Synchronisation en mirroir de 2 NAS sur 2 lieux différents.

[Antonio21]

Ok merci pour la précision du birectionnel 🙂 Chez moi ça ne fonctionne que si je met le VPN Server sur le NAS 1. Quand je met le VPN Server sur le NAS 2 et bien lors de la connexion depuis le NAS 1 j'ai comme message "Autorisation requise". Il doit y avoir une chose à débloquer sur le NAS 2 afin que cela passe.

[Antonio21]

Hello,

tout fonctionne bien sauf que je n'arrive pas à me connecter depuis l'extérieur.

J'ai pourtant suivi les différents tutos mais rien n'y fait je ne trouve pas mon erreur 😞

Je viens de tester le site https://www.yougetsignal.com/

J'ai testé les ports et ce site me dit qu'ils sont tous fermés... Alors que j'ai fait les redirections qui étaient demandées sur le NAS et ma BOX.

Je sais plus trop quoi faire...

 

[oracle7]

@Antonio21

Bonjour,

1. ·         Les tests d'ouverture ports ne sont pas fiables, car ils ne vérifient pas l'ouverture du port, mais la réponse du service/appareil connecté à ce port

   ·         Si le port est bien fermé on a un message du type : "Reason: Connection timed out", par contre sur un port ouvert mais dont le service ne répond pas, le message est du type : "Reason: Connection refused"

2. Comme je ne sais ce que tu as ou n'as pas configuré sur ton NAS 1, ce qui pourrait le rendre indébuggable, je te propose de tout reprendre en suivant cette procédure  (Normalement cela ne doit rien changer à la config VPN et à tes outils de sauvegardes déjà configurés) :
    

   Citation

   Appliquer les TUTOs suivants :

    

   TUTO : Débuter avec un NAS Synology

    

   TUTO : Sécuriser les accès à son NAS

   Si une action ci-dessous ne passe pas ou n'est pas correcte, surtout ne poursuit pas plus avant. Réfléchis et vérifies tes actions précédentes.

   Si ton @IP externe est fixe, alors il n’y a pas de DDNS à définir dans le NAS ni chez le fournisseur de domaine et dans ce qui suit, il faut supprimer « ddns. » de toutes les URLs citées.

   Box :

   • DHCP actif : Attribuer un bail statique au NAS.
   • NAT/PAT : Rediriger les ports 80, 443 et 5000 vers les respectivement les mêmes ports sur le NAS.
   • Si une DMZ est définie, supprimer tout dans la DMZ.
   • Pour la suite, on suppose de @IP de la Box est 192.168.1.1
   • Rebooter la Box.

   Sur le PC (à adapter si Mac) :

    

   • Dans une fenêtre de CMD en mode admin taper "ipconfig /flushdns" pour vider le cache.
   • Dans l'adaptateur réseau (propriétés protocole IPv4) : en DNS préféré --> forcer le DNS Serveur sur l'@IP du NAS, dans DNS auxiliaire --> mettre 80.67.169.12 ou 1.1.1.1, créer un 3ème DNS avec 192.168.1.1 (Box) pour le cas où aucun des deux serveurs DNS précédents ne répondraient pas.

   NOTA : cette configuration est à faire sur tous tes périphériques de ton réseau local (càd forcer le serveur DNS - le 1^er - à utiliser sur l'@IP du NAS).

   NAS partie DSM :

    

   • Désactiver le serveur DHCP du NAS.
   • Désactiver provisoirement le pare-feu du NAS.
   • Depuis l'extérieur, dans un navigateur Web avec cache vidé : taper l'URL http://<@IP Externe>:5000 --> tu dois atteindre le NAS. Accès externe :
   • On est bien d'accord que ton DDNS est défini sur ce domaine : "ddns.ndd.tld" et qu'il pointe bien vers ton @IP Externe (i.e. @IP Box). Je pars sur cette hypothèse pour la suite.
   • On vérifie que ton DDNS pointe bien chez toi, en passant la commande "ping ddns.ndd.tld" depuis ton PC . La réponse doit être ton @IP Externe.
   • On vérifie aussi que nslookup ddns.ndd.tld 8.8.8.8, ça doit aussi te faire tomber sur ton @IP Externe.
   • Depuis l'extérieur, dans un navigateur Web : taper l'URL http://ddns.ndd.tld:5000 --> tu dois atteindre le NAS.

    

   Portails des applications/Applications :

   • Pour les applications, je te conseille de renseigner les ports HTTP standards.

   Portails des applications/Reverse proxy :

   • Définir les redirections à l'image de celle-ci : https://aliasApplication.ddns.ndd.tld:443 --> localhost:portStandardHttpApplication (ne pas oublier de cocher HTTP/2).

   Réseau/Paramètres de DSM :

   • Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy.

   Réseau/Interface réseau :

   • Pour LAN1 configurer avec DHCP automatique. Mais si tu mets en configuration manuelle, alors : @IPlocaleNAS, passerelle=@IPlocaleBox, Serveur DNS= @IPlocaleNAS, cocher Définir comme valeur par défaut.

   Si tout est OK alors tu peux réactiver le pare-feu du NAS et au passage ouvrir/autoriser les ports 80, 443, 5000 et 5001 dans le pare-feu du NAS. Pour les ports 5000 et 5001 je suppose qu'ils n'ont pas été modifiés dans Accès externe/Avancé et ton nom d'hôte est bien "ddns.ndd.tld".
   Tu peux aussi supprimer la redirection du port 5000 dans le NAT/PAT de la Box (ce n'est plus utile !).

   Réseau/général :

   • Vérifier que la passerelle par défaut est bien l’@IP locale de la Box 192.168.1.1 (LAN1)
   • Cocher configurer manuellement le serveur DNS préféré et saisir l'@IP du NAS, pour le serveur DNS de remplacement tu peux mettre 80.67.169.12 ou 1.1.1.1.
   • Dans "Paramètres avancés" tu coches les 3 cases.

   NAS Partie DNS Serveur :

    

   Se référer si besoin à ce TUTO : DNS Server pour la mise en place (Zone, Résolution, Vue). Définir les ressources telles que :

   • ns.ddns.ndd.tld A 86400 @IPduNAS
   • ddns.ndd.tld NS 86400 ns.ddns.ndd.tld
   • nas1.ddns.ndd.tld A 86400 @IPduNAS1 ---> pour accéder directement au NAS1 (DSM)
   • nas2.ddns.ndd.tld A 86400 @IPduNAS2 ---> pour accéder directement au NAS2 (DSM) *.ddns.ndd.tld CNAME 86400 nas.ddns.ndd.tld ---> pour accéder directement aux applications du NAS

   Définir les Redirecteurs 1 et 2 sur 80.67.169.12 et 1.1.1.1 Pour la zone master et la vue associée limiter les IP sources tel que :

   
   Ajouter le sous-réseau 10.0.0.0/255.0.0.0 pour le VPN.

   Enfin Zone DNS chez ton fournissseur d'accès : tu devrais avoir une ligne du type : *.ddns.ndd.tld CNAME 86400 ddns.ndd.tld.

   Avec une @IP externe dynamique, tu ne dois pas avoir d'enregistrement de type ndd.tld 0 A @IPexterneBox chez ton fournisseur de domaine.

Cordialement

oracle7😉

 

 

Modifié le 5 juillet 2021 par oracle7

[Antonio21]

@oracle7

Merci pour ta réactivité 🙂

Le site que j'avais utilisé me donnais comme réponse à chacun des ports testé : "Closed".

En pj j'ai mis des screens des redirections que j'ai effectuées.

Je vais regarder les tutos que tu m'as link.

 

[oracle7]

@Antonio21

Bonjour,

A priori, dans ton NAT (transfert de ports), il manquerait le transfert des ports 80 et 443 de la box vers le NAS. Il faut d'ailleurs ouvrir/autoriser à tous aussi ces deux ports dans le pare-feu du NAS.

Dans le pare-feu du NAS, pour sécuriser un peu plus, tu peut restreindre la plage d'@IP du réseau local 192.168.0.0/255.255.0.0 de 65534 à 254 @IP avec ceci à la place : 192.168.1.0/255.255.255.0. A moins que tu ais besoin de plus de 254 machines sur ton réseau local 🤔 !

Cordialement

oracle7😉

 

 

Modifié le 26 janvier 2021 par oracle7

[Antonio21]

Ok merci je vais mettre à jour tout cela.

Comment faut-il faire stp pour transférer un port vers une IP ?(pour le 80 et 443).

[Juan luis]

il y a 33 minutes, Antonio21 a dit :

 

Bonsoir ,

Est ce la conf  "port forwarding" de ta box ? Si c'est le cas l'IP source doit être " toutes adresses IP source"

[Antonio21]

il y a 3 minutes, Juan luis a dit :

Bonsoir ,

Est ce la conf  "port forwarding" de ta box ? Si c'est le cas l'IP source doit être " toutes adresses IP source"

oui c'est ce sont les redirect que j'ai créé sur ma box 😕 Je vais mettre à jour de suite merci !

[oracle7]

@Antonio21

Bonjour,

????? Je ne te comprend pas ! Tu fais de la même manière que tu as transféré les ports 1194, 500, 4500 et 5001.

Je rejoins aussi la remarque de @Juan luis mais uniquement pour les ports 80, 443 que tu vas transférer.

Pour le port 5001, par soucis de sécurité pour ton NAS il ne faut surtout pas l'exposer directement à Internet donc à l'extérieur. Tu peux supprimer cette redirection (elle est uniquement utile lorsque tu contrôles que tu peux atteindre ton NAS depuis l'extérieur quand c'est OK on la supprime. Ensuite, on utilise le port 443 et le reverse proxy pour atteindre sans les exposer les ports 5000 et 5001 de DSM.

Pour les ports 1194, 500 et 4500 dédiés au VPN, tu peux laisser comme cela si et seulement si tu utilises ces VPN uniquement pour tes sauvegardes entre NAS. Sinon, alors fait ce que dis Juan Luis pour ces ports aussi.

Cordialement

oracle7😉

 

[Antonio21]

@oracle7@Juan luis

ça vous parait correct ? Désolé c'est la première fois que je fais ça.

[oracle7]

@Antonio21

Bonjour,

OUI et NON. Non car tu ne sembles pas avoir lu ma précédente réponse vis à vis du port 5001. Ce transfert est à supprimer. Maintenant libre à toi de le conserver mais alors tu exposeras ainsi inconsidérément ton NAS à l'extérieur. Ce n'est que mon avis ...

Cordialement

oracle7😉

 

[Juan luis]

@Antonio21, @oracle7,

Effectivement ça semble mieux , mais c'est curieux que l’accès VPN ai pu fonctionner ainsi. C'était alors peut être en local?

Comme le dit oracle7 sur le principe si tu choisis l’accès VPN c'est  un peu comme si tu installes une porte blindée chez toi. Dans ce cas tu ne dois pas laisser une porte en bois à coté...

Modifié le 26 janvier 2021 par Juan luis

[Antonio21]

@oracle7@Juan luis

ok cool 🙂 ça semble fonctionner ! J'ai réussi à me connecter en VPN avec l'app OpenVPN sur mon smartphone en 4G. Par contré après j'ai lancé les APPS DS FILE et DS PHOTO pour voir si c'était bon et là ça mouline sans se connecter.

Concernant le port 5001 donc je dois le supprimer c'est ça ? Je pourrai quand même accéder à mon NAS de l'extérieur ? (en VPN uniquement). (Dslé oracle7 j'avais consciament laissé la ligne sur le port 5001 car j'avais peur qu'en la supprimant je ne puisse plus accéder de l'extérieur).

Dans ce cas il y a t-il d'autres ports que je peux supprimer selon la liste que je vous ai screenshoté ?

[oracle7]

@Antonio21

Bonjour,

il y a 2 minutes, Antonio21 a dit :

Concernant le port 5001 donc je dois le supprimer c'est ça ?

OUI pour le port 5001 et il n'y a pas d'autres ports à supprimer. Le reste est bon.

il y a 3 minutes, Antonio21 a dit :

Je pourrai quand même accéder à mon NAS de l'extérieur ? (en VPN uniquement)

OUI il suffira de te connecter par exemple en OpenVPN à ton serveur VPN du NAS via le client OpenVPN que tu auras préalablement installé sur ton smarphone et là ton NAS sera atteignable via son @IP sous VPN c'est à dire 10.8.0.1.

Maintenant, si tu veux aussi utiliser les applications du NAS et/ou les applications DS xxx depuis l'extérieur (sur ton smartphone par ex), là il est préférable de configurer le reverse proxy du NAS (voir les TUTO et TUTO) pour les atteindre avec ton domaine personnel dans une URL de connexion du style : xxxxx.ndd.tld.(xxxx variant selon l'application du NAS à atteindre/utiliser).

Cordialement

oracle7😉

[Juan luis]

il y a 17 minutes, Antonio21 a dit :

@oracle7@Juan luis

ok cool 🙂 ça semble fonctionner ! J'ai réussi à me connecter en VPN avec l'app OpenVPN sur mon smartphone en 4G. Par contré après j'ai lancé les APPS DS FILE et DS PHOTO pour voir si c'était bon et là ça mouline sans se connecter.

Concernant le port 5001 donc je dois le supprimer c'est ça ? Je pourrai quand même accéder à mon NAS de l'extérieur ? (en VPN uniquement). (Dslé oracle7 j'avais consciament laissé la ligne sur le port 5001 car j'avais peur qu'en la supprimant je ne puisse plus accéder de l'extérieur).

Dans ce cas il y a t-il d'autres ports que je peux supprimer selon la liste que je vous ai screenshoté ?

Tout dépend de ce que tu vas faire avec ton NAS et de ses utilisateurs . Si tu n'installes pas de serveur web ou de  serveur messagerie tu peux utiliser le VPN. Car en laissant le port 5001 ouvert , un petit malin va vite détecter ce port ouvert et va ensuite tenter de se connecter sur la page DSM jusqu’à bloquer l’accès ( dans le meilleur des cas 🥵) ou pire tu vas te retrouver avec un ransomware 😢

Modifié le 26 janvier 2021 par Juan luis

[Antonio21]

@oracle7 @Juan luis

Génial tout fonctionne 😄 !!! Vous êtes vraiment fortiches !! Merci beaucoup ❤️

Je savais bien que cette satanée 10.8.0.1 devait bien servir à quelque chose mdr

Étant donné que j'ai fait le boulet sur les redirections de box, à votre avis, pour le coup, est-ce que j'ai bien fait les redirections du pare-feu ? (comme ça j'en profite aussi pour restreindre la plage comme me l'a conseillé oracle).

[oracle7]

@Antonio21

Bonjour,

Pour le pare-feu c'est OK. Toutefois, pour sécuriser encore un peu plus, tu peux restreindre la plage d'@IP du réseau local OpenVPN 10.0.0.0/255.0.0.0 de 16777214 à 254 @IP avec ceci à la place : 10.8.0.0/255.255.255.0. A moins que tu ais besoin de plus de 254 machines sur ton réseau local OpenVPN 🤔 !

Cordialement

oracle7😉

[Antonio21]

Merci @oracle7 je viens de réduire la plage d'IP sur le NAS 🙂

Top ! Je m'en serai jamais sorti sans vous. Merci.

[oracle7]

@Antonio21

Bonjour,

Content d'avoir pu t'aider 😀

A mon tour de te poser STP qq questions : comme j'affine ma procédure dans le temps, est-ce qu'elle t'a poser des problèmes pour la suivre, si Oui les quels ? Etait-elle claire pour toi ? Correspondait-elle bien à ton besoin de paramétrage ? Etait-elle suffisamment précise ?

Merci de tes réponses.

Cordialement

oracle7😉

[Antonio21]

@oracle7

Ta procédure ? C'est à dire les tutos que tu m'as envoyé ?

Tout est clair oui mais il faut quand même avoir un minimum de connaissance en informatique afin de réussir.

Et pour un profane comme moi qui par exemple ne s'y connait pas en réseaux j'ai mis du temps pour que cela marche et c'est la raison pour laquelle plusieurs de vos réponses me paraissaient obscures ^^ mdr car pour vous c'est simple mais pour quelqu'un pour qui c'est la première fois et bien il faut parfois être patients.

Sinon en terme de procédure dans les screenshots parfois il manquait le bas de la page à configurer et je me demandais si ce qu'il restait à confgurer sur la page était correct.

Pour être au top, il faudrait (si ça existe) donner des outils pour tester la config. Sur les ports par exemple et les redirections. Ou un outil qui permettrait de noter la sécurité d'un NAS où s'il y a des failles qui sont optimisables 🙂

Pour l'instant je ne vois que cela. Et en terme de qualité et de quantité des informations c'est top.

[oracle7]

@Antonio21

Bonjour,

il y a 21 minutes, Antonio21 a dit :

Ta procédure ?

Je te parlais de celle que je t'ai donné dans ma réponse --> la première de cette présente page du post.

Cordialement

oracle7😉

Modifié le 27 janvier 2021 par oracle7

[Antonio21]

@oracle7

ok ^^ je vais répondre donc point par point à tes questions :

- Non aucun problème pour la suivre à part peut-être un manque de connaissance de ma part.

- Oui cela me paraissait clair.

- Oui cela correspondait à mes besoins de paramétrage.

- Non ce n'était pas assez précis. Notamment sur comment bien effectuer une redirection. C'est d'ailleurs sur ce point là que je m'étais trompé 🙂

Je reste à ta dispo si tu as d'autres questions.

J'en profite, cette nuit mon routeur a bloqué plusieurs IP en provenance du site ci-dessous (cf screenshot). 😕  C'est incroyable je viens à peine de mettre online mon serveur !

Qu'est-ce que cela signifie stp ?

[oracle7]

@Antonio21

Bonjour,

il y a 45 minutes, Antonio21 a dit :

J'en profite, cette nuit mon routeur a bloqué plusieurs IP en provenance du site ci-dessous (cf screenshot).

Plusieurs causes possibles, entre autres :

• si tu exposes à internet dans ton routeur tes ports 5000 et/ou 5001 (bien voir que ce sont des cibles de choix et privilégiées des malveillants pour atteindre les données des NAS Synology).
• si tu as activer le port SSH 22 qui est aussi très prisés, surtout par les chinois entre autres.

Moralité, le système de blocage du NAS fonctionne bien c'est rassurant mais vérifies quand même les règles que tu as mises dans ton pare-feu (voir TUTO : Sécuriser les accès à son NAS) ainsi que les ports que tu NAT dans ta box.

Cordialement

oracle7😉

[Antonio21]

@oracle7

- Est-ce que je dois effacer les 5000 et 5001 ci-dessous pour le coup ? (cf screenshot ci-dessous)

Et si je les efface pourrais-je continuer d'accéder de l'extérieur ?

- Le port SSH2 je le trouve pas.

- Sur ma Box j'ai juste effectué les redirections 1194, 500, 4500, 443 et 80 et sur le NAS celle du screenshot ci-dessous.

[oracle7]

@Antonio21

Bonjour,

il y a 16 minutes, Antonio21 a dit :

Est-ce que je dois effacer les 5000 et 5001 ci-dessous pour le coup ? (cf screenshot ci-dessous)

Et si je les efface pourrais-je continuer d'accéder de l'extérieur ?

Non tu ne les effaces pas, ils doivent être autorisés/ouvert dans le pare-feu du NAS. Par contre ils ne doivent pas être transférés dans la box vers le NAS. C'est tout.

Dans ton pare-feu la première ligne qui refuse tout pour les pays "exotique", est inutile, Tu la supprimes. C'est la dernière ligne qui fait la même chose.

Pour bien comprendre le principe du pare-feu :

• Les règles sont interprétées du haut vers le bas
• Tant qu'une règle d'autorisation n'est pas satisfaite, il passe à suivante vers le bas sinon il s'arrête là et ne contrôle pas les règles suivantes qui deviennent de fait inopérantes.
• Au final tout ce qui n'est pas autorisé/ouvert explicitement par une règle, est irrémédiablement refusé/bloqué par la dernière ligne/règle "refuser tout". Donc c'est elle qui te protège de tout le reste.

Il ne faut pas cocher la case "Rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM".

Cette redirection HTTP vers HTTPS est à faire via un fichier .htaccess après installation du package WebStation. Si tu la laisses cochée ET que tu utilises le reverse proxy, ce dernier ne fonctionnera pas correctement. Voir le TUTO : Reverse Proxy c'est expliqué en détail.

Cordialement

oracle7😉