romain_laneuville Posté(e) le 24 mars 2021 Partager Posté(e) le 24 mars 2021 Bonjour, J'ai plusieurs applications fonctionnant sous docker avec mon NAS DS1019+ / DSM 6.2.3-25426 Update 3. Ces applications sont accessibles sur mon réseau local en 192.168.1.2 (IP fixe de mon NAS) avec différents ports pour chaque app. J'ai des règles NAT sur ma livebox redirigeant les requêtes externes vers mon NAS (80, 443 et autres). Le pare-feu de ma livebox est configuré sur "faible" permettant à toutes requêtes extérieurs de passer si une règle NAT est défine. J'ai un nom de domaine chez OVH avec des règles DNS (DynHost) qui redirige mes sous-domaines vers l'IP de ma livebox. J'utilise le service de reverse proxy du NAS pour rediriger les requêtes extérieurs vers les applications internes sur mon réseau local. Tout cela fonctionnait très bien jusqu'à ce que mon IP fixe de livebox change hier. Ma configuration DynHost n'est pas optimale puisqu'elle ne change l'IP que pour un sous-domaine de la liste de mes sous-domaine, j'ai donc update les IP à la main. La configuration DNS est de nouveau bonne car quand je ping mes sous-domaines je tombe bien sur la nouvelle IP de ma livebox. Cependant impossible d'atteindre les applications, j'ai un message d'erreur sur mon navigateur "Le délai d’attente est dépassé. Le serveur à l’adresse gitlab.mondomaine.me met trop de temps à répondre." J'ai rebooté ma livebox et mon NAS, le problème persiste. Comment diagnostiquer où se trouve le problème, s'il s'agit d'un problème de routage de ma box ou du reverse proxy du NAS ? Ci-dessous quelques captures d'écrans des configuration cités ci-dessus. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 24 mars 2021 Partager Posté(e) le 24 mars 2021 Pourquoi faire des NAT sur tous les ports des applications ? Le proxy inversé est justement là pour recevoir les requêtes sur le port 443 uniquement, c'est ensuite en interne dans ton réseau local qu'il redirige vers les applications concernées => Tu es déjà dans ton réseau local, le NAT n'a plus aucun intérêt. Une impression d'écran du pare-feu du NAS serait également utile, même si tu aurais plutôt une connexion refusée en cas de port non ouvert qu'un délai d'attente dépassé. Est-ce que tu fais tes tests depuis le réseau local ou en 4G (ou réseau wifi externe) ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Kramlech Posté(e) le 24 mars 2021 Partager Posté(e) le 24 mars 2021 il y a 56 minutes, romain_laneuville a dit : Ma configuration DynHost n'est pas optimale puisqu'elle ne change l'IP que pour un sous-domaine de la liste de mes sous-domaine, j'ai donc update les IP à la main. Effectivement, tu as autant de DynHost que de sous domaines ... Le principe est d'avoir un seul DynHost qui fait pointer mondomaine.fr sur ton IP Puis des enregistrement de type CNAME qui vont faire pointer tes xxx.mondomaine.fr vers mondomaine.fr. De cette manière le DynHost met à jour l'adresse IP de mondomaine.fr quand celle ci change, et tous les xxx.mondomaine.fr vont donc suivre automatiquement ... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
romain_laneuville Posté(e) le 25 mars 2021 Auteur Partager Posté(e) le 25 mars 2021 (modifié) Ok problème résolu, j'ai ajouté mon NAS dans une DMZ dans la configuration de ma livebox et ça y'est les redirections refonctionnent. Je ne suis pas sûr que ça soit la solution adéquat puisqu'avant ça marchait sans donc bon... Pourtant j'avais checké avant que mes ports soient ouverts avec https://ismyportopen.com/ et ils l'étaient bien. @.Shad. Pour les règles NAT sur les autres ports que 80 et 443 je crois que j'avais eu besoin de ça pour faire fonctionner certaines fonctionnalités des applis mais je vérifierai car sur le principe tu as raison tout le trafic doit être routé par un de ces 2 ports. Je vais supprimer les autres règles et je verrai bien. @KramlechMerci pour l'astuce du DynHost je vais mettre des CNAME pour les sous-domaines. Comme j'avais vu qu'on pouvait mettre des sous-domaines dans le paramétrage OVH j'ai cru qu'il fallait les déclarer ici mais on ne peut configurer qu'un DynHost par provider dans le NAS que pour une seul domaine (ou sous-domaine ). Du coup j'ai fait un record A sur un sous domaine dynhost.mondomaine.me et je fais pointer les autres sous-domaines en CNAME dessus. On verra si le dynhost peut bien mettre à jour cet enregistrement A. Modifié le 25 mars 2021 par romain_laneuville précision des réponses après tests 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Kramlech Posté(e) le 25 mars 2021 Partager Posté(e) le 25 mars 2021 (modifié) Il y a 9 heures, romain_laneuville a dit : Du coup j'ai fait un record A sur un sous domaine dynhost.mondomaine.me Si tu fais un enregistrement A, c'est que tu mets une adresse IP. Donc le DynDNS ne fonctionnera pas. C'est le DynDNS qui sert d'enregistrement A. Tu n'as pas à déclarer cet enregistrement explicitement. Uniquement des enregistrements CNAME... Il y a 9 heures, romain_laneuville a dit : j'ai ajouté mon NAS dans une DMZ dans la configuration de ma livebox C'est toi qui vois, mais ce n'est pas vraiment conseillé !!! Certains diraient que ton NAS est "open bar" pour les attaques .... Modifié le 25 mars 2021 par Kramlech 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 25 mars 2021 Partager Posté(e) le 25 mars 2021 Il y a 9 heures, romain_laneuville a dit : je crois que j'avais eu besoin de ça pour faire fonctionner certaines fonctionnalités des applis Sur les applications Android et iOS de Syno, il faut ajouter le port 443 du proxy inversé en fin du nom d'hôte sinon l'application essaie de se connecter au port du backend, donc 5000, 8000, etc... Donc par exemple : files.mondomaine.me:443 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
romain_laneuville Posté(e) le 25 mars 2021 Auteur Partager Posté(e) le 25 mars 2021 Ok j'ai bien compris le fonctionnement du DynHost maintenant c'est très clair. Là je n'ai pas trop le temps de gérer la conf réseau avec la box pour faire ça proprement mais je pense que ce weekend je vais voir si je peux tout passer en ipv6 avec une adresse pour chaque services sans redirection de port et basta. Pas sûr que docker gère ça par contre, je vais me renseigner. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 25 mars 2021 Partager Posté(e) le 25 mars 2021 (modifié) il y a 21 minutes, romain_laneuville a dit : je vais voir si je peux tout passer en ipv6 avec une adresse pour chaque services sans redirection de port et basta. Pas sûr que docker gère ça par contre, je vais me renseigner. Sur une installation classique de Docker (hors DSM) il est facile d'activer l'IPv6. Sur le NAS, je ne suis pas sûr que ce soit faisable. Pour moi ce n'est pas gênant que le conteneur ne soit pas directement accessible via son IPv6, je l'ai déjà fait ça demande pas mal de chipotage pour pas grand chose. Tu exposes les ports des conteneurs dont tu as besoin sur ton NAS, et tu contactes le NAS avec son IPv6, beaucoup plus facile pour un résultat équivalent. IPv6 native sur un conteneur c'est intéressant s'il est en réseau macvlan par exemple. Modifié le 25 mars 2021 par .Shad. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 26 mars 2021 Partager Posté(e) le 26 mars 2021 Le 25/03/2021 à 01:14, romain_laneuville a dit : Ok problème résolu, j'ai ajouté mon NAS dans une DMZ dans la configuration de ma livebox et ça y'est les redirections refonctionnent. Je ne suis pas sûr que ça soit la solution adéquat puisqu'avant ça marchait sans donc bon... C'est clairement pas du tout la bonne solution ! Comme @Kramlech l'a dit, il n'y a plus aucun filtre sur la livebox en direction du NAS. À moins que ce soit un impératif, et d'avoir un parefeu super bien configuré et donc on fait 100% confiance il vaut mieux ne pas faire ça ! Tu vas droit sur plein d'attaques... Est-ce que tu as une livebox5 ? Si oui, une MAJ cette semaine semble avoir péter à nouveau le loopback... Orange Fibre News : Livebox 5, Débit 2gbts / 600 [Topic R+] - Page : 1939 - FAI - Réseaux grand public / SoHo - FORUM HardWare.fr Le Loopback sur les Livebox 5 (lafibre.info) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
beguesse Posté(e) le 7 juin 2021 Partager Posté(e) le 7 juin 2021 (modifié) Bonjour, j'ai eu le même problème que romain. j'ai positionné mon NAS sur le DMZ. il fait office de reverse proxy pour d'autres applications. je m'en sers car Synology le propose et ça semble pas mal à premier vue (cf 2eme capture de Romain). Le NAS est tout de même paramétré pour un minimum de sécurité (ddos, failtoban) mais vos commentaires me mettent un doute. comment peut on faire autrement? (je ne suis évidement pas un spécialise du réseau non plus) Cordialement Modifié le 7 juin 2021 par beguesse 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
beguesse Posté(e) le 23 août 2021 Partager Posté(e) le 23 août 2021 Suite aux articles récents relatant les attaques sur les NAS synology j'ai refait des essais. Il y a dû avoir une mise à jour de la livebox dernièrement car j'ai refait l'essai de supprimer le DMZ et ouvrir le port dont j'ai besoin sur mon NAS. ça fonctionne! Tant mieux (je n'avais jamais eu de problème sur la freebox à ce niveau). Sur le NAS J'ai tout de meme laissé activé le firewall (seules ip francaises), le failtoban, desativation du ssh, desativation du compte "admin", etc 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 23 août 2021 Partager Posté(e) le 23 août 2021 (modifié) @beguesse Bonjour, il y a une heure, beguesse a dit : Il y a dû avoir une mise à jour de la livebox dernièrement Cela m'étonnerait car le dernier firmware connu (v4.1.14) pour la Livebox5 date du du 24/03/2021. Voir ici : https://www.touslesdrivers.com/index.php?v_page=3&v_code=7957 Pour ta sécurité, tu serais bien avisé de lire et d'appliquer ces deux TUTOs : TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Maintenant ce que j'en dis, c'est toi qui vois ... Cordialement oracle7😉 Modifié le 23 août 2021 par oracle7 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
.Shad. Posté(e) le 23 août 2021 Partager Posté(e) le 23 août 2021 Le 07/06/2021 à 16:38, beguesse a dit : Bonjour, j'ai eu le même problème que romain. j'ai positionné mon NAS sur le DMZ Pourquoi l'avoir mis dans la DMZ ? Tu aimes jouer avec le feu, pour quelle raison avoir privilégier la DMZ plutôt que la redirection de ports depuis la box ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 23 août 2021 Partager Posté(e) le 23 août 2021 Il y a 1 heure, beguesse a dit : Il y a dû avoir une mise à jour de la livebox dernièrement car j'ai refait l'essai de supprimer le DMZ et ouvrir le port dont j'ai besoin sur mon NAS. ça fonctionne! En parlant de ça, mon RT est en DMZ de la box. Et j'ai déjà vu dans le forum quelqu'un qui n'a pas mis son RT en DMZ, mais qui a juste routé les ports nécessaires dans la box vers le RT. Est-ce que vous pensez que ça le ferait si je ne routais que le port 443 ? (et aussi ceux des VPN). Je gagnerais vraiment en sécurité ? On est d'accord que ces règles de routages ne sont valables que pour les connexion initialisées depuis l'extérieur ? Toutes les connexions initialisées depuis le LAN sur n'importe quel port passent et reviendront sans soucis ? Sinon ma LB4 est en version 4.01.12. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 23 août 2021 Partager Posté(e) le 23 août 2021 @beguesse Bonjour, Une p'tite précision : Il y a 3 heures, beguesse a dit : Il y a dû avoir une mise à jour de la livebox dernièrement Je viens de trouver ce post qui effectivement parle d'un firmware v4.3.18 pour la LB5 qui serait apparu en date du 30/06/2021 mais aussitôt retiré par Orange pour restorer la version v4.1.14. Bravo Orange pour la maîtrise des versions. 🤣😂🤣 Cordialement oracle7😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
beguesse Posté(e) le 23 août 2021 Partager Posté(e) le 23 août 2021 (modifié) Il y a 3 heures, .Shad. a dit : Pourquoi l'avoir mis dans la DMZ ? Tu aimes jouer avec le feu, pour quelle raison avoir privilégier la DMZ plutôt que la redirection de ports depuis la box ? Hello! Alors ça c'était avant. Comme je l'expliquais plus haut, j'ai eu le même problème que Romain. la redirection de port ne fonctionnait pas pour retrouver mes accès externes sur mon syno. j'avais passé du temps à chercher à l'époque où je suis passé de free à Sosh. Avant ma migration ça fonctionnait très bien avec Free l'ouverture de port. j’étais dans les clous de la sécurité. mais à l’époque de ma migration en mars 2019 ça ne fonctionnait pas sur livebox. la seule solution pour retrouver mes accès externes était le DMZ. à contre coeur... Je n'aime pas jouer avec le feu Shad 😄 . J'avais tout de même blindé un max avec les conf du syno : conf du firewall, en désactivant le compte admin, en désactivant le ssh, j'ai même pas activé quickconnect.... depuis 2011 seul mon port dsm est accessible dans ma conf du syno. j'ai aussi des sauvergardes hyperbackup régulières sur un HDD usb. et comme j'ai peur que ma maison brûle 🔥, j'ai aussi une synchro de mes données importantes sur 1to OneDrive. Je n'ai donc pas plus trop peur de perdre mes données. Par contre suite aux récents articles sur les attaques par force brute sur syno j'ai retenté le mois dernier la redirection de port et ça marche. je n'avais plus retouché à mes conf depuis mars 2019, donc il y a surement eu une MAJ de la livebox entre 2019 et 2021. v4.1.14 ou avant (de plus je suis aussi passé d'un bon vieux NAS DS211 au DS720 en 2020) Malgré les risques connus à l'époque ou mon NAS etait en DMZ je tiens quand même à préciser que je n'ai jamais eu d'attaque ou de tentative de connexion sur le NAS. Merci pour vos réponses les gars. Super forum avec des bons tutos. je tiens à le dire 🙂 Modifié le 23 août 2021 par beguesse 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 23 août 2021 Partager Posté(e) le 23 août 2021 @beguesse Bonjour, il y a 27 minutes, beguesse a dit : il y a surement eu une MAJ de la livebox entre 2019 et 2021 Un problème est survenu sur la Livebox5 début mai 2020 et n'a été résolu aux environs de la mi Août 2020. En fait la MàJ de firmware qu'avait mis en ligne Orange à cette époque avait pour conséquence la suppression du loopback et le blocage des transmissions de ports NAT notamment 80 et 443. Orange avait fourni un embryon de solution provisoire voir ici. Tu as donc dû faire les frais de ce bug à cette période. La seule parade à l'époque était d'installer sur le NAS le package DNS Server et de configurer une zone locale pour faire la résolution DNS des URL utilisant un nom de domaine. Ainsi on s'affranchissait du loopback défecteux de la LB et en plus on pouvait utiliser les serveurs DNS de son choix et plus ceux d'Orange qui sont réputés "menteurs". A noter que ce même type de bug a été introduit aussi ensuite sur les LB4 en 10/2020 et a été résolu vers mi 11/2021 (voir ce post qui détaille la problématique). Depuis plus aucun problème à ce niveau. Aujourd'hui quelle version de firmware as-tu d'installé sur ta LB5 ? Cordialement oracle7😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
beguesse Posté(e) le 23 août 2021 Partager Posté(e) le 23 août 2021 (modifié) ah! J'ai une LB4 avec le firmware 1.12.1_7.21.3.1 (mon dieu c'est quoi ce format 🤣. étant dev je connais bien le format de version x.x.x mais pas x.x.x_x.x.x.x. je vais proposer ça à mes collègues pour nos api java) ça faisait tellement longtemps que j'avais pas mis le nez dedans que je ne connaissais même plus ma version de LB. c'est bien 4 et pas 5. Le client sosh recycle les vielles box apparemment 😅 j'avais quitté Free à l'époque car Orange était le premier en fibre chez moi. mais c'est un autre sujet 😉 Modifié le 23 août 2021 par beguesse 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 23 août 2021 Partager Posté(e) le 23 août 2021 @beguesse il y a 2 minutes, beguesse a dit : ah! J'ai une LB4 avec le firmware 1.12.1_7.21.3.1 (mon dieu c'est quoi ce format C'est le format "sauce" Orange. En tout cas, vu celui que tu indiques, il semblerait que tu ais un sacré retard de mise à jour de ta LB4. J'ai aussi une LB4 et je suis "uptodate" en version v4.01.12 soit exactement le firmware "SR40_sip-fr-4.01.12.1_7.21.3.1". Normalement, lorsque Orange pousse une nouvelle version de firmware, il le fait en automatique (vers 4 à 5h00 du matin) et bien souvent tu ne t'en aperçois que, parce que ta LB4 a rebooté et souvent donc a changé d'@IP externe. Donc, si cela ne s'est pas fait chez toi, il serait peut-être opportun que tu lances manuellement la mise à jour de la LB4 via l'interface admin de celle-ci. Il y a un onglet dédié pour cela. Cordialement oracle7😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 23 août 2021 Partager Posté(e) le 23 août 2021 il y a 10 minutes, oracle7 a dit : Normalement, lorsque Orange pousse une nouvelle version de firmware, il le fait en automatique (vers 4 à 5h00 du matin) et bien souvent tu ne t'en aperçois que, parce que ta LB4 a rebooté et souvent donc a changé d'@IP externe. Donc, si cela ne s'est pas fait chez toi, il serait peut-être opportun que tu lances manuellement la mise à jour de la LB4 via l'interface admin de celle-ci. Il y a un onglet dédié pour cela. J'allais lui proposer aussi de faire une MAJ forcée ^^ via le gros bouton de l'interface de la LB. PS : j'ai les mêmes infos que toi sur ma LB : Au tout début, j'avais une SagemCom XD, mais pas stable... j'ai pu me la faire échanger (merci à un gars sur HFR 🙂 ) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
beguesse Posté(e) le 23 août 2021 Partager Posté(e) le 23 août 2021 oh je suis un boulet. j'ai donné qu'un bout de la version. sur l'application elle est sur 2 lignes et je t'ai donné la 2ème ligne... (qui me semblait être un numéro de version présentable 😅 ). Du coup en version complète j'ai SG40_sip-fr-4.01.12.1_7.21.3.1 la seule diff avec toi c'est la 2ème lettre. je l'avais reboot il y a 2 semaines. 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 23 août 2021 Partager Posté(e) le 23 août 2021 (modifié) @beguesse Donc maintenant que tu es à jour avec le bon firmware, tu ne devrais plus avoir de soucis avec les transferts NAT sauf si tu en as plus de 14 de définis. En effet au quinzième et plus, la LB4 commence à avoir un comportement erratique (idem pour le DHCP avec plus de 14 bails statiques de définis). C'est ce qui m'a personnellement poussé à invertir dans un routeur (placé en DMZ derière la LB qui n'est alors plus qu'un modem) pour m'affranchir, entre autres, de ce genre de dysfonctionnements récurrents et sans parler de l'impossibilité de modifier les DNS (qui sont réputés être "menteurs") par ceux de mon choix. Cordialement oracle7😉 Modifié le 23 août 2021 par oracle7 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
beguesse Posté(e) le 23 août 2021 Partager Posté(e) le 23 août 2021 (modifié) je confirme. ça marche très bien depuis 15 jours l'ouverture du port sur mon nas et la sortie de la LB de la DMZ. C'est pour ça que j'ai déterré ce sujet car j'avais laissé mon problème. La moindre des choses c'est de prévenir quand c'est résolu. C'est chose faite. Merci pour ces échanges intéressants. Modifié le 23 août 2021 par beguesse 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.