Reverse Proxy / Accès externe à un RT2600ac / Configuration VPN Plus

[TuringFan]

Il y a 18 heures, GrOoT64 a dit :

Ton serveur DNS, tu t'en sers qu'en Local ou depuis l'extérieur ? 

DNS sur le RT, utilisé en local et en VPN uniquement car comme @oracle7 je trouve très bien le fait de pouvoir accéder à mes appareils en tapant monAPPAREIL.ndd.tld uniquement en local ou via VPN.

Il y a 18 heures, GrOoT64 a dit :

Tu as qui comme registrar ? (Fournisseur de nom de domaine)

OVH

Il y a 18 heures, GrOoT64 a dit :

Sur quoi est installé ton DynDNS ?

Sur le RT

Si je comprends bien c'est le RT qui pousse ma nouevlle IP externe vers OVH (grâce à mes logins OVH demandés par le RT) ?

Il y a 12 heures, GrOoT64 a dit :

Voilà! pas besoin d'exception ou autre truc du genre... 

Je n'avais pas tout à fait la même fenêtre : j'avais un 1 et un 2 avec en 1 télécharger le client et en 2 installer un certificat ...

Il y a 19 heures, GrOoT64 a dit :

Le port par defaut du SSL VPN est 443 mais comme annoncé dans le paquet lui même, ce port est souvent utilisé par un autre appareil. Dans ton cas l'autre appareil c'est ton NAS. 

Pourquoi mon NAS : je croyais que j'y accédais par le port 5001 ?

Y a t il une règle à suivre pour choisir intelligemment son port privée alors ?

[_DR64_]

Bonjour @TuringFan 
Revenons à nos moutons :

Le 17/05/2020 à 19:11, TuringFan a dit :

Pare-feu RT

SSL VPN Server (port 4443) ouvert
DNS Server (port 53) ouvert
Port 50 ouvert
Bloquer sinon

 

Il y a 11 heures, TuringFan a dit :

DNS sur le RT, utilisé en local et en VPN uniquement car comme @oracle7 je trouve très bien le fait de pouvoir accéder à mes appareils en tapant monAPPAREIL.ndd.tld uniquement en local ou via VPN.

Du coup, si ton serveur DNS est uniquement pour ton réseau local / vpn, pas besoin d'ouvrir le port 53. Tu peux donc supprimer ce port du pare-feu de ton routeur.

Il y a 11 heures, TuringFan a dit :

Pourquoi mon NAS : je croyais que j'y accédais par le port 5001 ?

Un NAS avec la config par défaut est accessible via les ports 80 ; 443 ; 5000 et 5001

[_DR64_]

Le 17/05/2020 à 19:44, TuringFan a dit :

je peux faire sauter toutes les règles d'autorisation de mes IP locales / VPN dans mon pare-feu NAS alors ?
Pourquoi certains tuto préconisent la création de ces dites règles justement ?

Non, c'est règles ils faut les laisser. Si le pare-feu du NAS est activé, il va laisser passer QUE ton réseau LAN et bloquer tout le reste.

Au final, nous avons tellement parlé que je ne sais même plus ce que tu veux faire exactement.

Je récapitule un peu la conversation : 

Tu es chez Orange avec un MR2200ac en DMZ.
Tu es chez OVH avec un DynDNS sur ton routeur.
---> Le DynDNS c'est pour ton domaine ou un sous domaine ? (nas.tondomaine.tld ou tondomaine.tdl)
Ton serveur DNS est sur le routeur et seulement pour le LAN.
Tu n'as pas de reverse proxy (et tu n'en veux pas si j'ai bien compris)
Ton serveur VPN est sur le routeur et tu veux passer par OpenVPN mais tu as un problème de certificat (que je n'ai pas)
Ton certificat c'est un Let's Encrypt? Il est fait par le NAS ou le Routeur ? As-tu des sous-domaines dans ce certificat ? (sans me les donner hein !) Si ton certificat est fait par le NAS, il est importé sur le routeur ?

@oracle7 
Je me demande si il ne serait pas préférable de modifier le nom du sujet en : 
Reverse Proxy / Accès externe à un RT2600ac / Configuration VPN Plus

Modifié le 20 mai 2020 par GrOoT64

[oracle7]

@GrOoT64

Pas de problème, c'est fait...

Cordialement

oracle7😉

Modifié le 20 mai 2020 par oracle7

[TuringFan]

Il y a 19 heures, GrOoT64 a dit :

Je récapitule un peu la conversation : 

Tu es chez Orange avec un MR2200ac en DMZ.
Tu es chez OVH avec un DynDNS sur ton routeur.
---> Le DynDNS c'est pour ton domaine ou un sous domaine ? (nas.tondomaine.tld ou tondomaine.tdl)
Ton serveur DNS est sur le routeur et seulement pour le LAN.
Tu n'as pas de reverse proxy (et tu n'en veux pas si j'ai bien compris)
Ton serveur VPN est sur le routeur et tu veux passer par OpenVPN mais tu as un problème de certificat (que je n'ai pas)
Ton certificat c'est un Let's Encrypt? Il est fait par le NAS ou le Routeur ? As-tu des sous-domaines dans ce certificat ? (sans me les donner hein !) Si ton certificat est fait par le NAS, il est importé sur le routeur ?

Bonjour @GrOoT64,

Merci pour ta réponse,

Pardon si je pars un peu dans tous les sens c'est qu'au passage j'essaie d'apprendre et de comprendre ce que je fais.

Je récapitule :

- Oui chez Orange (donc IP dynamique)
- Oui MR2200ac en DMZ
- Le DDNS est sur mon RT est actualise mon IP externe pour ndd.tld (chez OVH) et pour ndd.synology.me
- Oui mon serveur DNS est sur le RT et a priori je ne souhaite l'utiliser qu'en VPN / local : je vais donc fermer le port 53 sur le pare-feu de mon RT
- Je n'ai pas de reverse proxy car je ne sais pas ce que c'est
- Mon serveur VPN SSL Synology est pleinement fonctionnel sur mon RT et j'ai eu sur un client windows, en plus de l'installation du client, une demande d'installation de certificat préalable à son utilisation : effectivement je souhaite activer les protocoles OpenVPN et L2TP/IPSec
- Pas de sujet sur le certificat : c'est un LE édité sur le NAS puis dupliqué sur le RT : je devrais ouvrir les ports 80 et 443 du NAS (+ les forwarder sur le RT) tous les 3 mois pour le mettre à jour, j'imagine que pour détecter son obsolescence je ne verrai tous simplement plus le cadenat dans mon navigateur ?

Ce que je veux faire :

1 - J'ai choisi le port 4443 pour le SSL Synology et je comprends que (i) ce n'est pas un port privé et qu'il faut que j'en prenne un entre 49152 et 65535 et (ii) que j'ai un gros coup de bol car ce port n'est pas utilisé par d'autres applications par défaut
2 - La configuration OpenVPN + L2TP/IPSec (j'ai déjà réussi sur le NAS donc je vais essayer seul et reviendrai vers vous que si je galère)
3 - Enfin, une chose que je souhaite faire et ne maitrise pas est le fait que parfois je dois ajouter (ou remplacer "http://" par) "https://" et ":" suivi du numéro de port en préfixe et suffixe à "monRT.ndd.tld" : je souhaiterais juste pouvoir taper dans n'importe quel navigateur de n'importe quel client "monRT.ndd.tld" sans avoir à me soucier du "https" et du numéro de port : je crois, peux être à tort, que c'est avec un reverse proxy ?

@oracle7 et @GrOoT64

Pardon car je me rends compte que j'ai massacré le sujet initial en polluant avec pleins d'autres sujets, je vais veiller à être plus rigoureux dans mes prochains posts.

[_DR64_]

il y a 14 minutes, TuringFan a dit :

3 - Enfin, une chose que je souhaite faire et ne maitrise pas est le fait que parfois je dois ajouter (ou remplacer "http://" par) "https://" et ":" suivi du numéro de port en préfixe et suffixe à "monRT.ndd.tld" : je souhaiterais juste pouvoir taper dans n'importe quel navigateur de n'importe quel client "monRT.ndd.tld" sans avoir à me soucier du "https" et du numéro de port : je crois, peux être à tort, que c'est avec un reverse proxy ?

C'est effectivement via l'installation de WebStation ( pour forcer http vers https ) et via la mise en place d'un reverse proxy  (qui sert a attribuer une application à un nom de domaine. Exemple :  musiques.monfomaine.fr que tu pourras faire cela. Je te renvois vers un sujet très bien détaillé pour ça : 

N'hésite pas à poser des questions.

Une fois ce tuto appliqué, tu auras les ports 80 et 443 ouverts vers le NAS. Tu pourras supprimer les ports 5000 et 5001 qui passeront par 80 et 443.

Modifié le 21 mai 2020 par GrOoT64

[TuringFan]

Merci