Si oui, ferme.

Pour la suite je te réponds demain ma femme gueule mdr 😄

[TuringFan]

Ok ça marche, merci déjà pour toute ton aide.

Pour le DNS en local et en VPN.

Concernant le SSL Synology ça fonctionne bien sauf sur mon client Windows, je vais investiguer.

Merci,

[oracle7]

@TuringFan

Il y a 3 heures, TuringFan a dit :

J'ai utilisé le port 4443 pour le SSL VPn car il était sur le screenshot du tuto Synology : est ce un coup de bol ou est-ce bien ce qu'il fallait faire ?

Bah pour un coup de bol, c'est un coup de bol. Ce port ne semble pas être utilisé, voir ici.

Il est habituellement de bon ton (en fait recommandé) de choisir ses ports privés (ou dits éphémères) dans la plage supérieure à 49152. Maintenant le port 4443 risque un jour d'être réservé et utilisé par une application tierce. Mais ne t'inquiètes pas il n'y a rien de grave, c'est juste pour ton information.

Cordialement

oacle7😉

 

[TuringFan]

il y a 49 minutes, oracle7 a dit :

Il est habituellement de bon ton (en fait recommandé) de choisir ses ports privés (ou dits éphémères) dans la plage supérieure à 49152.

C'est quoi un port privé ?

Je pensais que le port 4443 du SSL VPN jouais le même rôle que le port 1194 pour OpenVPN : ce n'est pas pareil ?

[_DR64_]

Il y a 8 heures, TuringFan a dit :

C'est quoi un port privé ?

Chaque application à un port par défaut. Exemple : 22 SSH
Tu peux modifier ce port en 54321 si tu veux (et c'est conseillé! Pas forcément le 54321 hein  !). Ce port devient un port privé.

Il y a 8 heures, TuringFan a dit :

Je pensais que le port 4443 du SSL VPN jouais le même rôle que le port 1194 pour OpenVPN : ce n'est pas pareil ?

Comme je l'ai dis juste au dessus, chaque application ou protocoles à son (ou ses) port(s) attribué(s) 
De ce fait, si tu veux faire du SSL VPN tu ne pourra jamais passer par le port 1194 qui lui est dédié à OpenVPN.

Même principe pour le HTTP et HTTPS : Si tu joins un site en HTTP tu passeras forcément via le port 80 contre le 443 pour du HTTPS.

Modifié le 18 mai 2020 par GrOoT64

[_DR64_]

Il y a 14 heures, TuringFan a dit :

Concernant le SSL Synology ça fonctionne bien sauf sur mon client Windows, je vais investiguer.

Je viens de pense un truc à la con.
Si tu es chez toi, tu ne peux pas te connecter à ton VPN (logique tu es déjà chez toi)

[oracle7]

@GrOoT64

Bonjour,

Certes, tu as tout à fait raison mais il suffit alors de se déconnecter physiquement du réseau local et d'utiliser un smartphone comme point d'accès 4G.

Cordialement

oracle7😉

[_DR64_]

Oui oui pour les tests mais si @TuringFan essaye sans faire ça et depuis le LAN, c'est normal que ça ne fonctionne pas.

[oracle7]

@GrOoT64 Tout à fait d'accord.

Cordialement

oracle7😉

[TuringFan]

Il y a 16 heures, GrOoT64 a dit :

Chaque application à un port par défaut. Exemple : 22 SSH
Tu peux modifier ce port en 54321 si tu veux (et c'est conseillé! Pas forcément le 54321 hein  !). Ce port devient un port privé.

Merci pour ton retour @GrOoT64,

Quel est justement le port par défaut pour le SSL VPN de Synology ? 4443 ?

Il y a 13 heures, oracle7 a dit :

Certes, tu as tout à fait raison mais il suffit alors de se déconnecter physiquement du réseau local et d'utiliser un smartphone comme point d'accès 4G.

Non je fais bien ça depuis mon PC branché sur mon smartphone et ça fonctionne bien maintenant : accès à mon RT, mon NAS et ma Livebox entre autres.

En revanche je crois que l'interface web Synology m'a demandé d'installer un certificat et/ou une exception : Pourquoi ? Je ne maitrise pas les potentiels impact d'un point de vue sécurité.

Je croyais aussi que d'une façon générale les VPN qui se font par l’intermédiaire d'une interface web sur un navigateur sont moins sûre que ceux qui utilisent un client en lourd : qu'en est il ?

Pour le moment je n'arrive toujours pas à me convaincre de la robustesse de ce protocole (probablement à tord, mais le client ad hoc Synology + l'interface web + le certificat / exception sont autant d'éléments qui ne m'aident pas à avoir la même confiance dans ce protocole qu'envers les standard), j'ai essayé le L2TP et/ou OpenVPN qui fonctionnaient jadis bien sur mon NAS avec le paquet VPN Server mais pas de succès pour le moment sur le RT avec VPN Server Plus.

Modifié le 18 mai 2020 par TuringFan

[_DR64_]

@TuringFan,

Le port par defaut du SSL VPN est 443 mais comme annoncé dans le paquet lui même, ce port est souvent utilisé par un autre appareil. Dans ton cas l'autre appareil c'est ton NAS. 

Modifié le 18 mai 2020 par GrOoT64

[_DR64_]

Je suis en train de relire notre conversation et je m'aperçois qu'il me manque des informations :

Ton serveur DNS, tu t'en sers qu'en Local ou depuis l'extérieur ? 

Tu as qui comme registrar ? (Fournisseur de nom de domaine) 

Sur quoi est installé ton DynDNS ? Car longuement chez Orange/Sosh les IP ne sont pas fixes. 

Il y a 1 heure, TuringFan a dit :

En revanche je crois que l'interface web Synology m'a demandé d'installer un certificat et/ou une exception : Pourquoi ? Je ne maitrise pas les potentiels impact d'un point de vue sécurité.

La seule interface que tu dois voir, c'est VPN Plus sur fond d'écran bleu. Avec identifiant mot de passe. 

Une fois identifié, tu devrais avoir SSL VPN sur la gauche et un rectangle vert au milieu de la page avex le client VPN à installer. Sa te rajoutera une carte réseau virtuelle nommée comme ton domaine. 

Je te ferai une capture demain là je n'ai que mon téléphone... 

Modifié le 18 mai 2020 par GrOoT64

[_DR64_]

Voilà les captures qui vont bien

:

 

Voilà! pas besoin d'exception ou autre truc du genre... 

Modifié le 19 mai 2020 par GrOoT64

[Jeff777]

Le 14/05/2020 à 23:38, Jeff777 a dit :

Pour moi oui. Mais j'ai un doute, comme dit kramlech, c'est peut être grâce au loopback  que ça fonctionne en local chez moi avec Free

Comme je ne suis pas chez moi actuellement  je ne peux pas tester. Mais toi tu ne risques rien de faire l'essai en local.

Bonjour @oracle7

Je vois que le sujet a un peu dévié 😄

Je viens de rentrer et j'ai fait le test en interne en coupant internet (et après avoir vider les caches DNS et navigateur). Je confirme que le DNS local fonctionne.

En conclusion un enregistrement A dans le DNS local  nas.ndd A  iplocaleNAS   et un reverse proxy  https://nas.ndd  ==>> iplocaldunas:5000  et cela fonctionne en local sans loopback ou de l'extérieur.

Maintenant je n'ai pas exactement la même config que toi.

 

[_DR64_]

Bonjour @Jeff777,
J'avoue qu'on s'est un peu égaré 😄 

[oracle7]

@Jeff777

Bonjour,

Effectivement, depuis ton dernier passage, le sujet a quelque peu dérivé. la cause en est un changement de portage de ma part quant à la configuration de mon installation.

Je suis passé avec l'aide généreuse de @GrOoT64 , d'une configuration Serveur DNS et Serveur VPN installés sur le NAS (client du routeur) à une configuration Serveur DNS et Serveur VPN installés tous les deux directement sur le Routeur, ce qui en soit est plus "naturel", enfin je le crois. Avec le recul, je puis dire maintenant qu'il ne faut pas chercher à en faire faire trop à un NAS et qu'il faire simple tout simplement quand la configuration matérielle le permet bien sûr.

Depuis cela, ce qui me conforte dans nouveau choix c'est que je ne constate plus les comportements étatiques (entre serveurs DNS et VPN) que j'avais précédemment, avec au passage les mêmes constats relevés chez @TuringFan qui avait une configuration similaire à la mienne et qui lui aussi, est passé avec succès me semble-t-il à la nouvelle configuration sus-citée.

Au final, cela marche parfaitement, j'accède à tous mes périphériques (NAS, Routeur, Caméras, etc ..) comme je le souhaitais aussi bien en local que de l'extérieur en tapant un simple "xxxxx.ndd.tld" dans un navigateur. Ce qui est extrêmement souple. De plus, grâce à une astuce de @GrOoT64 liée au profil d'accès dans le reverse proxy, personne ne peut utiliser mes "xxxxx.ndd.tld" de l'extérieur car ils sont "filtrés" (même si ne n'est pas tout à fait le bon terme) pour une connexion uniquement en local ou initiée sous VPN de l'extérieur par moi seul. C'est pour moi un top du point de vue sécurité !

Cela dit, je te remercie pour l'aide apportée pour essayer de résoudre mes problèmes rencontrés avec la première configuration.

Cordialement

oracle7😉

 

 

[Jeff777]

il y a 17 minutes, oracle7 a dit :

un changement de portage de ma part quant à la configuration de mon installation.

L'essentiel c'est que chacun trouve la config qui lui convient et que celle-ci soit compatible de son FAI et équipement et Il semble que tu as trouvé la tienne.

La diversité des solutions c'est aussi la richesse du forum.

A+