Accès LAN via nom de domaine

[higs]

Bonjour à tous !

je craque, après avoir tenté de comprendre mon soucis et sa source, je me retrouve obligé de demander de l'aide.

J'ai un domaine sur OVH : Toto.fr

Sur Ovh j'ai créer "home.toto.fr" pour tout ce qui concerne chez moi. tout fonctionne depuis l'extérieur https... depuis un moment.

J'ai une freebox delta qui redirige port 43/80 vers mon DS414, c'est lui qui "est exposé" j'ai dessus de configuré la partie proxy reverse.

exemple  nas.home.toto.fr => c'est pour l'accès au DS414, ha.home.toto.fr => vers mon Pi (home Assistant), nas2.home.toto.fr vers mon DS1813+ etc.

mais depuis un petit moment (idem sur tout mes PC et téléphone en wifi) si j'essai d'accéder en LAN via leur nom externe pas moyen.

si je ping le nom j'ai l'ip de ma box (logique c'est ce que j'ai défini sur ovh)

 

Merci d'avance pour votre aiguillage.

[PiwiLAbruti]

Le nom externe pointe vers l'adresse IP publique de ta box.

Si cette dernière gère le loopback, elle renvoie le trafic interne à destination de son adresse IP publique vers le réseau local selon les redirections de ports configurées.

Si elle ne le gère pas (ou plus), ce trafic n'est pas retourné vers le réseau local.

Si tu as une Livebox, il y a déjà une discussion à ce sujet avec des solutions : 

 

 

[.Shad.]

Si pas de loopback, plusieurs solutions :

- modifier le fichier host de chaque périphérique (quand on peut le faire, du coup c'est vite limité).
- utiliser un serveur DNS local dont l'IP est idéalement distribuée par le serveur DHCP de la box, encore faut-il qu'elle autorise ce réglage. Si pas, modifier les DNS utilisés par chaque périphérique manuellement.
- placer un routeur (même basique) du commerce entre la box et ton réseau, cela peut avoir des répercussions sur certains décodeurs TV.

[Kramlech]

Il y a 4 heures, higs a dit :

J'ai une freebox delta

Théoriquement le loopback fonctionne correctement sur les Freebox Delta... à moins qu'une mise à jour ait cassé le truc ...

Personnellement, avec ma Freebox Pop, pas de problème ...

[Mic13710]

J'ai aussi une freebox révolution et ça fait un bail que je n'utilise plus le loopback de la box qui de toute manière ne me servirait à rien puisque j'ai un routeur entre la box et le lan. La solution du serveur DNS est à mon sens la plus élégante car elle dissocie parfaitement ce qui est du WAN de ce qui est du LAN.

Le loopback est très bien pour les néophytes (c'est d'ailleurs incompréhensible que ce ne soit pas la règle sur toutes les box), mais son gros défaut c'est qu'il sollicite inutilement le processeur de la box. Nos NAS proposent un serveur DNS, autant s'en servir.

[CyberFr]

Il y a 17 heures, Mic13710 a dit :

Nos NAS proposent un serveur DNS, autant s'en servir.

Pour exploiter cela, il y a le tuto de @Fenrir DNS Server. Mais j'y mets deux bémols. Il n'y a plus d'images, celles-ci étant hébergées sur le serveur de Fenrir qui est inaccessible pour des raisons que j'ignore. Autre chose, il me semble que dans l'exposé, il manque un enregistrement A du nom de domaine qui pointe sur l'adresse IP locale du NAS ce qui fait que j'ai perdu pied (Merci à @.Shad. pour ses explications et sa patience).

[Mic13710]

Il y a 1 heure, CyberFr a dit :

Il n'y a plus d'images

Elles sont toujours là ....

Il y a 1 heure, CyberFr a dit :

il me semble que dans l'exposé, il manque un enregistrement A du nom de domaine qui pointe sur l'adresse IP locale du NAS

Non. Il y a bien un enregistrement A ns.ndd (name system) qui pointe vers l'IP du NAS et tous les CNAME qui pointent vers ns.ndd. C'est une manière d'aborder la chose. Mais il aurait pu tout aussi bien faire un enregistrement A directement vers ndd et faire pointer les CNAME vers le même ndd. C'est une question de convention.

[CyberFr]

Je n'y comprends rien pour les images du tuto. Elles sont bien la à l'instant mais ce matin elles n'y étaient pas. Et ce n'est pas la seule fois que je me heurte à ce problème quand je veux relire le tuto.

[oracle7]

@CyberFr

Bonjour,

Une solution qui en vaut une autre : fais-toi un PDF du TUTO (lorsque tu vois les images) que tu pourras consulter à loisir ensuite hors ligne ...

Cordialement

oracle7😉

[CyberFr]

Bonjour @oracle7, ça peut être une solution en effet mais le mieux - cela a été évoqué - serait que les images soient hébergées sur le site NAS Forum.

[higs]

Le 01/06/2021 à 12:15, PiwiLAbruti a dit :

Le nom externe pointe vers l'adresse IP publique de ta box.

Si cette dernière gère le loopback, elle renvoie le trafic interne à destination de son adresse IP publique vers le réseau local selon les redirections de ports configurées.

Si elle ne le gère pas (ou plus), ce trafic n'est pas retourné vers le réseau local.

Si tu as une Livebox, il y a déjà une discussion à ce sujet avec des solutions : 

 

 

Bonjour,

désolé de répondre tard, j'ai pas eu d'alertes des messages et suis repassé ce matin avant le travail sur le forum. je profite de quelques minutes restante avant la reprise pour donner quelques infos.

J'ai une Freebox Delta, et je redirige vers des ip locales ou externe exemple le nas de mon frère "seb"

après peut-être un paramétrage a peut-être eu une conséquence dessus, en tout cas en externe, ça marche bien (comme vous voyez j'ai pu me connecter dessus et faire la capture)

après serait-ce possible que le paramétrage Passerelle/dns des postes ?

passerelle : 192.168.1.254 (ma box)

dns primaire : 1.1.1.1 / secondaire : 8.8.4.4

avant j'avais pour habitude de mettre le primaire sur la box qui elle contenait la liste de plusieurs DNS (5).

 

 

 

 

 

[toutnickel]

Bonjour à tous

 

je pense être au bon endroit pour régler mon soucis, j'explique :
en local je peux connecter un lecteur réseau sans soucis avec le nom du nas --> \\nas1\home

je voudrais avoir la même chose mais en externe.

j'ai essayé avec xxx\synology.me\home,  l'ip externe  avec ou sans N° de port

et je n'ai pas réussi, avec l'IP j'arrive quand même au login mais après cela ne suit pas, il me manque quelque chose ...

avez vous une solution ?

merci

 

 

[oracle7]

@toutnickel

Bonjour,

il y a 33 minutes, toutnickel a dit :

je voudrais avoir la même chose mais en externe.

Sauf erreur de ma part (ou alors je ne sais pas faire), on ne peut se connecter directement au répertoire home du NAS depuis l'extérieur. Par contre tu peux atteindre  facilement l'interface de DSM comme suit :

A priori, tu n'as pas de domaine personnalisé (sauf si tu n'as pas tout dit ! 😂) donc il te faut : passer par un domaine en synology.me. Celui que tu dois avoir pour ton DDNS fera l'affaire soit ddns.synology.me qui doit normalement pointer sur ton @IP externe.

Ensuite il te faut configurer le reverse proxy du NAS (voir TUTO : Reverse Proxy) et faire une redirection du type https://home/ddns.synology.me port 443 (http/2) vers http://localhost port 5000

Bien évidemment le port 443 est transféré de ta box vers ton NAS et ce port est ouvert dans le pare-feu du NAS.

Ton certificat devra aussi être mis à jour pour intégrer ce domaine home/ddns.synology.me à moins que tu n'ai fait un certificat wilcard */ddns/synology.me.

Tu utilises ensuite ce domaine comme URL de connexion à ton NAS. Si tu préfères passer par FileStation plutôt que DSM, tu changes juste le port 5000 en 7000 dans la redirection ci-dessus.

Voili voilou ...

Cordialement

oracle7

[toutnickel]

@oracle7

oui je me connecte tres bien autrement et j'ai le nom de domaine qui va bien, c'est seulement que j'ai besoin d'un accès externe direct sur un répertoire partager en tant que lecteur mappé pour une appli spécifique, home ou autre répertoire partagé.

 

[oracle7]

@toutnickel

Bonjour,

Ok, je n'avais pas compris.

Dans ce cas as-tu essayé de partager un lien de téléchargement direct sur ton répertoire avec FileStation ?

Attention pour ne pas avoir à nettoyer l'URL générée, il faut accéder à File Station en interne via le sous-domaine en https et tout est clean quand on génère le lien.

Cordialement

oracle7😉

[toutnickel]

@oracle7

 

Est ce bien de cela dont tu parles ?

je viens de créer cet alias avec nom de domaine dans portail des applications

 

Mais quel intérêt est de mettre le nom de domaine dans ce champ ?

Juste pour info : Dans portail des applications, si je clique sur le lien toto.synology.me j'arrive direct dans file station, par contre si j'utilise un autre navigateur et que je lui rentre ce même lien j'arrive sur ma page web du syno...

pas possible d'effectuer un map réseau

 

[toutnickel]

@oracle7

J'ai trouvé !

il faut redirigé le port netbios 445 et la tout fonctionne \\ip\partage.
fausse joie !

en local seulement, je viens de tester en externe pas de map, GRRR
Je pense que je vais vérifier les sécurité du firewall,...

Suite vérification, j'ai juste désactivé provisoirement pour le test,  le fire Wall et cela fonctionne a distance, maintenant il faut juste revoir la bonne règle qui gère le port 445 dans le pare feu.

 

[.Shad.]

Avant tout, il n'est pas recommandé d'ouvrir l'accès 445 ou 139 en externe.

Il est préférable de mettre en place le serveur VPN, ensuite tu te connecteras avec ton laptop et tu pourras mapper les dossiers partagés du NAS avec l'IP locale directement.

Si vraiment tu tiens à mapper ton lecteur réseau directement à distance, je te conseille au moins de le limiter à une IP, celle de l'endroit d'où tu te connecteras. Tu verras vite que ce n'est pas pratique à l'usage, sauf si tu connectes depuis une IP fixe.

Bref, je te recommande de mettre en place un VPN pour ça. Ou tu peux également t'orienter vers la solution WebDAB, moins intégrée à Windows mais plus rapide à mettre en place.

[oracle7]

@toutnickel

Bonjour,

@.Shad. a raison c'est une fausse bonne idée de vouloir ouvrir les ports NETBIOS à l'extérieur. Par sécurité, abstiens-toi c'est préférable ...

Sinon, je crains que tu n'ai pas bien compris le principe du reverse proxy et son bénéfice, aussi je t'invite à relire à tête reposée le TUTO.

Tu n'as pas répondu à cette question : as-tu essayé de partager un lien de téléchargement direct sur ton répertoire avec FileStation ?

Cordialement

oracle7😉

[toutnickel]

Hello
merci pour ces infos, oui c'est pas sécure cette méthode en effet...
@oracle7
je pensai avoir répondu voir message plus haut, mais je pense que je n'ai pas bien compris ce que tu m'indiquait...

 

[oracle7]

@toutnickel

Bonjour,

Pour le partage de lien avec FileStation, regardes la doc en ligne ici ce sera peut-être plus clair pour toi.

Cordialement

oracle7😉

 

[toutnickel]

Il y a 19 heures, oracle7 a dit :

@toutnickel

Bonjour,

Sauf erreur de ma part (ou alors je ne sais pas faire), on ne peut se connecter directement au répertoire home du NAS depuis l'extérieur. Par contre tu peux atteindre  facilement l'interface de DSM comme suit :

A priori, tu n'as pas de domaine personnalisé (sauf si tu n'as pas tout dit ! 😂) donc il te faut : passer par un domaine en synology.me. Celui que tu dois avoir pour ton DDNS fera l'affaire soit ddns.synology.me qui doit normalement pointer sur ton @IP externe.

Ensuite il te faut configurer le reverse proxy du NAS (voir TUTO : Reverse Proxy) et faire une redirection du type https://home/ddns.synology.me port 443 (http/2) vers http://localhost port 5000

 

Bien évidemment le port 443 est transféré de ta box vers ton NAS et ce port est ouvert dans le pare-feu du NAS.

Ton certificat devra aussi être mis à jour pour intégrer ce domaine home/ddns.synology.me à moins que tu n'ai fait un certificat wilcard */ddns/synology.me.

Tu utilises ensuite ce domaine comme URL de connexion à ton NAS. Si tu préfères passer par FileStation plutôt que DSM, tu changes juste le port 5000 en 7000 dans la redirection ci-dessus.

Voili voilou ...

Cordialement

oracle7

OK j'essaie de tester le reverse mais c'est pas gagné ... La demande de certificat ne passe pas, 
Echec a la connexion a Let's Enscrypt verifier le nom de domaine ...

 

[cadkey]

Il faut que tu choisisses ton nom de domaine du type  mondomaine.synology.me
Ca ne peut pas être synology.me comme tu l'as indiqué dans le premier champ

Ensuite dans 'autre nom de domaine', entre *.mondomaine.synology.me
Le caractere genérique * permet de déclarer tous les sous domaines possibles dans ton certificat, les existants comme ceux à venir.

[toutnickel]

@cadkey

ok j'ai compris, enfin je pense ... lol
maintenant j'ai 2 certificats dupont.synology.me

j'ai rempli le formulaire comme suit :
Nom de Domaine : dupont.synology.me
courrier : dupont@AOL.com
autre nom de l'objet : *.dupont.synology.me

c'est bien comme cela ?

 

[toutnickel]

Il y a 5 heures, oracle7 a dit :

@toutnickel

Bonjour,

Pour le partage de lien avec FileStation, regardes la doc en ligne ici ce sera peut-être plus clair pour toi.

Cordialement

oracle7😉

 

@oracle7

Ok j'ai vu effectivement c'est pas mal , mais cela fait télécharger le fichier pour y accéder.
a voir ...

en tout qu'a merci bien, je continue d'essayer de mettre en route le proxy inversé, si cela peut m'aider mais c'est pas gagné ...