Aller au contenu

NAS via WAN et NDD


Messages recommandés

Bonjour à toutes et tous,

après pas mal de recherche sur différents forums concernant la configuration d'un NAS, je bute sur un problème d'accès via WAN... Mon but est d'arriver à finaliser ma configuration selon les tutoriels présent sur ce forum. J'ai pris soin de chercher et tester activement tout ça mais avec des zones d'incompréhensions qui persistent...

 

Voici donc mes questions de "débutant" :

- j'ai déjà un nom de domaine pour un site web et je souhaite l'utiliser pour pointer vers l'IP public fixe de ma box (fibre) : mondomaine.com

- j'ai créer un sous domaine qui pointe sur l'IP public de ma box que j'ai appelé : monnas.mondomaine.com

- ensuite j'ai créé les CNAME dont j'ai besoin pour pointer sur les bons services du nas : audio.monnas.mondomaine.com, etc...

- j'ai attendu le temps de propagation et bien au delà

- j'ai configuré le pare-feu et le proxy inversé comme il se doit (enfin il me semble...)

- quand je tente de renouveler mon certificat l'Ets Encrypt, ça ne marche pas.

- du coup je me retrouve avec des problèmes de certificats sur les adresses des services type audio.monnas.mondomaine.com...

 

[ Est-ce que le fait d'utiliser le sous domaine d'un sous domaine pose problème ? ]

Pourriez-vous m'éclairer sur le sujet ou même plutôt me venir en aide pour que je puisse poursuivre le reste de ma configuration ?

 

Dernière question, [ comment gérez-vous l'accès WAN ou LAN selon si vous êtes chez vous ou à l'extérieur ? ]

j'ai du mal à comprendre si je dois manuellement switcher entre http sur réseau local chez moi et https via mon nom de domaine à l'extérieur...

 

Bref trop de question sans réponse 🙂

Merci pour votre aide précieuse !!!

 

Bien à vous

--------------------

je possède un NAS Synology DS218+ et DSM 6.2.3-25426

Modifié par nolivdacom
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

pour simplifier la configuration pourquoi ne pas faire:

audio.mondomaine ?

Le certificat utilise la racine du nom de domaine

puis les domaines du type audio.mondomaine.com 

Modifié par pluton212+
Lien vers le commentaire
Partager sur d’autres sites

Bonjour et merci pour votre réponse !

Mon nom de domaine pointe déjà vers l'adresse IP publique de mon site internet (hébergement OVH). Je n'ai pas créé un nouveau nom de domaine dédié mais utilise celui existant. Si je veux simplifier comme vous le suggérez, cela implique que je créé deux lignes "A" de redirection de "mondomaine.com" vers deux IPs publiques différentes. [ Est-ce que ça peut poser problème ? ]

 

Bien cordialement

Lien vers le commentaire
Partager sur d’autres sites

Il y a 21 heures, nolivdacom a dit :

Si je veux simplifier comme vous le suggérez, cela implique que je créé deux lignes "A" de redirection de "mondomaine.com" vers deux IPs publiques différentes. [ Est-ce que ça peut poser problème ? ]

Pas possible ça. En voiture, sur une route avec une patte d'oie, tu ne peux pas aller à gauche et à droite en même temps sinon tu te plantes, ça va être la même pour  ta redirection 🙂 
Pourquoi ne pas héberger ton site sur le NAS ? Je dis  ça comme ça hein! Aucune obligation!

Lien vers le commentaire
Partager sur d’autres sites

☺️

Bonjour GrOoT64,

merci pour ta réponse, c'est bien ce qu'il me semblait !

Je ne souhaite pas héberger mon (ou plutôt mes) sites sur le NAS puisque ce n'est pas moi qui les administre...

[ Est-ce que je dois du coup créer un nouveau nom de domaine ou est-ce que je peux utiliser ceux qui existent déjà et qui hébergent mes sites chez OVH ? ]

 

Le certificat Let's Encrypt fonctionne pour mon nom de domaine monnas.mondomaine.com mais pas pour les sous domaines type audio.mondomaine.com.

Voici ma configuration actuelle :

1. configuration routeur avec IP publique fixe :

  • port 443 redirigé vers port 443 du nas en TCP
  • port 80 redirigé vers port 80 du nas en TCP

2. configuration de la zone DNS chez OVH :

  • enregistrement type [A] : monnas.mondomaine.com pointe vers l'adresse IP publique de mon nas
  • enregistrement type [CNAME] : audio.mondomaine.com pointe vers l'enregistrement [A] monnas.mondomaine.com
  • même chose pour video.mondomaine.com, photo, etc...

3. configuration du pare-feu :

1016720409_Capturedecran2020-06-28a13_04_31.png.a12c2f8442cbe4d2c8da55706bcdac57.png

4. configuration du portail des applications (exemple pour "audio") :

565589451_Capturedecran2020-06-28a13_12_20.png.3114c93f1892fa5918f3496c1f894f1f.png

216372322_Capturedecran2020-06-28a13_11_59.png.a79d49cfbcf14a0c1f1e4b24336464e1.png

 

5. configuration du certificat Let's Encrypt :

  • modification du pare-feu pour demande -> port 80 ouvert pour toutes les provenances...
  • nom de domaine : monnas.mondomaine.com
  • adresse mail : monmail
  • autre nom de l'objet : audio.mondomaine.com;video.mondomaine.com;photo.mondomaine.com

 

Voilà, j'ai l'impression d'avoir mentionné à peu près toutes les choses importantes, désolé pour la longueur de ce message...

Je suis bloqué à cette étape pour le moment.

 

D'avance merci pour votre aide !!!

oO

Capture d’écran 2020-06-28 à 13.12.20.png

Capture d’écran 2020-06-28 à 13.11.59.png

Modifié par nolivdacom
Lien vers le commentaire
Partager sur d’autres sites

Bonjour @GrOoT64,

Citation

tes sites internet sont hébergés par OVH ? Donc ton site = ndd.tld = Serveurs OVH ?

oui, mes sites possèdent un nom de domaine mondomaine1.com ou mondomaine2.com que je souhaite utiliser pour gérer mon nas...

Est-ce que c'est possible ou est-ce que je fais fausse route ?

Merci en tout cas pour ton aide :-)

Modifié par nolivdacom
Lien vers le commentaire
Partager sur d’autres sites

Bonjour @nolivdacom,

Désolé j'ai traîné un peu...

Tout d'abord est-ce que tu possèdes une adresse IP fixe ?

SI oui :
Il faut que tu crées une redirection sur OVH (onglet Redirection) de type A (vers ton adresse IP publique) par exemple : NAS.tondomaine.com vers 123.123.123.123
Une fois que c'est fait, il faut que tu crées tes domaines (videos, fichiers, photos, etc...) toujours dans le même onglet d'OVH mais cette fois ci avec un CNAME vers le domaine cible, c'est à dire NAS.tondomaine.com

De ce fait, fichiers.tondomaine.com = NAS.tondomaine.com = 123.123.123.123
C'est tout.

SI non :
Sur OVH, Il faut que tu crées une DynHost  (onglet DynHost) qui pointe sur ton adresse IP publique par exemple : NAS.tondomaine.com vers 123.123.123.123.
Il faudra ensuite paramétrer ton NAS pour que cette DynHost se mette à jour automatiquement si ton adresse IP publique change.
Une fois que c'est fait, il faut que tu crées tes domaines (videos, fichiers, photos, etc...) dans l'onglet Redirections d'OVH avec un CNAME vers le domaine cible, c'est à dire NAS.tondomaine.com

De ce fait, fichiers.tondomaine.com = NAS.tondomaine.com = 123.123.123.123 (Adresse mise à jour automatiquement par le NAS) 
C'est tout.

Pour la suite,

Ouvrir les ports de ton 80 et 443 de ton routeur et les faire pointer vers l'IP de ton NAS et paramétrer comme tu veux ton reverse proxy.


 

Modifié par GrOoT64
Lien vers le commentaire
Partager sur d’autres sites

Le 26/06/2020 à 23:42, nolivdacom a dit :

j'ai du mal à comprendre si je dois manuellement switcher entre http sur réseau local chez moi et https via mon nom de domaine à l'extérieur...

Le mieux est d'atteindre ton NAS en permanence via l' https

Une fois que tout sera paramétré, tu n'auras aucun problème à te connecter de n'importe où.

Le 26/06/2020 à 23:42, nolivdacom a dit :

- du coup je me retrouve avec des problèmes de certificats sur les adresses des services type audio.monnas.mondomaine.com...

Pour tes "domaines d'application" utilise un CNAME du genre : audio.mondomaine.com c'est beaucoup plus confort et surtout moins long à taper !

Le 28/06/2020 à 13:23, nolivdacom a dit :

3. configuration du pare-feu :

1016720409_Capturedecran2020-06-28a13_04_31.png.a12c2f8442cbe4d2c8da55706bcdac57.png

Pour la création du certificat il faut ouvrir le port 80 pour tous ! pas seulement pour la France.
Crées toi une ligne pour ça que tu placera en avant dernière position.
A cocher quand tu renouvelle ton certificat et à décocher après 😉 
 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @GrOoT64,

merci beaucoup pour ton aide.

J'ai suivi scrupuleusement les indications via un tutoriel sur le forum. Cela correspond exactement à ce que tu m'indiques ici. Du coup je pense avoir bien compris les choses... tant mieux :-)

Je viens de m'apercevoir que j'avais fait des erreurs dans la zone DNS chez OVH à savoir que je faisais pointer les CNAME sur mondomaine.com au lieu de monnas.mondomaine.com.

L 'enregistrement de type A monnas.mondomaine.com était juste par contre est pointait bien sur mondomaine.com.

En fait, je pense que je me suis embrouillé entre plusieurs méthodes. J'ai commencé avec Quickconnect. Ensuite j'ai basculé sur du DYNDNS avant de choisir pour la bonne option sachant que j'ai une IP fixe. Au moins maintenant je connais les 3 méthodes :-)

Sinon concernant le config du routeur et du proxy inversé, je pense que j'ai bon.

Voici juste deux dernières questions pour continuer mon apprentissage :

[ Le proxy inversé doit servir à faire la passerelle entre // WAN -> https -> port 443 -> port http 7000 (par exemple) -> mon application //, c'est bien ça ? ]

[ Est-ce que je dois rajouter l'accès à DSM dans le proxy inversé dans le but de valider mes certificats ? ] ou [ Comment se gère la passerelle entre port 443 et DSM ? ]

Merci en tout cas !!!

Bonne soirée !

Lien vers le commentaire
Partager sur d’autres sites

Ah oui, en fait j'ai une autre question de newbie 🙂

 

[ Si je passe par mon Nom De Domaine en https:// via WAN même quand je suis chez moi, mes données ne transiterons quand même que sur le réseau local ? ]

Toute cette histoire de nom de domaine, de zone dns, etc... ne sert en fait qu'à la résolution d'une IP ?

Modifié par nolivdacom
Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, nolivdacom a dit :

L 'enregistrement de type A monnas.mondomaine.com était juste par contre est pointait bien sur mondomaine.com.

Tu ma dis que "mondomaine.com" c'était ton site web hébergé sur OVH.
Alors l'enregistrement n'est pas bon. Il devrait pointer sur ton IP fixe.

Mondomaine.com enregistrement de type A vers IP OVH (site web)
MonNAS.domaine.com enregistrement de type A vers ton IP Fixe (FAI)
Videos.domaine.come CNAME vers MonNas.domaine.com

Il y a 9 heures, nolivdacom a dit :

Le proxy inversé doit servir à faire la passerelle entre // WAN -> https -> port 443 -> port http 7000 (par exemple) -> mon application //, c'est bien ça ?

C'est son rôle en effet. ATTENTION : pour video station il faut faire une redirection en https vers https (pour DSM aussi si tu veux un acces à videostation depuis DSM)

Il y a 9 heures, nolivdacom a dit :

Est-ce que je dois rajouter l'accès à DSM dans le proxy inversé dans le but de valider mes certificats ? ] ou [ Comment se gère la passerelle entre port 443 et DSM

Oui

Il y a 9 heures, nolivdacom a dit :

Si je passe par mon Nom De Domaine en https:// via WAN même quand je suis chez moi, mes données ne transiterons quand même que sur le réseau local ? ]

oui

Il y a 9 heures, nolivdacom a dit :

Toute cette histoire de nom de domaine, de zone dns, etc... ne sert en fait qu'à la résolution d'une IP ?

En gros oui mais un couple "domaine/reverse proxy" est un outil extrêmement puissant quand tu sauras le maîtriser 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @GrOoT64,

Citation

Tu ma dis que "mondomaine.com" c'était ton site web hébergé sur OVH.
Alors l'enregistrement n'est pas bon. Il devrait pointer sur ton IP fixe.

Oui oui, je me suis trompé dans mon message, mon enregistrement de type A monnas.mondomaine.com pointe bien sur mon IP fixe publique :-)

Je commence à m'embrouiller à force de changer les paramètres...

 Il y a 11 heures, nolivdacom a dit :

Est-ce que je dois rajouter l'accès à DSM dans le proxy inversé dans le but de valider mes certificats ? ] ou [ Comment se gère la passerelle entre port 443 et DSM

Citation

Oui

[ Est-ce que tu saurais m'indiquer l'enregistrement à effectuer dans le proxy inversé pour DSM ? ] (port 443 vers port http du DSM) ?

 

[ Est-ce que c'est mieux d'utiliser le https uniquement sur le WAN et de passer en http une fois la barrière franchie ? ]

Est-ce que je pose trop de question ? :-)

Merci encore et bonne journée !

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, nolivdacom a dit :

Est-ce que tu saurais m'indiquer l'enregistrement à effectuer dans le proxy inversé pour DSM ? ] (port 443 vers port http du DSM)

https://dsm.ndd.tld (443) vers http://localhost (5000)

Il y a 3 heures, nolivdacom a dit :

[ Est-ce que c'est mieux d'utiliser le https uniquement sur le WAN et de passer en http une fois la barrière franchie ? ]

ça change rien (sauf si quelqu'un connecté à ta box "sniffe" ton réseau.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @GrOoT64,

bon décidément, je n'y arrive pas :-(

 

[ Let's encrypt utilise bien le port 80 pour se connecter a DSM le temps de la création du certificat ? ]

[ Comment puis-je vérifier que DSM et let's encrypt communique bien ? ]

Pour le moment, j'ai le set up suivant :

Box :

  • port 443 externe vert port 443 interne sur IP du NAS
  • idem pour le port 80

Pare-feu :

  • autoriser pour port 80 et port 443 pour toutes les provenances

Proxy inversé :

  • port 443 vers port 5000 du NAS (j'ai même essayé avec port 80 vers port 5000 du NAS)

Certificat :

  • nom de domaine : monnas.mondomaine.com
  • adresse mail
  • autre nom d'objet : audio.mondomaine.com;video.mondomaine.com, etc...

J'ai forcement fait un truc pas correcte, mais je n'arrive pas à savoir où...

Aurais-tu une idée ?

Meeeerrrrrcccciiiiii !

Lien vers le commentaire
Partager sur d’autres sites

Le 01/07/2020 à 17:19, nolivdacom a dit :

autoriser pour port 80 et port 443 pour toutes les provenances

Tu es sûr?

Le 01/07/2020 à 17:19, nolivdacom a dit :

[ Let's encrypt utilise bien le port 80 pour se connecter a DSM le temps de la création du certificat ? ]

Oui tout à fait

Le 01/07/2020 à 17:19, nolivdacom a dit :

[ Comment puis-je vérifier que DSM et let's encrypt communique bien ? ]

Quand ton certificat est créé ? :x

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @GrOoT64,

 

  Le 01/07/2020 à 17:19, nolivdacom a dit :

autoriser pour port 80 et port 443 pour toutes les provenances

Citation

Tu es sûr?

Oui !

  Le 01/07/2020 à 17:19, nolivdacom a dit :

[ Let's encrypt utilise bien le port 80 pour se connecter a DSM le temps de la création du certificat ? ]

Citation

Oui tout à fait

Alors du coup, comment se fait le lien entre DSM et le port 80 sur le WAN ?

  Le 01/07/2020 à 17:19, nolivdacom a dit :

[ Comment puis-je vérifier que DSM et let's encrypt communique bien ? ]

Citation

Quand ton certificat est créé ? :x

Ah d'accord, il me semblait qu'il y avait moyen de faire un ping ou autre chose pour tester...

 

Je crois que je vais devoir recommencer à zero pour comprendre ou est l'erreur :-(

 

Merci en tout cas d'avoir pris le temps de m'aider !

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @nolivdacom,
 

il y a 14 minutes, nolivdacom a dit :

[ Est-ce que dans cette configuration (NDD + proxy inversé) je dois activer la redirection automatique en HTTPS ?]

Surtout pas! 🙂

il y a 15 minutes, nolivdacom a dit :

après je t'embête plus @GrOoT64 :

Tu ne m'embêtes pas du tout rassures toi 🙂 

Tu as essayé de désactiver ton pare-feu et de créer ton certificat ensuite ? 

Lien vers le commentaire
Partager sur d’autres sites

  Il y a 3 heures, nolivdacom a dit :

[ Est-ce que dans cette configuration (NDD + proxy inversé) je dois activer la redirection automatique en HTTPS ?]

Citation

Surtout pas! 🙂

Ok, du coup c'était bon pour ça...

  Il y a 3 heures, nolivdacom a dit :

après je t'embête plus @GrOoT64 :

Citation

Tu ne m'embêtes pas du tout rassures toi 🙂 

Merci @GrOoT64 😉

Citation

Tu as essayé de désactiver ton pare-feu et de créer ton certificat ensuite ?

Oui, je crois même que j'ai essayé en redirigeant directement DSM sur le WAN...

 

Donc pour le moment, j'ai monnas.mondomaine.com qui a bien un certificat valide mais je n'arrive pas à le renouveler pour avoir aussi audio.mondomaine.com, video, etc...

J'ai tester l'adresse type https://audio.mondomaine.com et je tombe bien (en outrepassant exception de sécurité...) sur la page de connexion de l'application audio de synology...

Il ne manque plus que les certificats des "sous-domaine"...

 

Modifié par nolivdacom
Lien vers le commentaire
Partager sur d’autres sites

Bonjour @GrOoT64,

Citation

C'est quand même bizarre, tu devrais reprendre le tuto sur le reverse proxy tu as du oublier quelque chose

Oui, c'est un bon conseil ! Je vais reprendre à zéro... En fait, je pense que le problème est dû aux différentes méthodes que j'ai essayé avant de trouver la bonne.

J'ai essayer via quickconnect, ensuite je suis passé en DYNDNS et j'ai fait la demande de certificat pour monnas.mondomaine.com, ensuite je suis passé en IP fixe avec zone DNS et "sous-domaine"... c'est le bazarre mon histoire :-)...

 

J'ai également le doute sur une chose, peut-être saurais-tu me renseigner :

le nom de domaine que j'utilise est un nom de domaine créer sur une adresse d'un premier site.

En gros, j'ai monsite1 qui est hébergé sur mondomaine1.com. Ensuite j'ai créer un second nom de domaine mondomaine2.com pour que monsite2 soit hébergé sur le même espace que monsite1 (comme ça je paye que pour un hébergement...)... donc mondomaine2.com n'est pas "hébergé" mais redirigé sur mondomaine1.com...

 

[ Du coup (désolé c'est un peu bizarre comme truc...) il se trouve que j'ai utilisé mondomaine2.com pour gérer mon NAS... est-ce que tu penses que ça peut poser problème ? ]

 

Bonne journée !!!

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.