Reverse Proxy / Accès externe à un RT2600ac / Configuration VPN Plus

[Jeff777]

Pour ce que tu veux faire les alias ne servent à rien.

Je répète ma question, est-ce que tu a déclaré le port 5000 dans le nas2. Je crois que c'est dans accès externe du panneau de configuration? 

[oracle7]

@Jeff777

Voilà pour le NAS2 :

Pour ton information, c'est la même chose sur le NAS1 au nom du NAS près.

Cordialement

oracle7😉

[Jeff777]

Non ce n'est pas là. Ici c'est pour paramétrer les liens partagés.

De mémoire cela s'appelle paramètres du dsm. 

Désolé c'est un peu difficile de t'aider car où je suis internet est plus qu'alternatif !

[oracle7]

@Jeff777

Pas de soucis.

donc voilà pour les paramètres DSM (identiques sur les deux NAS)

Cordialement

oracle7😉

[_DR64_]

C'est un méga chantier ton DNS @oracle7 !
Tu es sous windob ? Si oui, quand tu "appelles" ton NAS2 via \\NAS2 c'est bien le 2 qui monte ?

De plus en local il ne faut pas que NAS2.ndd.tld pointe vers l'ip du NAS1 (reverse proxy) sinon ça fou la merde 

Modifié le 15 mai 2020 par GrOoT64

[oracle7]

@GrOoT64

Bonjour,

il y a 13 minutes, GrOoT64 a dit :

C'est un méga chantier ton DNS @oracle7 !

Non plus maintenant la Zone locale du DNS a été consérablement allégée des lignes CNAME redondantes avec celle en "*.ndd.tld"

il y a 12 minutes, GrOoT64 a dit :

Tu es sous windob ? Si oui, quand tu "appelles" ton NAS2 via \\NAS2 c'est bien le 2 qui monte ?

OUI et OUI c'est bien le NAS2 qui monte.

il y a 15 minutes, GrOoT64 a dit :

De plus en local il ne faut pas que NAS2.ndd.tld pointe vers l'ip du NAS1 (reverse proxy)

Si tu regardes bien la copie d'écran que j'ai fourni précédemment, ce n'est pas le cas.

Cordialement

oracle7😉

[_DR64_]

Perso, j'ai la même config que toi, 2 NAS, un RT2600ac  en DMZ derrière une Livebox etc...
J'ai donc décidé de mettre mon serveur DNS sur mon routeur (plus logique tout vient de lui...)
dans ce serveur DNS,  je pars du principe où je vais joindre mon routeur grâce  à mon  domaine (pas sous domaine hein)

mondomaine.tld -- Type NS -- ns.mondomaine.tld
ns.mondomaine.tld -- Type A -- IP.DU.ROUTEUR
mondomaine.tld -- Type A -- IP.DU.ROUTEUR

Ensuite j'ai mis que des Type A pour tous mes sous domaines qui pointent TOUS vers IP.DU.NAS1 qui gère le reverse proxy
Petite exception à la règle : nas2.mondomaine.fr pointe vers sa propre IP

[_DR64_]

Il y a 3 heures, oracle7 a dit :

Voilà pour le NAS2 :

Si tu as un reverse proxy depuis le NAS1, le NAS2 n'a pas à pointer vers l'exterieur, puisque l'accès au NAS2 depuis l'extérieur se fait par le NAS1

[oracle7]

@GrOoT64

Je te remercie vivement de ton avant dernière réponse.

En y réfléchissant bien, c'est peut-être bien la meilleure configuration à adopter dans ce contexte particulier de RT derrière une LB en DMZ.

Ma configuration actuelle avec le serveur DNS sur le NAS1 est en fait "historique" càd avant l'arrivée du NAS2 et je ne te parles parles de ce que cela aurait été avec l'arrivée d'un futur NAS3 mais distant celui là !

Je vais donc regarder de près cette configuration avec le serveur DNS sur le RT et le reverse proxy qui lui doit rester sur le NAS1 puisque sauf erreur de ma part, on ne peut pas configurer un reverse proxy sur le RT.

Mais, d'ors et déjà j'aurais quelques questions quant à cette nouvelle (pour moi) configuration :

1. Lorsque tu veux accéder aux NAS  depuis l'extérieur, utilises-tu un VPN ?
   1. si oui, où as-tu installé le serveur VPN du le RT ou sur un des NAS ?
   2. si non, te contentes-tu d'une simple connexion du type "xxxxx.ndd;tld" (ou selon "xxxxxx.ndd.tld:443") ?
2. A l'inverse, je suppose que dans ce cas de figure, si je veux accéder Internet à partir de mon PC (client du réseau local) en passant par un VPN, alors l'utilisation d'un fournisseur tiers de VPN (NordVPN, HMA, etc ...) est requise. Comment fais-tu dans ce cas précis ?

Cordialement

oracle7😉

Modifié le 15 mai 2020 par oracle7

[_DR64_]

il y a 8 minutes, oracle7 a dit :

Je vais donc regarder de près cette configuration avec le serveur DNS sur le RT et le reverse proxy qui lui doit rester sur le NAS1 puisque sauf erreur de ma part, on ne peut pas configurer un reverse proxy sur le RT.

C'est exact.

il y a 8 minutes, oracle7 a dit :

Lorsque tu veux accéder aux NAS  depuis l'extérieur, utilises-tu un VPN ?

1. si oui, où as-tu installé le serveur VPN du le RT ou sur un des NAS ?
2. si non, te contentes-tu d'une simple connexion du type "xxxxx.ndd;tld" (ou selon "xxxxxx.ndd.tld:443") ?

Alors oui et non je m'explique :
j'ai des "utilisateurs qui accèdent au NAS1 (le principal) par "xxxxx.ndd;tld" ou selon xxxxxx.ndd.tld:443 (moi aussi je me sers de ça pour quelques applications sans risque on va dire) - Pour les choses qui craignes (genre accès à DSM par exemple) j'ai bloqué le reverse proxy au LAN et au VPN. De ce fait, les gens peuvent taper : NAS1.mondomaines.fr ça marche pas !
Mon serveur VPN est celui du RT (VPN Plus)

il y a 9 minutes, oracle7 a dit :

A l'inverse, je suppose que dans ce cas de figure, si je veux accéder Internet à partir de mon PC (client du réseau local) en passant par un VPN, alors l'utilisation d'un fournisseur tiers de VPN (NordVPN, HMA, etc ...) est requise. Comment fais-tu dans ce cas précis ?

Non pas du tout. VPN Plus est ton propre fournisseur (profite les licenses sont gratuites d'ailleurs en ce moment!!!)

 

[oracle7]

@GrOoT64

il y a 37 minutes, GrOoT64 a dit :

Non pas du tout. VPN Plus est ton propre fournisseur (profite les licenses sont gratuites d'ailleurs en ce moment!!!)

Tu es entrains de me dire que je vais pouvoir faire l'économie d'un abonnement à un fournisseur VPN tiers. Voilà une très bonne chose !

Cordialement

oracle7😉

[_DR64_]

Il y a 2 heures, oracle7 a dit :

Tu es entrains de me dire que je vais pouvoir faire l'économie d'un abonnement à un fournisseur VPN tiers. Voilà une très bonne chose !

Attention, il y a VPN et VPN !
Celui-ci ne masquera pas ton IP WAN à travers internet on est d'accord hein ?!

Exemple de VPN Plus : je suis chez mon père , je me connecte à VPN plus et j'ai l'adresse IP de mon domicile comme si j'y étais.
Si je tape : \\NAS1 ça fonctionne

Moi j'ai paramétré VPN Plus pour qu'il me donne la même plage d'IP que mon LAN et j'ai autorisé certains reverse proxy a fonctionner seulement avec les IP LAN. 
De ce fait, si quelqu'un tape : DSM.ndd.tld ça ne fonctionnera pas mais si tu es connecté en VPN ça marchera

Modifié le 15 mai 2020 par GrOoT64

[oracle7]

@GrOoT64

Ok ça marche, bien compris. C'est pour une connexion extérieure vers le serveur VPN du RT dans ce sens uniquement et pas l'inverse.

Pour la protection d'accès, tu as créé une règle qui autorise ton LAN en 192 et bloque tout le reste : OK.

Mais ne pourrait-on pas aussi, à la place du LAN 192 , seulement autoriser le LAN en 10 puisqu'il couvre déjà le VPN. NON ? J'ai bon ou pas ? Car j'envisageais de créer une zone DNS dédiée (avec sa vue) au VPN sur le LAN en 10 pour cloisonner les choses si je puis dire par rapport au LAN normal en 192. Ton avis STP ?

Cordialement

oracle7😉

 

[_DR64_]

Il y a 10 heures, oracle7 a dit :

Mais ne pourrait-on pas aussi, à la place du LAN 192 , seulement autoriser le LAN en 10 puisqu'il couvre déjà le VPN. NON ? J'ai bon ou pas ? Car j'envisageais de créer une zone DNS dédiée (avec sa vue) au VPN sur le LAN en 10 pour cloisonner les choses si je puis dire par rapport au LAN normal en 192. Ton avis STP ?

Dès que tu vas être connecté à ton VPN, tu vas faire parti de ton LAN domicile depuis le WAN (si je puis dire) et le RT va te donner une IP local via le serveur DHCP.
Si c'est ton routeur le serveur DNS, tu vas aussi avoir accès à ta Zone Master comme à la maison. 

Donc en VPN tu auras accès à 192 ; 10 ; ta box orange etc... Tu pourras même caster des films pornos sur la télé du salon pendant que tu es au travail (j'ai fais ça avec ma femme pendant le confinement elle avait les fenêtres grandes ouvertes et le son à fond ça à donné ! )

Modifié le 16 mai 2020 par GrOoT64

[oracle7]

@GrOoT64

Un premier p'tit retour.

Installation du serveur DNS sur le RT : pas de problèmes particuliers à part juste un truc que ne n'ai pas encore compris pourquoi.

J'avais un blocage avec "nom-du-nas2.ndd.tld" qui n'aboutissait pas aussi bien en local que de l'extérieur.

En fait, il a suffit sur le NAS2 de décocher dans "Panneau de configuration / Réseau / Paramètres de DSM" de décocher la case "Activer un domaine personnalisé".

C'est bizarre ce comportement, car sur le NAS1, cette case est cochée et un nom de domaine est renseigné. En l'occurrence "nom-du-nas1.ndd.tld" et c'est opérationnel en local et de l'extérieur. Ton avis STP ?

Sinon maintenant, je passe à la seconde phase : configuration de VPN Plus sur le RT. Je te tiens au courant. A++

Cordialement

oracle7😉

 

[_DR64_]

il y a 16 minutes, oracle7 a dit :

C'est bizarre ce comportement, car sur le NAS1, cette case est cochée et un nom de domaine est renseigné. En l'occurrence "nom-du-nas1.ndd.tld" et c'est opérationnel en local et de l'extérieur. Ton avis STP ?

Je ne sais pas trop sur le coup car de mon côté la case est restée décochée.
N'oublie pas par contre de faire un ipconfig/flushdns  dans ton invite de commande quand tu changes tes paramètres.

il y a 17 minutes, oracle7 a dit :

Sinon maintenant, je passe à la seconde phase : configuration de VPN Plus sur le RT. Je te tiens au courant. A++

Bonne chance 😛

[oracle7]

@GrOoT64

Au secours !!! 🤭 Je comprends mieux maintenant ton "Bonne chance 😛" !!!!

A peine, le paquet VPN Plus installé, je bloque pour configurer OpenVPN.

1. Pour commencer, il ne me donne pas le choix de la plage d'@IP du client : Il n'y a que "OpenVPN" càd "172.20.0.0/24" de disponible et donc impossible d'affecter la plage d'@IP de mon LAN.
2. Qu'à cela ne tienne, je vais dans "Objets" et je modifie l'objet "OpenVPN" en lui donnant la plage d'@IP de mon LAN.
3. Pas de bol encore, impossible à valider car j'ai un message qui me dit que "Les sous-réseaux OpenVPN et Local Network se recouvrent". OK c'est normal vu qu'il existe un objet "Local Network" qui utilise déjà la plage en question.

D'où ma question, comment as-tu fais pour affecter ton réseau LAN ? en supposant que tu ais configuré aussi OpenVPN.

Cordialement

oracle7😉

 

[_DR64_]

il y a 24 minutes, oracle7 a dit :

D'où ma question, comment as-tu fais pour affecter ton réseau LAN ? en supposant que tu ais configuré aussi OpenVPN.

J'ai mis en place le VPN de synology, il est très bien, tu as même l'application VPN Plus sur mobile !

Il faut activer toutes les Licenses (en bas à gauche de la photo) c'est gratuit jusqu'en septembre ! profite

PS : 
Si le split tunneling n'est pas activé, le client VPN va prendre l'adresse IP publique de ta box et va avoir accès à toute ton architecture réseau (vraiment comme si tu été branché au cul de ton routeur)
Si le split tunneling est activé tu va avoir l'IP Publique de l'endroit où tu te trouve physiquement et tu va seulement avoir accès aux plages d'ip que tu aura enregistrée.

De ce fait:
Sans split tunneling, TOUT passe par ton VPN. Même quand tu navigues sur internet
Avec split tunneling, SEULEMENT les plages d'ip enregistrée au préalable passeront par ton VPN. C'est une façon de cloisonner un peu en quelque sorte.

Modifié le 16 mai 2020 par GrOoT64

[oracle7]

@GrOoT64

Merci de ta réponse rapide, j'étais justement en train de configurer "SSL VPN" pour voir.

Sauf qu'il me demande d'importer un certificat intermédiaire alors que je l'avais déjà fait dans SRM (lors de l'installation du RT) en important le certificat wilcard LE issu du NAS1.

J'ai donc essayé de réimporter ce certificat wilcard mais maintenant il me dit que le certificat intermédiaire est illégal !!! Dur dur ...

TU crois qu'il faille que je recrée un nouveau certificat wilcard LE ou que j'essaie d'importer le certificat LE genéré par Synology depuis le NAS 1 ?

Cordialement

oracle7🤭

[_DR64_]

il y a 2 minutes, oracle7 a dit :

TU crois qu'il faille que je recrée un nouveau certificat wilcard LE ou que j'essaie d'importer le certificat LE genéré par Synology depuis le NAS 1 ?

Moi c'est le certificat LE du NAS1 que j'ai importé. Je n'ai pas de Wildcard

[oracle7]

@GrOoT64

Bonjour,

Un second p'tit retour.

Installation du serveur VPN Plus sur le RT avec configuration de "SSL VPN" : cela n'a pas été sans mal mais j'y suis arrivé en changeant de port car via le port 443 : pas de connexion possible.

Avec le VPN actif via "VPN Plus" installé sur mon smartphone, j'ai bien accès à tous mes NAS et ainsi qu'à Internet. Parfait de ce coté là. Je te confirme aussi qu'il faut bien avoir décocher dans "Panneau de configuration / Réseau / Paramètres de DSM" la case "Activer un domaine personnalisé" sinon cela bloque.

A part cela, génial le coup d'appliquer un profil de contrôle d'accès sur certaines redirections. C'est vraiment un plus dans la sécurité. Pas d'accès hors VPN actif et c'est très bien comme cela. En tout cas pour moi !

Enfin, j'ai activé aussi le split tunneling.

Au final un grand MERCI à toi pour tes indications à suivre.

Cordialement

oracle7🤭

[_DR64_]

Il y a 4 heures, oracle7 a dit :

j'y suis arrivé en changeant de port car via le port 443 : pas de connexion possible.

Effectivement, j'ai oublié de te dire ça 😁 mais c'est précisé dans la conifg. Du coup maintenant tu as accès à ton routeur même ton NAS éteint et tu peux le redémarrer avec ds router 😉 ça peu servir ! 

[TuringFan]

@oracle7 et @GrOoT64,

Merci pour posts super instructifs.

Comme @oracle7 j'ai désinstallé paquets VPN et DNS de mon NAS pour les installer sur mon RT.

A priori c'est fonctionnel, j'ai également dupliqué le certificat LE édité sur le NAS directement sur le RT : je comprends que je dois le garder sur le RT et sur le NAS si je veux que monRT.ndd.tld et monNAS.ndd.tld soient tous les deux considérés comme des sites sécurisés. Est-ce exact ? Si oui il faut donc ouvrir les ports 80 et 443 tous les 3 mois sur les deux machines pour mettre à jour les deux certificats ?

Enfin j'ai installé SSL VPN mais cela me fait beaucoup penser à quickconnect que j'essayais d'éviter ... ne retombe pas dans les travers de quickconnect avec cette solution qui semble ad hoc à Synology ? est-il possible d eparamétrer un client sans l'installation de SSL VPN Synology ?  

Enfin je n'ai rien fait de spécial dur la vue DNS à part filtrer les IP en autorisant que les locales, localhost et VPN : c'est en conjuguant ça avec le fait que j'ai selectionné une plage d'IP locale pour mon Serveur SSL VPN  que monRT.ndd.tld et monNAS.ndd.tld sont uniquement accessible en locale et/ou VPn : est-ce bien cela ?

Edit:

J'ai utilisé le port 4443 pour le SSL VPn car il était sur le screenshot du tuto Synology : est ce un coup de bol ou est-ce bien ce qu'il fallait faire ? Ce port est alloué sur rien de précis en dehors de cette application ? 

Je ne maîtrise pas la gestion des ports, comment faire en sorte qu'en tapant monRT.ndd.tld je n'ai pas besoin de préciser le port  ? Je crois qu'il faut utilisé webstation mais je ne maitrise pas. 

Modifié le 17 mai 2020 par TuringFan

[_DR64_]

Bonjour @TuringFan

il y a 5 minutes, TuringFan a dit :

Si oui il faut donc ouvrir les ports 80 et 443 tous les 3 mois sur les deux machines pour mettre à jour les deux certificats ?

Juste pour le NAS, tu exporte ensuites ton certificat sur le RT. (je mentionne de nouveau par la même occasion que j'ai les ports 80 et 443 ouverts seulement sur la France et que malgrès une erreur quand je renouvelle le certificat, cela fonctionne quand même !)

il y a 5 minutes, TuringFan a dit :

Enfin je n'ai rien fait de spécial dur la vue DNS à part filtrer les IP en autorisant que les locales, localhost et VPN : c'est en conjuguant ça avec le fait que j'ai selectionné une plage d'IP locale pour mon Serveur SSL VPN  que monRT.ndd.tld et monNAS.ndd.tld sont uniquement accessible en locale et/ou VPn : est-ce bien cela ?

L'accès aux sous domaines (reverse proxy) se paramètre dans ton NAS pour que seulement tes plages IP LAN/VPN soient autorisées.

Modifié le 17 mai 2020 par GrOoT64

[TuringFan]

il y a 8 minutes, GrOoT64 a dit :

Juste pour le NAS, tu exporte ensuite ton certificat sur le RT.

Tu as raison.

il y a 8 minutes, GrOoT64 a dit :

L'accès aux sous domaines (reverse proxy) se paramètre dans ton NAS pour que seulement tes plages IP LAN/VPN soient autorisées.

la dessus je suis largé ...

De mon coté je n'ai pas fait (volontairement) de reverse proxy et d'ailleurs je ne sais même pas ce que c'est : j'ai créé des CNAME et A dans mon DNS sur le RT et j'ai ensuite appliquer le certificat LE sur ces deux SAN, rien de plus !
Mais ça marche de mon côté : je peux accéder à ces sous domaines et ils apparaissent comme sécurisés.
Ai-je bien fait ce qu'il fallait du coup ou est-ce un coup de bol ?

Autre questions (j'ai fait un edit dans mon pécédent post) :

J'ai utilisé le port 4443 pour le SSL VPn car il était sur le screenshot du tuto Synology : est ce un coup de bol ou est-ce bien ce qu'il fallait faire ? Ce port est alloué sur rien de précis en dehors de cette application ? 

Je ne maîtrise pas la gestion des ports, comment faire en sorte qu'en tapant monRT.ndd.tld je n'ai pas besoin de préciser le port  ? Je crois qu'il faut utilisé webstation mais je ne maitrise pas. 

merci beaucoup pour ton aide @GrOoT64

Modifié le 17 mai 2020 par TuringFan