Mise en place de l'accès externe

[Noirfosse]

Bonjour à tous,

j'avance dans la mise en place de mon nouveau 920+.

Etant un complet analphabète en matière digitale, j'ai suivi avec succès pas à pas les vidéos Youtube de Mydoodads (lien de la première: youtu.be/Yua6dGpg4qo). Tout a avancé à merveille, jusqu'à ce jour où j'ai voulu mettre en place l'accès distant de mon NAS.

Ma préférence étant de ne pas passer par Quickconnect, j'ai voulu suivre l'option proposée dans la vidéo youtu.be/STlKmQE5luM qui passe par le configuration du routeur dans l'onglet " Accès Externe". Et la, la panne, la livebox n'étant pas reconnue comme un routeur UPnP (cf capture ci-dessous)

 

J'ai voulu regarder le tuto de sécurité proposé sur le forum, mais les illustrations ayant disparu, impossible pour moi de comprendre le fond du problème.

J'ai par ailleurs essayé de comprendre le paramétrage manuel du routeur mais, outre le fait que je n'arrive pas à comprendre clairement le mécanisme des ports, la documentation fournit par Synology (https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/Network/What_network_ports_are_used_by_Synology_services) étant très synthétique, je ne sais pas comment faire avancer cette étape.

Merci d'avance pour vos conseils.

 

 

 

[Mic13710]

Plutôt que de suivre des vidéos qui vous recommandent ce qui n'est pas recommandé, vous feriez mieux de suivre les tutos de ce site qui ont été réalisées par des membres éminents et mis en pratique par de nombreux membres.

En suivant les conseils donnés ici, vous auriez su que la configuration du routeur par le NAS est à proscrire.

Les images des tutos de Fenrir sont hébergées sur son NAS et j'ai vu effectivement qu'hier, elles avaient disparues un instant. Sans doute lié aux soucis de réseau de Free. Il semble que ce soit rentré dans l'ordre.

[Noirfosse]

Heureux de savoir que le tuto de Fenrir sera à nouveau disponible (ce qui n'est pas la cas pour l'instant).

[Noirfosse]

En attendant le retour hypothétique des illustrations du tuto de Fenrir, quelqu'un peut-il m'indiquer des ressources complémentaires pour permettre à un non initié de mettre en place l'accès distant?

[Noirfosse]

@Mic13710

Le retour des illustrations aidant, j'ai donc pris connaissance de l'excellent tuto de @Fenrir.

La bonne nouvelle est, qu'en dehors de la question du recours à l'UPnP, l'ensemble des recommandations est alignée avec ce que j'ai suivi sur les tutos Youtube de Doodads.

Pour autant, je reste malheureusement toujours aussi perdu devant la suite de la mise en place de l'accès internet de mon NAS.

Je précise que je souhaite pouvoir réaliser 2 choses:

• accéder personnellement à l'intégralité du contenu du NAS (fond audio, fond photos, documents,...) depuis le net
• Permettre à des utilisateurs familiaux (et ils sont nombreux) de pouvoir consulter ( depuis le net ) des archives partagées (photos, films et doc), voir de charger des documents sur cette plateforme de partage.

Comme grand débutant dans ce monde codé, je butte pour l'instant sur la compréhension des choses suivantes:

• Quelle solution technique entre mon besoin ci-dessus et les différentes termes utilisés (FTP / serveur Web / VPN)?
• Etant chez Orange en IP flottante, quelle solution d'adressage utiliser. J'ai compris que l'utilisation de Quickconnect n'était pas une idée recommandée pour des questions de sécurité, j'ai lu un tuto qui recommandait l'utilisation d'un nom de domaine et d'une adresse DynDNS. Pourquoi pas seulement un DynDNS? il semblerait que la solution xxxx.synology.me ne soit pas mise en avant. Pourquoi?
• J'ai beaucoup de mal à me familiariser avec la notion de Ports, NAT/PAT, firewall,.... Une suggestion pour m'acculturer sur le sujet?

J'ai fait une tentative sans succès, ayant ouvert le port 5001 dans le firewall de ma Livebox et activer la redirection NAT/PAT de me connecter avec une adresse xxx.synology.me, mais sans aucun succès, ma requête (sous Opéra) n'a jamais abouti.

Merci de ce que vous pourrez m'apporter pour avancer sur le sujet

[Mic13710]

Si vous ne voulez pas utiliser quickconnect (ce qui est effectivement recommandé), et que vous avez une ip dynamique, la meilleure option est de passer par un nom de domaine. Rien ne vous empêche d'utiliser la solution xxxx.synology.me. C'est la plus économique puisque gratuite, mais vous offre moins de possibilités de paramétrages puisque vous n'êtes pas maitre du domaine principal. On peut aussi passer par DynDNS, mais d'abord ce n'est pas gratuit (plus cher qu'un ndd perso) et tout comme une adresse synology, il n'y a pas de possibilité de paramétrer son domaine. Avoir son propre ndd est tout de même préférable, surtout qu'on en trouve à des prix raisonnables (un ndd.ovh ce n'est que quelques €/an). OVH est très bien car vous pouvez paramétrer un DynHOST directement dans les paramètres du ndd ce qui n'est pas le cas de tous les registars.

Vous avez un tuto sur l'utilisation d'un ndd

Une fois en place, il faudra probablement vous tourner vers le Reverse Proxy. Vous trouverez un tuto spécifique pour sa mise en oeuvre.

 

Il y a 2 heures, Noirfosse a dit :

J'ai fait une tentative sans succès, ayant ouvert le port 5001 dans le firewall de ma Livebox et activer la redirection NAT/PAT de me connecter avec une adresse xxx.synology.me, mais sans aucun succès, ma requête (sous Opéra) n'a jamais abouti.

Probablement parce que vous ne l'avez pas autorisé dans le parefeu

[Noirfosse]

@Mic13710

Merci pour ce retour.

J'ai réalisé l'ensemble des opérations, mais lorsque je lance la requête https:/audio.ndd.fr, j'ai le message "ce site est inaccessible". Une idée du problème?

Voici le détail de ce que j'ai effectué:

J'ai ouvert un compte sur OVH en ndd.fr. J'ai suivi le tuto de @unPixel et celui de @Kawamashi, avec un peu de difficulté compte tenu des évolutions d'écrans chez Ovh. J'ai supprimé les deux entrées A dans la table ZoneDNS (une en ndd.fr et l'autre en www.ndd.fr).

Puis j'ai ajouté une entrée CNAME.

J'avais un message me demandant d'ajouter les DNS dns200.anycast.me et ns200.anycast.me, ce que j'ai fait, mais une fois l'ajout fait j'ai toujours le message suivant:

Faut-il faire quelque chose?

J'ai ensuite créé un Dynhost (je n'ai pas bien compris cette question de sous-domaine et de suffixe d'identifiant DynHost). Petit détail, il semble devoir maintenant faire cette opération en 2 étapes séparées:

1) création du dynhost

2)Créer un identifiant DynHost

 

Mais je pense que cela fonctionne, puisque une fois saisis les paramètres dans le NAS sous "Panneau de configuration/Accès Externe/DDNS", j'ai le statut suivant:

 

J'ai ensuite fait un transfert de ports dans le NAT/PAT de ma livebox Orange 5

Je n'arrive par contre pas à modifier quoi que ce soit dans le Firewall de la box qui est paramétré comme suit

J'ai ouvert les ports dans le Pare-feu du NAS

et enfin, j'ai relié les applications aux ports dans le portail des applications

et paramétré le proxy inversé (pour Audio station, afin de faire un essai)

 

[oracle7]

@Noirfosse

Bonjour,

Si le DynDNS que tu as créé chez OVH est du type "ddns.ndd.tld" alors dans ton reverse proxy tes URL devront être du type https://xxxxx.ddns.ndd.tld soit pour audio : https://audio.ddns.ndd.tld.

D'après tes copies d'écran, tout semble laisser penser que ton ddns est en ddns.ndd.tld alors que dans le reverse proxy tu utilises par ex audio.ndd.tld.

Du coup, c'est pour cela que cela ne marche pas.  Mais je peux me tromper ...

Pour avoir un ddns en en ndd.tld, il ne faut pas renseigner le champ "Sous-domaine" dans l'écran "Créer un DynHost".

En plus ce champ n'est pas obligatoire et c'est là toute l'astuce. Souvent les membres font l'erreur de renseigner aussi ce champ du coup leur ddns est du type ddns.ndd.tld alors qu'il devrait être du type ndd.tld ce qui à l'usage est bien plus simple et évite bien des confusions comme celle évoquée ci-avant.

Cordialement

oracle7😉

[Noirfosse]

Bonjour @oracle7,

merci pour cette précision. j'ai donc modifié les paramètres pour faire disparaitre le sous-domaine

J'ai effectivement redéfini les accès pour supprimer cette question de sous domaine.

J'ai également modifié le DDNS dans DSM, qui est à nouveau affiché comme normal.

Mais quand je tape https://audio.ndd.tld , le site est toujours inaccessible. Une autre idée?

Ecran de création d'identifiant DynHost (l'astuce consiste à mettre un * dans le sous-domaine)

Ecran de création du ddns sans sous-domaine

 

[maxou56]

Il y a 21 heures, Noirfosse a dit :

J'ai ouvert les ports dans le Pare-feu du NAS

Bonsoir,

C'est quoi cette configuration du pare-feu 🙄

SMB, Bonjour, DNLA, Synology Assistant... autorisés pour toutes les IP (pour toute la planète)????

 

Suis le Tuto: 

Autorise en 1er tous les ports pour réseau local.

Puis tu ouvres uniquement les ports dont tu as besoin à distance.

Puis tous refuser.

[Mic13710]

Le 08/02/2021 à 11:10, Noirfosse a dit :

Le retour des illustrations aidant, j'ai donc pris connaissance de l'excellent tuto de @Fenrir.

La bonne nouvelle est, qu'en dehors de la question du recours à l'UPnP, l'ensemble des recommandations est alignée avec ce que j'ai suivi sur les tutos Youtube de Doodads.

Ah oui ?

Je rejoins totalement la remarque de @maxou56. Quand je regarde les paramètres de votre parefeu, je me dis que vous avez suivi le tuto en diagonale. C'est un peu open bar chez vous.

Avant de penser accès externe, on soigne la sécurisation du NAS. Et quand on le fait, on limite les ouvertures de ports au strict nécessaire et on évite de le faire sur le monde entier.

[Noirfosse]

@maxou56 @Mic13710

Merci pour le retour. Je m'en vais réduire les ports ouverts.

A force de vidéo divers, je commence à comprendre cette question de ports.

Pour autant je ne comprends pas encore la relation applications/services - Ports - protocoles

D'où ma question de béotien sur ce sujet reste ouverte: quelles sont les fonctions qu'il faudrait rendre accessible pour me permettre d'obtenir les fonctions recherchées:

• accéder personnellement à l'intégralité du contenu du NAS (fond audio, fond photos, documents,...) depuis le net
• Permettre à des utilisateurs familiaux (et ils sont nombreux) de pouvoir consulter ( depuis le net ) des archives partagées (photos, films et doc), voir de charger des documents sur cette plateforme de partage.

Après modification, voici donc ce que donne mon nouveau paramétrage du pare-feu du NAS, même si je ne comprends pas la nécessité des 2 premières lignes (si je comprends bien, la 3ème ligne permet aux appareils sur mon réseau local de se connecter au NAS)

Il y a quelque chose que je ne comprends pas dans le tuto: a quoi fait référence l'adresse IP 192.0.2.3

 

J'ai ensuite ouvert dans la table NAT/PAT les ports TCP 443, 80, 8800 et 8801. A priori, il n'y a aucune intervention à faire dans le Pare-feu de la livebox.

J'ai créé un certificat avec let's encrypt et j'ai pu maintenant accéder à audio Station de l'extérieur.

Mais là où je suis très surpris, c'est que je pensais ne pas pouvoir me logger sur le DSM depuis l'extérieur (je n'ai pas ouvert de transfert de porte sur 5000 et 5001), or après essai, j'ai pu me connecter sans difficulté.

Qu'est ce que j'ai raté dans ma compréhension du paramétrage?

 

 

[Mic13710]

Il y a 4 heures, Noirfosse a dit :

Il y a quelque chose que je ne comprends pas dans le tuto: a quoi fait référence l'adresse IP 192.0.2.3

C'est pourtant bien expliqué dans le tuto. Il s'agit simplement d'un exemple de règle du parefeu qu'il ne faut pas suivre à l'aveugle. L'adresse correspond à une IP publique et c'est juste pour vous montrer qu'on peut tout à fait limiter l'accès à certains ports à une seule IP si on veut.

Pourquoi ouvrir les ports du VPN si vous ne vous en servez pas ?

Puisque vous ne passez pas par le reverse proxy, l'URL https://ndd:8801 est suffisante pour vous connecter à Audio Station.

Il y a 4 heures, Noirfosse a dit :

Mais là où je suis très surpris, c'est que je pensais ne pas pouvoir me logger sur le DSM depuis l'extérieur (je n'ai pas ouvert de transfert de porte sur 5000 et 5001), or après essai, j'ai pu me connecter sans difficulté.

Si les ports ne sont pas ouverts et dirigés vers le NAS dans le routeur et qu'ils ne sont pas autorisés dans le parefeu pour les IP publiques, il est IMPOSSIBLE de se connecter au service de l'extérieur. Ma question est donc : êtes vous sûr d'être connecté à partir du WAN ?

[Noirfosse]

@Mic13710

Concernant la question sur l'adresse, j'entends bien qu'il s'agit d'un exemple. La question devient donc, mon paramétrage pour les ports 80 et 443 est il correct, étant entendu que j'ai mis en place in revers Proxy?

Voici ce que j'avais paramétré dans le revers Proxy

 

Je confirme bien par ailleurs que je peux me connecter sur le DSM à partir du WAM (test fait en cellulaire avec mon tel portable)...

[Noirfosse]

@Mic13710

Je viens de tester une chose

Si le port 443 est ouvert, alors j'ai accès à tout le NAS

Si le port 443 n'est pas ouvert, même https://ndd:8801 ne permet pas d'accéder à Audio Station (par contre http://ndd:8800, oui !)

[Mic13710]

Quels ports avez-vous dans Réseau onglet paramètres DSM ?

Edit : et j'espère que vous n'avez pas redirigé le http vers le https ?

[oracle7]

@Noirfosse

Bonjour,

il y a 33 minutes, Noirfosse a dit :

Si le port 443 n'est pas ouvert, même https://ndd:8801 ne permet pas d'accéder à Audio Station (par contre http://ndd:8800, oui !)

C'est normal car le port 443 correspond au trafic HTTPS, et le port 80 pour le trafic HTTP.

Il y a 5 heures, Noirfosse a dit :

J'ai ensuite ouvert dans la table NAT/PAT les ports TCP 443, 80, 8800 et 8801.

Dans ta box, il n'est pas nécessaire de NATer les ports 8800 et 8801. Comme tu utilises le reverse proxy tout passe par le port 443.

Cordialement

oracle7😉

[Noirfosse]

@Mic13710

Il y a 1 heure, Mic13710 a dit :

Quels ports avez-vous dans Réseau onglet paramètres DSM ?

Edit : et j'espère que vous n'avez pas redirigé le http vers le https ?

Non, a priori j'ai respecté à la lettre le tuto de @Fenrir, en tout cas sur ce point:

@oracle7

Il y a 1 heure, oracle7 a dit :

@Noirfosse

Bonjour,

C'est normal car le port 443 correspond au trafic HTTPS, et le port 80 pour le trafic HTTP.

Dans ta box, il n'est pas nécessaire de NATer les ports 8800 et 8801. Comme tu utilises le reverse proxy tout passe par le port 443.

Cordialement

oracle7😉

Je n'ai donc laissé dans la table NAT que le transfert des port 443 et 80 en TCP et ai supprimé les 8800 et 8801.

Si j'ai bien tout compris, c'est finalement dans l'onglet du NAS "applications" que l'on doit définir les ports des applications et le reverse proxy.

Modification faite, j'ai toujours accès au DSM...

 

[oracle7]

@Noirfosse

Bonjour,

Donc maintenant, c'est bon tu accèdes de l'extérieur, O/N ?

Cordialement

oracle7😉

[Noirfosse]

@oracle7

j'aurai pu être plus explicite :Oui🙂

Mais mon problème est que j'ai un accès que je ne devrais pas avoir: j'arrive à me logger au DSM alors qu'en principe je n'ai pas ouvert le port dans le firewall ni dans le reverse Proxy...🤪

[oracle7]

@Noirfosse

Bonjour, 

Du coup je te réitère la question que t'as posé @Mic13710à juste titre : es-tu sûr de te connecter de puis l'extérieur ?

Comment tu te connectes ? Quelle URL utilises-tu ? Depuis quel appareil te connectes-tu ? Un smartphone 4G ? En WiFi ? 

Cordialement 

oracle7 😏 

[Mic13710]

@Noirfosse Essayez de désactiver le domaine personnalisé (votre capture plus haut). Le ndd à cet endroit vous donne un accès direct à DSM ce qui explique votre souci. Si vous voulez mettre un accès par ndd à cet endroit (ce que je ne vous conseille pas), utilisez un ndd spécifique comme par exemple nas.ndd.

[Noirfosse]

@oracle7

connection externe par téléphone portable en 4G sous https://ndd.tld

 

@Mic13710 @oracle7

il y a 4 minutes, Mic13710 a dit :

@Noirfosse Essayez de désactiver le domaine personnalisé (votre capture plus haut). Le ndd à cet endroit vous donne un accès direct à DSM ce qui explique votre souci. Si vous voulez mettre un accès par ndd à cet endroit (ce que je ne vous conseille pas), utilisez un ndd spécifique comme par exemple nas.ndd.

avec cette modification, c'est bon, merci !

Quelle est votre doctrine en matière d'accès distant au DSM:

1) Pas d'accès?

2) Accès en VPN?

3) Autre ?

[Mic13710]

En temps normal, il n'y a nul besoin d'accéder à DSM. Encore moins à distance car si des modifications dans les paramètres se passent mal, il est préférable d'être à proximité pour pouvoir agir.

Si vous devez le faire, alors le VPN est la solution la plus sûre.

Vous avez un tuto de Fenrir sur le serveur VPN dans la partie Tutoriels.