Reverse Proxy et Profils de Contrôle d'Accès

[Kramlech]

Bonjour à tous

Je me permet d'ouvrir ce nouveau sujet, car si le problème des Profils de Contrôle d'Accès a déjà été évoqué quelquefois, il me semble qu'il n'a jamais fait l'objet d'un sujet spécifique (ou du moins la recherche ne me renvoie aucun résultats probant ...)

Donc voici ma situation :

• Mon Nas est correctement protégé
• J'y accède depuis l'extérieur via un reverse proxy
• Tout fonctionne correctement

Mais suite à un changement dans ma situation (vive la retraite), je souhaiterai faire évoluer mes sécurités. En effet, comme je devais faire régulièrement des déplacements, et que je travaillais sur différents postes de travail et des réseaux fortement verrouillés, toutes les fonctions indispensables étaient accédées via le reverse proxy.

Maintenant je souhaite limiter ces accès :

• Quelques fonctionnalités resteront accessibles directement depuis l'extérieur via le reverse proxy
• D'autres ne seront accessibles qu'en local, toujours via le reverse proxy

Pour cela je souhaite mettre en oeuvre les profils de contrôle d'accès.

Mais je n'arrive pas à faire fonctionne ce truc !!! Si j'en crois la doc (assez succincte), il faut que je fasse un profil de ce type pour n'autoriser qu'une seule machine :

Mais dans ce cas, je n'ai aucun accès

Si je fais :

Dans ce cas toutes les machines accèdent. Donc le profil est bien pris en compte. Mais c'est comme si la ligne avec l'adresse IP n'était pas prise en compte (J'ai aussi essayé avec un CIDR, même combat !!!!)

Dons si quelqu'un ayant réussi à faire fonctionner ces profils de contrôle pouvait me dire ce que je n'ai pas compris et que je fais faux ...

Merci d'avance

[Mic13710]

Il faut ratisser plus large. Pour ma part, j'ai mis toutes les plages privées, mais on peut réduire bien évidemment la voilure en fonction de ses besoins.

[.Shad.]

Est-ce que l'IP 192.168.0.120 est l'adresse du PC avec lequel tu tentes d'accéder à tes services protégés par contrôle d'accès ?

[Kramlech]

Alors effectivement, 192.168.0.0/24 semble fonctionner...

Mais en fait, l'adresse IP que je voudrais faire accepter est 192.168.0.104 (pour limiter à un seul poste)

[Mic13710]

Et donc, pourquoi mettez-vous une adresse différente dans le profil ? Une seule adresse fonctionne, à condition que ce soit la bonne !

[.Shad.]

Oui là j'avoue pourquoi avoir mis 120 si c'est 104 que tu veux. 🤪

Si tu souhaites te connecter en VPN n'oublie pas d'ajouter les IP du sous-réseau VPN.

[Kramlech]

Il y a 1 heure, .Shad. a dit :

Oui là j'avoue pourquoi avoir mis 120 si c'est 104 que tu veux. 

😱🤪🤪

Oui, je plaide coupable !!! J'ai fais la copie d'écran après un test où j'avais mis l'IP du Nas (juste pour voir !!!). Mais c'est bien 192.168.0.104 que je veux autoriser!!!

Comme ça marche avec 192.168.0.0/24, je crois que je vais en rester là ....

Il y a 1 heure, .Shad. a dit :

Si tu souhaites te connecter en VPN n'oublie pas d'ajouter les IP du sous-réseau VPN.

Oui, la partie VPN, ce sera dans un second temps !

N'empèche, la doc est limite :

Citation

Si vous souhaitez appliquer une liste blanche, vous devez configurer des règles relatives aux sources interdites en plus de la création des règles relatives aux sources autorisées pour activer les règles.
Par exemple, si seul http://192.168.xx.xx est autorisé, vous devez

1. Ajouter http://192.168.xx.xx comme source autorisée.
2. Ajouter une nouvelle règle et la configurer sur « Refuser ».

Il semble qu'il soit possible des IP unique. Et la manière dont-ils indique de faire cela (http://192.168.xx.xx), ça ne fonctionne pas : on ne peut saisir qu'une IP dans ce champ !

Modifié le 16 mai 2021 par Kramlech

[Mic13710]

Les IP uniques sont possibles. J'ai programmé mon IP publique fixe sur les profils des nas dont je m'occupe à distance au cas où je ne puisse pas les joindre via le VPN et ça fonctionne très bien.

[Kramlech]

Ben alors pourquoi ça ne fonctionne pas chez moi ?

Bon, je vais essayer de repartir du début, sur une entrée du reverse proxy propre et simple !!!!

[MilesTEG1]

Tu as essayé avec ceci : 192.168.0.104/32 ? Cette notation correspond à la seule IP 192.168.0.104.

[Kramlech]

Déjà essayé => ça ne marche pas 😪😪.

Décidément, je n'ai que des problèmes en ce moment ... Pourquoi tant de haine dans une si petite machine ?

[Diabolomagic]

@KramlechC'est ça d'être un super vilain ! 😝

Modifié le 18 mai 2021 par Diabolomagic

[oracle7]

@Kramlech

Bonjour,

Je n'avais pas utilisé de connexion externe via le proxy inversé depuis quelques temps et ton post m'a donné l'occasion de vérifier que le contrôle d'accès que j'avais mis en place il y a déjà pas mal de temps fonctionnait toujours.

Eh bien, je te rejoins dans le "malheur" si je puis dire ... 😥

Avec une règle "Tous - Refuser" en place dans le profil : plus aucune URL définie dans le reverse proxy n'aboutit. A l'inverse, sans cette règle, mes connexions externes qui ne devraient être valides que sous VPN sont quand même possibles. Donc le filtrage ne marche pas.

J'ai ouvert un ticket au support Synology. J'attends leurs investigations en direct. Je te tiens au courant du résultat.

Cordialement

oracle7😉

 

Modifié le 18 mai 2021 par oracle7

[Kramlech]

Je me sens moins seul, là maintenant !!!

[Mic13710]

Ma foi, je viens de tester l'url d'accès à un NAS distant (nas.ndd) avec un profil qui laisse passer les IP locales et ma seule IP publique, avec bien entendu une dernière règle "tout refuser" et ça fonctionne sans problème, que ce soit en direct (donc via mon IP publique) ou en local (via la plage du VPN).

Si je tente une connexion distante à partir d'un autre poste (mon smartphone en 4G par exemple) j'ai la page synology "Désolé, la page que vous recherchez est introuvable"

J'ai bien une règle avec une seule IP qui fonctionne. Il s'agit certes d'une IP publique mais le principe reste le même.

[oracle7]

@Kramlech

Bonjour,

As-tu des nouvelles sur la résolutions du problème ?

Cordialement

oracle7😉

[Kramlech]

@oracle7

Non, j'ai abandonné d'essayer de donner les droits à une seule IP. En donnant un CIDR sur la plage 192.168.x.x, ça fonctionne. J'en reste donc là pour le moment (le plus important était d’interdire l’accès depuis l'extérieur ...)

De toute manière, j’attends la version définitive du DSM 7 pour reprendre tout cela proprement (certificat wilcard, restrictions d'accès ciblées selon les applications, reprendre tout mon reverse proxy, VPN ...)

Modifié le 11 juin 2021 par Kramlech

[oracle7]

@Kramlech

Bonjour,

Moi je suis toujours en discussion avec le support Synology (les Devs) mais à raison d'un message échangé par jour avec Taiwan et les 8 heures de décalage horaire cela ne facilite pas les choses. Ils font leurs tests sur mon NAS et mon routeur mais rien de probant pour l'instant.

Je te tiens au courant dès que j'en sais plus.

Il y a 3 heures, Kramlech a dit :

De toute manière, j’attends la version définitive du DSM 7 pour reprendre tout cela proprement (certificat wilcard, restrictions d'accès ciblées selon les applications, reprendre tout mon reverse proxy, VPN ...)

Sur ce point on est sur la même longueur d'ondes ...😀

Cordialement

oracle7😉

[_DR64_]

Bonjour @oracle7,

Dis moi, comme nous avons plus ou moins la même config, dans tes contrôles d'accès tu as mi quoi ?

192.168.0.0/24 pour le LAN
172.21.0.0/24 pour le VPN ?

Merci

[.Shad.]

il y a 52 minutes, GrOoT64 a dit :

192.168.0.0/24 pour le LAN
172.21.0.0/24 pour le VPN ?

192.168.0.0/24 ça veut dire que tes IP vont de 192.168.0.1 à 192.168.0.254, vérifie que ton réseau est bien en 0.x

172.16.0.0/12 c'est pour Docker dans DSM.

Le sous-réseau VPN dépend du serveur VPN que tu utilises, sur le NAS avec PPTP, L2TP/IPSec ou OpenVPN, ou sur une autre machine de ton réseau, sur un réseau quelconque. Tu es seul à avoir cette info. 😉 

[oracle7]

@GrOoT64

Bonjour,

1. Pour le réseau local 192.168.x.0/24 avec x = ce que tu as défini sur le routeur pour le réseau local.
2. Pour le VPN :

• avec SSL VPN j'ai mi mon réseau local
• avec OpenVPN j'ai mi 10.0.0.0/8

Rien de bien compliqué.

A voir chez toi si tu as aussi ce problème : la connexion depuis un Tél 4G avec VPN Plus Client et avec par exemple le domaine "fichiers.ndd.tld" (auquel j'ai associé un profil d'accès qui autorise les sous-réseaux cités ci-avant plus la règle "Tous : Refuser"), ne fonctionne pas.

J'obtiens ceci : "Synology : Désolé, la page que vous recherchez est introuvable".

Alors que si je passe par l'URL  "@IPNas:portAplli" (192.168.x.10:7000) je me connecte sans problème à File Station.

Est-ce le cas chez toi ? J'ai ouvert un ticket au support.

Cordialement

oracle7😉

 

[oracle7]

@Kramlech

Bonjour,

Pourrais-tu STP me confirmer ce dysfonctionnement :

Pour un domaine personnalisé (par ex fichier.ndd.tld) défini dans le reverse proxy pour accéder à FileStation, si tu lui appliques un profil d'accès qui autorise la plage d'@IP de ton réseau local et une règle "Tous : Refuser" pour bloquer toutes les autres @IP.

Est-ce que chez toi cela bloque l'utilisation de l'URL fichier.ndd.tld aussi bien :

• en local
• qu'en connexion extérieure sous VPN ?

avec pour réponse globale : "Synology : Désolé, la page que vous recherchez est introuvable".

Merci de ta réponse.

Cordialement

oracle7😉

[Kramlech]

@oracle7

Non, ce n'est pas tout à fait cela.

Si j'autorise une plage d'IP, cela fonctionne normalement (autorisé en local, interdit depuis l'extérieur) :

 

C'est si je veux n'autoriser qu'une IP précise que ça ne fonctionne pas en local :

et que j'ai le message  "Désolé ...."

Modifié le 18 juin 2021 par Kramlech

[_DR64_]

Le 16/06/2021 à 22:45, oracle7 a dit :

Bonjour,

1. Pour le réseau local 192.168.x.0/24 avec x = ce que tu as défini sur le routeur pour le réseau local.
2. Pour le VPN :

• avec SSL VPN j'ai mi mon réseau local

Bonjour @oracle7 et merci pour ton retour.
Je viens d'appliquer les paramètres de @Kramlech et ça fonctionne nickel ( 192.168.0.0/16) ...

Merci @Kramlech par la même occaz !

[oracle7]

@GrOoT64, @Kramlech

Bonjour,

Bon bah force est de constater que j'ai un problème chez moi.

Cela ne fonctionne pas, les domaines personnalisés du reverse proxy sont bloqués dès que je rajoute la règle "Tous : Refuser".

J'ai beau chercher mais je ne vois pas où cela coince. 🥴🤨

Je reste preneur de toutes idées de pistes ...

Cordialement

oracle7😉