Transfert de Domoticz version Jadahl vers Domoticz version Docker

[Papy_de_la_mer]

Bonjour à tous ...
Adepte de domotique, j'ai mis en place en 2018 un NAS Synology DS218 pour y installer Domoticz version Jadalh ... Au passage je le remercie mille fois pour le travail qu'il a fait ces dernières années et qui a donné l'impression aux buses comme moi que ... certaines choses étaient simples et faciles ...
Evidemment, la mise en place d'un NAS et l'installation de Domoticz m'ont entrainé dans beaucoup d'endroits totalement inconnus (de moi), linux d'abord, SSH ensuite et les questions de sécurité. Les tutos de Fenrir, unPixel et quelques autres ont été pour moi une bénédiction et un apprentissage efficace. Je les en remercie tous. Avec de tels locomotives, les wagons avancent vite ...
En début d'année je découvre comme beaucoup la décision de Jadalh de lâcher prise et, comme beaucoup, je cherche une solution pérenne de remplacement. Je potasse un peu et naturellement, je tombe sur Docker ... Manque de chance mon NAS n'est pas compatible. J'hésite quelques temps puis ... je casse ma tirelire pour m'acheter un DS220+
J'imagine que l'installation de Domoticz sous Docker va être une galère et je me prépare au pire ... Perdu ... le tuto de .shad. (grand merci à lui) et quelques autres données font qu'en moins de 15 mn Domoticz tourne sur le DS220+ et y est opérationnel. Je transfère même pour test quelques applications et, cerise sur le gâteau, j'arrive même à utiliser certaines fonctions que je n'avais jamais réussi à faire fonctionner jusque là !...
Les choses pourraient s'arrêter là mais ... les ennuis commencent lorsque j'essaye de faire fonctionner ma configuration Livebox 4 + DS118 + DS220+ ...
L'idée de départ est de garder le DS118 (DSM version 6.2.4.25556) comme serveur d'accès pour l'extérieur puis de transférer progressivement la main au DS220+ (DSM 7.0.41890) en gardant le DS218 comme unité de stockage de données accessibles via le DS220+.
J'ai un nom de domaine Synology pour chaque NAS. Le DS218 est sensé n'être accessible de l'extérieur que via les ports 80 et 443 qui sont routés dans la livebox 4 pour le DS218, le reste étant l'affaire de reverse-proxy ...
Echec de départ : créer des reverse-proxy dans le DS220+ pour passer d'une logique DS218 >>> DS220+ à une logique DS220+ >>> DS218. Aucun reverse-proxy ne fonctionne. Chaque appel aux reverse proxy me renvoie à la page web standard du DS220+.
Je me dis alors que j'ai un problème de routage de port dans la Livebox ... Je fais différents essais, tous en échec et, test final, je supprime tous les routages de ports dans la Livebox y compris le 80 et le 443 ... Le DS220+ n'est pas accessible et le DS218 ... continue de fonctionner (accès externes) comme si de de rien n'était.
La buse que je suis y perd alors un peu son latin ... Comment puis je accéder au DS218 depuis l'extérieur avec une Livebox 4 vierge de tout routage de ports ?...
Pour confirmer la situation, je lance Nmap sur l'IP externe de la Livebox et ... je trouve 5 ports ouverts : 80 (http nginx), 443 (ssl http nginx), 10003  (ssl http nginx) que j'attribue sans peine au NAS ainsi que 50001 (upnp Portable SDK for UPnP devices 1.6.21 - Linux 4.4.59+ UPnP 1.0) et 50002 (http lighttpd 1.4.43) que je ne sais pas vraiment à qui attribuer ...
Si quelqu'un peut m'aider à éclaircir cette situation, voire deviner tout ce que je n'ai pas compris, je lui en serais reconnaissant ...
Bonne journée à tous.

[.Shad.]

@Papy_de_la_mer

Salut, ton message est très touffu, si tu pouvais l'aérer un peu ça en faciliterait la lecture.

Si tu pouvais aussi clarifier, tu parles de DS118 et de DS218 ? Je pense que tu voulais dire DS218 dans les deux cas, que c'est une erreur de frappe.

Bref, si je comprends bien ton proxy inversé est sur le DS218 actuellement, et tu souhaiterais le transférer sur le DS220+.
Et même en supprimant les redirections de port, elles se recréent.

Dans ce cas-là ça veut dire deux choses :

• Que ta box autorise l'uPnP
• Que ton NAS a des entrées dans l'onglet Configuration du routeur.

Sur la box c'est généralement mieux de l'activer, mais ça peut poser problème pour tout ce qui est jeu en ligne (console ou PC), il faudra alors transférer manuellement les ports.
Sur le NAS, il faut aller dans Panneau de configuration -> Accès externe -> Configuration du routeur et tout supprimer.

Ainsi tu peux être sûr que le NAS ne recréera plus de règles non souhaitées. Plus qu'à remettre en place le proxy inversé sur ton DS220+ et t'assurer que la box redirige cette fois les pors 80 et 443 vers le DS220+ et plus le DS218.

Une petite impression d'écran de ton pare-feu pourrait être utile aussi, si tu as laissé DSM gérer les règles je plaide pour un beau foutoir. 😄 

Modifié le 29 août 2021 par .Shad.

[Papy_de_la_mer]

Bonjour .shad. et merci d'avoir pris le temps de me répondre ...
Puisque je t'ai en ligne, j'en profite pour te remercier "de vive voix" pour tes tutos Docker très clairs, très précis et, surtout, pour les explications de contexte que tu donnes et qui permettent de ne pas être simplement "un re-copieur de solutions".

Désolé pour le côté touffu de mon message mais ce doit être la transcription exacte de ce qu'il y a dans ma tête en ce moment 😁 eu égard à mon incompréhension de la situation  Cela dit, tu as compris l'essentiel ...

Ma configuration actuelle aussi précisément que possible :
- une livebox 4 dont le service uPnP IGD n'est pas activé (ma lecture des tutos de Fenrir sur la sécurité m'a conduit à vouloir gérer les choses manuellement) et qui n'a pour l'instant aucun reroutage de ports ;
- un DS218 (pas DS118) sans configuration routeur, avec un nom de domaine délivré par Synology et des reverse-proxy pour chaque fonction que je veux atteindre de l'extérieur (toujours via le port 443) ;
- un DS220 avec une configuration strictement similaire (un seul reverse-proxy pour l'instant pour mes essais).

Les règles de pare-feu pour le DS218 sont créées manuellement :

- ligne 1 > port 80 ;
- ligne 2 > ports 443, 10003 (Synology drive), 38008 et 38443 (CalDav), 50001 et 50002 en TCP (tiens ... ils sont là ceux que je cherchais ...) et 1900 en UDP pour serveurs multimédia ;
- ligne 3 > port 22 SSH verrouillé sur la seule IP de mon PC principal.
Les 4 dernières lignes sont issues du tuto "sécurité" de Fenrir.

Les règles de pare-feu pour le DS220 sont créées manuellement de manière rigoureusement similaires.

Dans cette configuration, tous les reverse-proxy du DS218 fonctionnent sans reroutage de ports dans la Livebox (j'ai redémarré celle-ci après configuration) tandis que le reverse-proxy d'essai du DS220 me conduit vers l'image de la page web Synology.

Pour mémoire, tous les reverse-proxy ont leurs propres certificats de sécurité Let's Encrypt.

Je ne sais pas trop quel essai de configuration mener pour trouver le (les) loup(s) ...

[Mic13710]

La règle 3 ne sert à rien car elle est inhibée par l'avant dernière.

Si vous vous connectez en SSH avec l'IP source programmée, le balayage s'arrêtera bien à la 3 puisque la règle est validée. Si vous vous connectez avec une autre IP, le balayage passera le règle 3 (non validée) jusqu'à l'avant dernière qui elle autorise tous les ports pour toutes les IP dans la plage 192.168.x.x

Pourquoi ouvrir tous ces ports ? Le reverse proxy est là pour justement ne pas les ouvrir en passant par le 443. Excepté le 443 et Drive (pour lequel j'utilise le 6690) et sauf appli spécifique qui ne peut pas utiliser le revers proxy, vous ne devriez pas avoir d'autres ports ouverts.

[maxou56]

Il y a 1 heure, Papy_de_la_mer a dit :

50001 et 50002 en TCP (tiens ... ils sont là ceux que je cherchais ...) et 1900 en UDP pour serveurs multimédia ;

Bonjour,

Pourquoi le serveur multimédia sur internet?

Le DLNA c'est pour le réseau local, donc aucune utilité de l'ouvrir sur internet.

 

Ensuite je te conseil de mettre les IP locales en premier (règles 4-5-6 en 1-2-3) ça évitera de te bloquer involontairement.

Il y a 1 heure, Papy_de_la_mer a dit :

- ligne 3 > port 22 SSH verrouillé sur la seule IP de mon PC principal.

Comme spécifier par @Mic13710 ce n'est pas le cas le port 22 est autorisé pour toutes les IP locales dans ton pare-feu.

Si tu veux faire ça, il faut mettre par exemple avant les règles locales, IP= 192.168.1.133 > port 22 (ou tout)> autorisé, puis une seconde règle après IP = Tout > port 22 > Refuser

Ou si ton PC est en dehors de la plage DHCP, tu peux aussi bloquer la plage DHCP local.

IP= 192.168.1.10-192.168.1.100 > port 22 > refuser règle a mettre avant celles locales.

Modifié le 29 août 2021 par maxou56

[Papy_de_la_mer]

Merci à Maxou56 et Mic13710 pour leur réponses et leurs aides.
Sur la base de leurs remarques et en relisant le tuto "Sécuriser les accès à son nas" de Fenrir, j'ai modifié les règles de pare-feu avec les intentions suivantes :
- ne rien verrouiller sur le réseau local sauf les ports 22 et 33 réservés à 2 PC "maîtres",
- pour l'extérieur, ouvrir les ports 80, 443 et 6690 aux IP "France".

Nmap ne voit plus que les ports 80, 443 et 6690 ouverts.

J'ai compris pourquoi la Livebox ne filtre pas les ports 80 et 443 ... Actuellement le réglage de la Livebox est "forfaitaire" et réglé sur "moyen", cela ouvre à coup sûr les ports standard 80 et 443 et probablement le 6690 (je vais faire des essais sur ce point ...).

Je pense aussi avoir compris pourquoi le reverse proxy du DS220+ ne passe pas ... Le DDNS Synology accepte les 2 NAS ainsi que leurs deux noms de domaines mais après ... c'est le souk parce qu'il semble donner la priorité au premier domaine créé (celui du DS218). Lorsque j'ai essayé de me connecter une nouvelle fois au reverse-proxy du DS220+ avec Firefox et non avec chrome, j'ai eu un blocage et une alerte sur le certificat de sécurité associé à la requête HTTPS. il s'est avéré en analysant en détail cette alerte que le nom de domaine associé à la requête n'était pas celui du DS220+ mais celui du DS218 !...

Pour en avoir le cœur net, j'ai supprimé le nom de domaine du DS220+ qui a disparu du DDNS et j'ai fait un reverse-proxy sur le DS218 en aiguillant sa sortie vers le DS220+ ... et tout est rentré dans l'ordre ...

Merci à tous pour m'avoir obligé à réfléchir ... Quant au comportement du DDNS Synology, je ne sais pas s'il est "nominal" mais pour moi, si 2 NAS avec un nom de domaine différent ne peuvent pas vivre en même temps derrière une même IP publique (ce qui au premier ordre me paraît anormal) ... peut-être serait-il utile que Synology empêche ou gère cette configuration.

Je reste en ligne si d'aucuns ont des compléments à me demander ou des questions à me poser.

[.Shad.]

il y a une heure, Papy_de_la_mer a dit :

J'ai compris pourquoi la Livebox ne filtre pas les ports 80 et 443 ... Actuellement le réglage de la Livebox est "forfaitaire" et réglé sur "moyen", cela ouvre à coup sûr les ports standard 80 et 443 et probablement le 6690 (je vais faire des essais sur ce point ...).

Normalement le pare-feu des box définit le comportement de la box en dehors des redirections de port faites par ailleurs.

il y a une heure, Papy_de_la_mer a dit :

Je pense aussi avoir compris pourquoi le reverse proxy du DS220+ ne passe pas ... Le DDNS Synology accepte les 2 NAS ainsi que leurs deux noms de domaines mais après ... c'est le souk parce qu'il semble donner la priorité au premier domaine créé (celui du DS218). Lorsque j'ai essayé de me connecter une nouvelle fois au reverse-proxy du DS220+ avec Firefox et non avec chrome, j'ai eu un blocage et une alerte sur le certificat de sécurité associé à la requête HTTPS. il s'est avéré en analysant en détail cette alerte que le nom de domaine associé à la requête n'était pas celui du DS220+ mais celui du DS218 !...

Pour en avoir le cœur net, j'ai supprimé le nom de domaine du DS220+ qui a disparu du DDNS et j'ai fait un reverse-proxy sur le DS218 en aiguillant sa sortie vers le DS220+ ... et tout est rentré dans l'ordre ...

J'ai du mal à saisir ton propos, je pense qu'il y a des incompréhensions à divers niveaux.

[Papy_de_la_mer]

Bonjour .shad.

Sur la livebox 4 pour régler le pare-feu, tu dispose de 2 onglets

Si tu choisis un des 3 premier réglages "forfaitaires" tu ne sais pas (je ne sais pas) ce que sont les ports ouverts ...

Si tu choisis le dernier réglages, tu te retrouves avec le préréglage suivant que tu peux modifier :

J'interprète que ces réglages étant les minima selon orange, ils se retrouvent dans les niveaux forfaitaires tel que le niveau "moyen". Dans ce niveau de réglage, les ports 80 et 443 sont donc forcément ouverts et probablement le 6690.

Tu dispose en plus d'un autre onglet pour faire du routage de ports et de protocoles qui (c'est ainsi que je le comprends) complète les réglages sélectionnés dans l'onglet "pare-feu"

Pour le second point, je prends un exemple, ce sera sans doute plus pertinent que mes explications :

Noms de domaines déclarés dans le DDNS Synology : DS218 > ds218.synology.me ; DS220 > ds220.synology.me. Ces 2 domaines sont identifiés avec la même IP publique, celle de ma box. Chaque domaine a un certificat de sécurité Let's Encrypt.
Au niveau du DS218, je crée des reverse-proxy du type xxx.ds218.synology.me avec chacun un certificat de sécurité dénommé comme le reverse-proxy qu'il couvre.
Au niveau du DS220, je crée un reverse-proxy d'essai qui doit m'amener sur le DSM : dsm.ds220.synology.me. Il a son certificat de sécurité (même nom).
Tout cela le NAS et le DDNS l'accepte sans broncher.
Si j'appelle un des reverse-proxy du DS218 : tout est OK, l'aiguillage fonctionne et je n'ai aucune alerte de sécurité.
Si j'appelle le reverse-proxy du DS220 : j'a une alerte de sécurité sur le certificat de sécurité qui selon le navigateur (firefox) ne couvre pas le nom de domaine. Si je regarde le détail de l'alerte, je trouve comme nom de domaine non pas celui attribué au DS220 mais celui attribué au DS218 et si je force le passage à cette étape, je tombe sur la page standard Synology d'un site web en construction, existant sur le DS218 mais pas sur le DS220 (web station activé dans un cas et pas dans l'autre)
Ma conclusion personnelle (peut-être hâtive) est que le DDNS Synology ne gère pas correctement 2 noms de domaines sur la même IP publique et qu'il réagit toujours avec le premier nom de domaine déclaré.
Si je supprime le nom de domaine du DS220 et que je crée des reverse-proxy sur le DS218 qui m'orientent vers le DS220, cela fonctionne.
Tu sembles un pro en réseau ce qui n'ai pas mon cas (en la matière, chaque jour est une découverte pour moi). Il est probable que je fais des choses idiotes mais comme le système les accepte je ne vois rien ... je me plante et je tâtonne en essayant d'être logique et en écoutant ce que d'autres savent pour essayer de comprendre d'abord puis de trouver une solution ensuite.

[oracle7]

@Papy_de_la_mer

Bonjour,

Il y a 6 heures, Papy_de_la_mer a dit :

Si j'appelle le reverse-proxy du DS220 : j'a une alerte de sécurité sur le certificat de sécurité qui selon le navigateur (firefox) ne couvre pas le nom de domaine.

Cela signifie que ta définition de ton certificat pour le domaine ds220.synology.me n'est pas correcte.

Pour ce certificat, dans "Autre nom de l'objet" :

• As-tu défini un wilcard du type "*.ds220.synology.me" (qui devrait alors couvrir tous les sous-domaines  en xxxxx.ds220.synology.me

Ou bien

• As-tu simplement indiqué : dsm.ds220.synology.me ? dans ce cas vu que cela ne passe pas, vérifie la syntaxe que tu avais saisie. Elle ne doit pas correspondre d'où le rejet du navigateur web.

Attention, dans le Reverse Proxy, il ne faut pas définir de redirection avec une URL qui reprend le nom du NAS (par ex nomduNAS.ds220.synology.me) car cela ne marchera pas. Il faut donner un autre libellé que le nom du NAS par ex : https://tartanpion.ds220.synology.me   443 (http/2) vers http://localhost:5000. Donc si "dsm" est le nom de ton NAS DS220, c'est aussi normal que cela ne marche pas.

Il y a 6 heures, Papy_de_la_mer a dit :

Dans ce niveau de réglage, les ports 80 et 443 sont donc forcément ouverts et probablement le 6690.

A ce niveau, Orange n'ouvre que les ports des services standards les plus utilisés. Orange ne connait les particularités des applications Synology et de Drive en l'occurrence. Donc il n'ouvre pas le port 6690 pour Synology Drive.

Il te revient à toi de transférer simplement le port 6690 par une règle NAT/PAT vers ton NAS pour que tes synchronisations fonctionnent avec l'extérieur. Bien entendu, tu auras aussi ouvert/autoriser de port 6690 dans le pare-feu du NAS sur lequel tu fais des synchronisations.

Par ailleurs par soucis de sécurité, il est préférable et même obligatoire de fermer les ports des applications que tu n'utilise pas. En fait tu n'ouvres que ce que tu as besoin.

Mais dans ton cas, je fermerais tous les ports sur la box et créerais uniquement des règles NAT de transfert pour les ports seulement nécessaires à savoir : 80,443, 6690, (500, 1194 et 4500 seulement su tu fais du VPN L2TP/IpSec ou OpenVPN). Ensuite tu ouvres/autorises ces ports dans le pare-feu du NAS. Ni plus ni moins.

Edit : Dans les paramètres DSM de ton DS220 : "Réseau / paramètres de DSM / Général" assures-toi que la case "Rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM" est bien désactivée sinon cela casse le Reverse Proxy. Donc peut-être aussi la source de tes ennuis.

Cordialement

oracle7😉

Modifié le 30 août 2021 par oracle7

[.Shad.]

@Papy_de_la_mer Ton problème est que le certificat pour le DS220 est sur le DS220. 🙂 Quand tu fais une requête depuis le net pour accéder à DSM du DS218 (c'est un exemple), voici ce qu'il se passe :

• https://dsm.ds218.synology.me -> renvoie vers ton IPv4 publique.
• Port 443 sollicité -> la box redirige la requête vers le NAS DS218, ça tombe sur Nginx qui exécute le proxy inversé.
• Nginx reconnaît une entrée de sa liste -> redirige vers le backend, donc http://localhost:5000 par défaut.

Maintenant tu veux accéder à DSM du DS220 ? c'est simple :

• https://dsm.ds220.synology.me -> renvoie vers ton IPv4 publique.
• Port 443 sollicité -> la box redirige la requête vers le NAS DS218 (une seule redirection de port est possible à la fois), ça tombe sur Nginx qui exécute le proxy inversé.
• Il faut que l'entrée de proxy inversé soit donc sur le DS218, et pas le DS220. Nginx la reconnaît ensuite -> redirection vers le backend, http://IP_DS220:5000

Les deux certificats doivent cohabiter sur le DS218. Et tu configures individuellement dans le panneau de certificat quel service utilise quel certificat.

NOTE : Il te faudra également un certificat sur le DS220, pour le NDD Synology du DS220, pour gérer tout ce qui ne passe pas par le proxy inversé (synchro Drive, Active Backup, Hyper Backup, etc...). Tu peux t'amuser à l'exporter depuis le DS218, mais je te conseille plutôt d'avoir un certificat autonome wildcard => au lieu de demander des domaines spécifiques, tu demandes *.ds220.synology.me, ça valide tous les sous-domaines possibles. Le wildcard a aussi l'avantage de ne pas solliciter les ports du NAS, qui sont déjà redirigés vers le DS218.

Si tu veux inverser les rôles, il suffit de faire un miroir :

• port 443 redirigé vers le DS220 au lieu du DS218
• entrées de proxy inversé du DS218 et DS220 sur le DS220
• localhost correspond maintenant au DS220
• les deux certificats cohabitent sur le DS220
• tu crées un certificat wildcard sur le DS218 pour ses services internes non "proxy-ables"

[Papy_de_la_mer]

Bonjour.

Merci à @oracle7 et à @.Shad. pour leurs réponses qui, une nouvelle fois, m'ont forcé à réfléchir ... 😅

J'étais finalement arrivé progressivement à la logique que @.Shad. a décrit dans son dernier message et ... cela fonctionne ... évidemment ... 😁

Mon DS220 est désormais l'entrée de mon réseau depuis l'extérieur, la box a son pare-feu personnalisé et les ports 80 et 443, seuls ouverts, sont redirigés vers le DS220. Les reverse-proxy me permettent d'accéder à Domoticz et à mon calendrier sur lequel j'ai bien patachonné lorsqu'il s'est agi d'y accéder via mon Ipad et mon téléphone Androïd, la transposition des solutions utilisées avec le DSM 6 n'ayant pas été immédiates ou possibles avec le DSM 7.

Avec le DS218 j'ai mis en place une logique de synchronisation / sauvegarde de fichiers avec Synology Drive Serveur. La synchro "Drive client" avec mon pc fixe (IP locale) ne pose pas de problème. Celle avec mon PC portable (reverse-proxy) fonctionne également mais impossible de connecter "Drive" avec mon téléphone Androïd ou avec mon Ipad. J'ai bien vu le message de @.Shad. sur ce thème (15 janvier), le pare-feu de la box ouvre le port 6690 qui est rerouté vers le DS220 mais rien n'y fait, la connexion via un reverse-proxy (sous-domaine vers port 10002 du DS220) ne fonctionne pour aucun de ces équipements mobiles (cela fonctionnait avec DSM6). J'ai essayé de me connecté avec le seul nom de domaine attribué au DS220 (cf. remarque de @.Shad. dans son message du 15/01) et avec le sous-domaine attribué au DSM. Quant à utiliser un DNS local ... je n'en suis pas encore là ... 🤢

[.Shad.]

Dans les applications mobiles, essaie d'ajouter :443 à la fin de l'adresse que tu utilises.

[Papy_de_la_mer]

Bonsoir @.Shad.

Pour l'Ipad, en utilisant le nom de domaine du NAS (xxx.synology.me), même en précisant le port 443, cela ne fonctionne pas. En utilisant le nom de sous-domaine du DSM(yyy.xxx.synology.me) et en précisant le port 443, cela fonctionne.

Pour le téléphone Androïd, les 2 tentatives de connexions précédentes provoquent l'édition du message suivant "Le certificat SSL du Synology NAS n'est pas fiable ..." et Drive ne se connecte pas.

Bizarre non ?... Les certificats SSL des domaines et sous-domaines proviennent de Let's Encrypt et, lorsque je les utilise, les connexions SSL des PC ne provoquent ni la réaction du navigateur, ni celle de BitDefender ...

J'ai vu que @Fenrir avait fait un tuto en 2017 sur DNS Server ... je vais essayer de regarder et ... de me prendre un peu la tête ... 😁

A nouveau, grand merci pour ton aide et tes commentaires.

[oracle7]

@Papy_de_la_mer

Bonjour,

il y a 34 minutes, Papy_de_la_mer a dit :

Pour le téléphone Androïd, les 2 tentatives de connexions précédentes provoquent l'édition du message suivant "Le certificat SSL du Synology NAS n'est pas fiable ..." et Drive ne se connecte pas.

Ce n'est qu'un constat de ma part, mais il semblerait que ce type d'erreur revienne assez souvent dans les posts depuis la MàJ en v3 de Drive. Mais je peux me tromper...

Et je dirais même plus, il n'y a qu'avec Drive, les navigateurs Web eux ne bronchent pas effectivement.

C'est ce genre de chose (entre autres mais pas que) qui a fait que j'ai basculé sur Syncthing sous docker et exit Drive pour toutes mes synchros.

Cordialement

oracle7😉

 

[Papy_de_la_mer]

Merci pour ton commentaire @oracle7 ... tu viens de me donner un autre objet pour une nouvelle prise de tête ... 😁

D'une manière générale, je vois que mes problèmes de compréhension reviennent presque toujours à un sujet constant : le réseau. Je suis une "super buse" sur ce sujet et je vois bien que je patachonne à chaque fois qu'un thème approche ce domaine ... c'est à dire 9 fois sur 10 ... Qu'elle est la bonne approche pour accéder aux bases de ce thème ? Je ne compte ni ne souhaite devenir un "pro" ... mais j'aimerais au moins être un "amateur éclairé" ... 

A titre d'exemple, je vais vous donner mon dernier sujet de réflexion ... En ces temps difficiles, cela devrait vous donner une bonne occasion de sourire, voire de rire ... 😂

"Grâce" aux tuto sécurité de @Fenrir et d'autres, je suis devenu un peu "parano" sur la sécurité ... A la suite des échanges que nous venons d'avoir, j'ai repris le pare-feu et le NAT de ma Livebox ... bien mais ... Je comprends que les ports 80 et 443 sont des ports très standard pour les requêtes HTTP et HTTPS. Dans ces conditions, si je les "confisque" et les transfert vers le DS220+, quid des autres applications qui utiliseraient normalement ces ports pour mes PC, mon téléphone ou ma tablette par exemple ?...

Bonne journée à tous. 

[oracle7]

@Papy_de_la_mer

Bonjour,

il y a une heure, Papy_de_la_mer a dit :

si je les "confisque" et les transfert vers le DS220+

Heuh ? Tu peux préciser STP  ta pensée ? J'ai duu mal à te suivre là ...🤔

Cordialement

oracle7😉

[Mic13710]

il y a une heure, Papy_de_la_mer a dit :

quid des autres applications qui utiliseraient normalement ces ports pour mes PC, mon téléphone ou ma tablette par exemple ?...

La redirection des ports ne concerne que les flux rentrants. En dirigeant les ports 80 et 443 vers le NAS, on dit au routeur que tout ce qui vient de l'extérieur par ces ports doit être redirigé vers le NAS qui pourra gérer la demande.

Si un de vos appareils fait une requête sur le web, le routeur dirigera la réponse correspondante directement vers l'appareil à l'origine de la requête.

[Papy_de_la_mer]

Bonsoir ...

Je pense avoir bien compris le rôle du pare-feu et du transfert de ports, y compris le fait que le transfert de ports est dans le sens entrant. Je reformule donc ma question peu explicite : un transfert de port se fait vers un équipement particulier du réseau (d'où l'idée de "confiscation" du port par cette équipement que j'ai utilisée dans mon dernier message) dans ces conditions, cela signifie-t-il (attention ... c'est ce que je comprends à cet instant ... 🤒) qu'il n'existe pas d'autres requêtes HTTPS entrant sur le port 443 non destinées au DS220+ ?

Cela dit, en écrivant ma question, j'ai la forte impression qu'elle est idiote 🤪 ... parce soit la requête ne concerne pas un usage légitime et elle se trouve bloquée par le DS220+ qui ne l'attend pas, soit elle concerne un usage que je maîtrise et je doit pouvoir utiliser un autre port et le re-router vers le bon équipement du réseau (désolé de "penser" tout haut ...).

Pour @oracle7, j'ai regardé la synchro via syncthing. Installée et fonctionnelle en moins de 15 mn dans un conteneur Docker (le tuto de @.Shad. est décidément super ...). Pas de problème pour reconstruire mes synchro sur mon réseau en local (incidemment, peut-on contrôler le délai de latence existant avant que la synchro se fasse ?). Une nouvelle fois une question de réseau !... : si je sors mon pc portable du réseau local et que je veux passer par internet, je perds pieds ... Lorsque je me connecte de l'extérieur via un reverse proxy défini sur le DS220+, syncthing considère que c'est le DS220+ qui lui parle (me semble-t-il) et je suppose qu'il n'identifie pas PC portable sur le réseau et qu'il ne fait pas la synchro ...

J'en resterai là pour ce soir ... avec la tête un peu en vrac.

Cordialement.

[oracle7]

@Papy_de_la_mer

Bonjour,

Il y a 13 heures, Papy_de_la_mer a dit :

cela signifie-t-il (attention ... c'est ce que je comprends à cet instant ... 🤒) qu'il n'existe pas d'autres requêtes HTTPS entrant sur le port 443 non destinées au DS220+ ?

OUI car quand tu rediriges un port, tout le flux qui arrive sur ce port (pour le 443 c'est toutes les requêtes HTTPS) va transiter depuis ce port vers l'application/service/machine qui écoute ce port 443. En l'occurrence pour toi ce sera le reverse proxy de ton DS220+. Cela dit, je ne suis pas sûr que le terme "confisquer" soit très adapté au langage "réseau" mais si cela te permet de mieux comprendre alors pourquoi pas.😋

Il y a 13 heures, Papy_de_la_mer a dit :

Cela dit, en écrivant ma question, j'ai la forte impression qu'elle est idiote 🤪 ... parce soit la requête ne concerne pas un usage légitime et elle se trouve bloquée par le DS220+ qui ne l'attend pas, soit elle concerne un usage que je maîtrise et je doit pouvoir utiliser un autre port et le re-router vers le bon équipement du réseau (désolé de "penser" tout haut ...).

????? désolé mais là j'ai du mal à te suivre et ne comprends pas toutes ta pensée ...🥴

Il y a 13 heures, Papy_de_la_mer a dit :

Lorsque je me connecte de l'extérieur via un reverse proxy défini sur le DS220+, syncthing considère que c'est le DS220+ qui lui parle (me semble-t-il) et je suppose qu'il n'identifie pas PC portable sur le réseau et qu'il ne fait pas la synchro ...

C'est logique car quand ton PC portable se connecte de l'extérieur il le fait avec une autre @IP donc ta synchro étant définie avec un appareil sur ton réseau local, elle ne peut donc se faire même si c'est physiquement le même appareil, celui-ci est vu/reconnu comme un autre appareil.
Cela dit, quand ton PC portable est à l'extérieur, un peu comme pour un smartphone, sauf erreur de ma part, tu devrais pouvoir définir une AUTRE synchro sur le même dossier/fichier. Je pense que cela devrait le faire (à tester en tout cas pour voir, je ne l'ai pas tenté personnellement donc je te dis cela sans garantie !🤔) puisque le PC portable sera alors vu comme déconnecté pour la synchro locale et donc la nouvelle synchro externe devrait pouvoir s'établir.

Cordialement

oracle7😉

Modifié le 4 septembre 2021 par oracle7

[Papy_de_la_mer]

Merci @oracle7 pour ta réponse.

En fait, il semble s'avérer que syncthing est un applicatif idéal pour ... les buses comme moi ... 😁

J'ai synchroniser mon DS218 avec mon téléphone portable, celui-ci étant connecté sur mon réseau wifi. Cela m'a permis de lui attribué un identifiant. Puis j'ai déclaré un partage qui, naturellement, s'est fait sans difficulté. J'ai ensuite déconnecté le téléphone du réseau wifi local et j'ai ajouté un fichier dans le dossier partagé du DS218. Dans un premier temps, le téléphone a été déclaré "déconnecté" dans la page web de configuration des partages du DS218 puis ... il est réapparu ... via la 4G je suppose et la synchro s'est faite.

J'ai donc fait une manipulation similaire avec le PC portable : déconnexion du réseau wifi local, partage de connexion avec le téléphone lui-même déconnecté du wifi local et ajout de fichier ... Même résultat : le tout se synchronise ...

Seul constat, lorsque tu cliques sur un appareil connecté tu peux voir ses adresses IP, ports et services de connexion, la liste devient un peu plus étoffée lorsque la connexion n'est pas locale. L'essentiel est que tout semble fonctionner comme je le souhaitais. Seul regret, syncthing n'est pas compatible d'iOS donc de mon Ipad. J'ai trouvé un biais en ouvrant un accès sur les fichiers partagés du DS218 via DS File. Comme pour l'Ipad je n'ai besoin que d'un fichier à jour, je peux faire cette mise à jour manuellement.

Sur le MOOC où je me suis abonné pour me mettre le pied à l'étrier en matière d'objets connectés et de domotique, j'ai trouvé 3 cours d'initiation aux réseaux. je pense que je vais les suivre.

Merci à tous ceux qui m'ont aidé pour cette séquence. Je suppose qu'il y en aura d'autres car ... je ne voudrais pas que vous vous ennuyiez ... 😇