Certificat vs. accès direct au NAS via son IP sur réseau local

[adelac]

Bonjour,

Lorsque j'accède à mon NAS directement en utilisant son adresse IP sur le réseau local dans un navigateur, j'obtiens le message "Votre connexion n'est pas privée..." et "Non sécurisé" s'affiche en haut à gauche du navigateur dans la barre d'adresse.

Comment puis-je éviter ça ?

PS : pour les accès externes, je n'ai pas le problème car j'ai bien configuré le certificat Let's Encrypt.

Modifié le 2 novembre 2021 par adelac
Coquilles

[oracle7]

@adelac

Bonjour,

Tu configures le Reverse Proxy (voir TUTO : Reverse Proxy) ayant pris soin de transférer (NAT) les ports 80 et 443 de la box vers le NAS et ouverts/autorisés ces mêmes ports dans le pare-feu du NAS. ATTENTION, dans Réseau/Paramètres de DSM : bien Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy. Ainsi tu pourras accéder à tes applications/services en local avec un sous-domaine en URL "alias.ndd.tld". La redirection (spécifique) vers le NAS ne doit pas utiliser en alias le nom du NAS mais autre chose (dsm.ndd.tld, nas.ndd.tld, toto.ndd.tld, etc ...) sinon elle ne fonctionnera pas !

Éventuellement si en plus ta box ne gère pas le loopback, tu peux compléter cela en configurant une zone DNS locale pour résoudre tes URL avec tes sous-domaines en @IP locales. Pour cela installer le package DNS Serveur sur ton NAS (voir TUTO : DNS Server).

Cordialement

oracle7😉

Modifié le 2 novembre 2021 par oracle7

[adelac]

Merci une fois de plus @oracle7

Il y a 2 heures, oracle7 a dit :

Tu configures le Reverse Proxy (voir TUTO : Reverse Proxy) ayant pris soin de transférer (NAT) les ports 80 et 443 de la box vers le NAS et ouverts/autorisés ces mêmes ports dans le pare-feu du NAS. ATTENTION, dans Réseau/Paramètres de DSM : bien Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy. Ainsi tu pourras accéder à tes applications/services en local avec un sous-domaine en URL "alias.ndd.tld".

J'ai déjà suivi ces instructions et ça fonctionne bien. Mais la question (peut-être idiote) était pour se connecter au NAS en utilisant directement son IP locale sans obtenir le message d'alerte.

En fait, est-ce que, dans cette configuration avec Reverse Proxy, quand j'accède à mon NAS via une adresse type dsm.ndd.tld, les échanges restent en local ou ils passent par l'extérieur ?

Il y a 2 heures, oracle7 a dit :

Éventuellement si en plus ta box ne gère pas le loopback, tu peux compléter cela en configurant une zone DNS locale pour résoudre tes URL avec tes sous-domaines en @IP locales.

Désolé, mais là, pour moi, c'est du chinois ! J'ai une Freebox Pop et je suis incapable de dire si elle gère le loopback.

Il y a 3 heures, oracle7 a dit :

Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy.

Mes NAS sont en DSM 7 et la case est cochée. Pourtant le reverse proxy fonctionne bien. 

Quand je dis que la case est cochée, c'est à la fois dans "Portail de connexion/DSM", dans "Portail de connexion/Applications" et dans "Portail de connexion/Avancé/Proxy inversé".

[Kramlech]

il y a une heure, adelac a dit :

Mais la question (peut-être idiote) était pour se connecter au NAS en utilisant directement son IP locale sans obtenir le message d'alerte.

Moi, je vais poser une autre question idiote : depuis ton réseau local, est-ce que tu as vraiment besoin de te connecter en HTTPS ? Tu as vraiment peur que les échanges entre ton PC et ton NAS soient écoutés et piratés par les membres de ta famille ?

Si ce n'est pas le cas, tu peux simplement utiliser le HTTP et avec l'IP locale et plus de problème de certificat !!! Et en plus tu soulages un peu la charge de ton NAS en évitant la phase de chiffrement des échanges ...

[Mic13710]

Pour compléter ce qui a été dit : une adresse IP ne peut pas avoir de certificat. Ce dernier s'applique uniquement à un nom de domaine. Il est donc normal qu'une requête https vers une adresse IP ne peut que renvoyer le message en question, et hormis d'accepter l'exception, il n'y a rien à faire contre ça. Seule solution : passer par un ndd couvert par le certificat.

Maintenant, comme le dit @Kramlech, à moins d'avoir des membres de la famille peu scrupuleux et capables d'intercepter une liaison http, il y a peu de chance de se faire pirater sur un réseau local domestique. On peut très bien dans ce cas passer en http ce qui de facto se fait sans certificat.

 

[oracle7]

@adelac

Bonjour,

Il y a 1 heure, adelac a dit :

Mais la question (peut-être idiote) était pour se connecter au NAS en utilisant directement son IP locale sans obtenir le message d'alerte.

Quand tu te connectes en https avec une @IP tu aura toujours une alerte de sécurité de la part de ton navigateur Web qui lui cherche à contrôler qu'il y existe un certificat SSL valide pour autoriser la connexion. Or, un certificat SSL n'est JAMAIS défini pour un @IP mais seulement pour un domaine précis et ses sous-domaines associés.

Si tu souhaites te connecter impérativement en https avec une @IP, il te faut accepter l'exception de sécurité sauf, comme te l'as dit précédemment @Kramlech, si tu as des utilisateurs malveillants chez toi aux quels tu ne peux pas faire confiance. Mais là c'est toi qui voit ...

Bon bah grillé sur ce point par @Mic13710 ....

il y a une heure, adelac a dit :

J'ai une Freebox Pop et je suis incapable de dire si elle gère le loopback.

Essaies simplement depuis un PC de ton réseau local de te connecter avec un nom de domaine à une application/service de ton NAS. Si cela passe c'est que ta box accepte le loopback. Sinon ta connexion échouera (si bien entendu tu n'as pas mis en place de zone DNS locale).

Il y a 1 heure, adelac a dit :

Mes NAS sont en DSM 7 et la case est cochée. Pourtant le reverse proxy fonctionne bien. 

Quand je dis que la case est cochée

Je te parle de dans "Portail de connexion/DSM", pour les autres cas que tu cites, sauf erreur de ma part, c'est autre chose et je crains que tu ne mélanges alors les fonctionnalités sur ce point.

Cordialement

oracle7😉

[adelac]

il y a 43 minutes, Kramlech a dit :

Moi, je vais poser une autre question idiote

Pas con du tout la question, @Kramlech!

il y a 44 minutes, Kramlech a dit :

tu peux simplement utiliser le HTTP et avec l'IP locale et plus de problème de certificat !!!

Ca fonctionne nickel. J'ai juste ouvert le port HTTP pour les IP locales et décoché la case "Rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM".

 

Donc, sauf erreur de ma part, de l'extérieur il est toujours obligatoire de se connecter en HTTPS.

Merci aussi à @oracle7 et @Mic13710