acces externe pour 2 nas

[dom2]

bonjour à tous, je ne sais comment faire.

j'ai 2 nas synology et pour le moment un seul est fonctionnel, l'autre doit être restauré suite à un problème rencontré; ce point est secondaire pour le moment.

je voudrais donc accéder de l'extérieur à ces nas. pour le moment je suis sur le nas2 qui fonctionne sous dsm7.

l'accès externe se fait à partir du nom de domaine "chezmoi.moi.fr" qui est hébergé chez ovh.

mon idée est de faire "chezmoi.moi.fr:5000" pour accéder au nas1 et "chezmoi.moi.fr:5100" pour accéder au nas2.

1) j'ai configuré la livebox, j'ai été dans reseau--> dyndns : j'ai entré ovh-dynhoste, le nom de domaine, l'id utilisateur et le mot de passe.

2) j'ai été dans nat/pat entré nas2, port interne et externe 5100, tcp-udp, équipement : nom du nas et ip externe : toutes

3) dans DNS, équipement reseau local: nom = nas2 face à son ip

4) dans dmz ; je rentre le nom du nas avec son im et son adresse mac

5) dans le nas2, j'ai été dans panneau de configuration--> acces externe --> DDNS-->fournisseur= ovh, nom d'hote = "chezmoi.moi.fr, adresse externe=adresse ip de la box, puis suite à entrée le statut indique "échec"

6) puis dans l'onglet avancé je note 5100

lorsque je fais dans le navigateur chezmoi.moi.fr:5100, le navigateur indique "la connexion a échouée" mais ça fonctionne si je fais chezmoi.moi.fr:5000.

 

j'ai cherché mais je ne sais pas quoi faire, si une bonne âme veut bien se pencher sur ma situation, merci pour l'aide

 

[MilesTEG1]

Le plus simple pi une moi serait de passer par le reverse proxy d’un des nas dont l’ip serait l’unique mise dans la redirection de la box.

en termes de sécurité il serait préférable de n’ouvrir que le port 443 et 80 pour les certificats LE et de les rediriger sur le nas.

sur le nas, dans le reverse proxy il faut parameter comme ceci :

Nas1.chezmoi.moi.fr sur port 443 en https rédige vers lip du nas 1
Nas2.chezmoi.moi.fr sur port 443 en https rédige vers lip du nas 2

il faudra bien sûr que les domaines pointent sur l’adresse iP de ta box . Faisable avec un dynhost si tu n’as pas dip fixe.

[Jeff777]

Bonjour @MilesTEG1

Mais localement il faut se servir du port 5000 non? 

il y a 17 minutes, MilesTEG1 a dit :

Nas1.chezmoi.moi.fr sur port 443 en https rédige vers lip du nas 1

reverse proxy:

Nas1.chezmoi.moi.fr:443  ==>   lipdunas1:5000 et Nas2.chezmoi.moi.fr:443  ==>   lipdunas2:5000

edit : inutile d'avoir des ports différents entre nas1 et nas2 ça n'apporterai que de la confusion

Modifié le 20 décembre 2021 par Jeff777

[MilesTEG1]

@Jeff777 Ha oui en effet 😉 j'ai oublié de mettre les ports par défaut sur l'adresse IP lan 🙂  J'étais pas assez réveillé, et sur le smartphone en plus 😛 

[dom2]

merci à tous pour vos commentaires. je ne connais pas cette fonction reverse proxy et ... je ne la troupe pas pour le moment. j'ai trouvé proxy dans general et reseau mais ça s'arrête là. sur le net je trouve des explication mais j'imagine que ce sont d'ancienne version de dsm.

désolé de ne pas être très futé . je veux bien qu'on me donne les chemins. merci pour l'aide

[Mic13710]

@dom2 sous DSM7 : portail de connexion, onglet Avancé, bouton Proxy inversé

[Jeff777]

il y a 9 minutes, dom2 a dit :

je ne connais pas cette fonction reverse proxy

Tu as un tuto sur le forum :

 

[MilesTEG1]

@dom2 tu sais qu’il y a un champ de recherche dans dsm pour trouver les paramètres ?

[dom2]

bonsoir à tous, je suis "tombé" sur le tuto par hasard, ... j'essaie de comprendre quelque chose et j'ai laissé mon cerveau refroidir ensuite.

edit 1

je viens de m'y remettre :

j'ai donc fait ce qui suit :

1) nas2

2) https

3) nom d'hote nas2

4)443

5) il n' ya a pas chez moi "activer http/2"

6) http

7) localhost

😎 5100

j'avoue comprendre à moitié ce que je fais, est ce que c'est bon ?

merci pour les conseil

edit2

nas2.chezmoi.moi.fr ne fonctionne pas, bon j'ai loupé quelque chose, ah "https://nas2.chezmoi.moi.fr", non pareil

ah en 2) c'est nas2.chezmoi.moi.fr.      non ça ne fonctionne pas

 

Modifié le 20 décembre 2021 par dom2

[Jeff777]

Si tu ne comprends pas un minimum ce que tu fais c'est peut-être un peu risqué non?

7/ Je ne sais pas sur quel nas tu configures le reverse proxy. C'est forcément le nas vers lequel ton routeur redirige les ports 80/443, je suppose que pour toi c'est le nas 1.

Donc pour le reverse proxy du nas 2 il faut mettre l'IP du nas 2 et non localhost parceque localhost c'est le nas1 puisque c'est là que la requête arrive. Logique !

Localhost ce sera uniquement si l'appli est hébergée par le nas où se trouve le reverse proxy. Mais tu peux mettre l'IPdunas1 ce sera plus clair.

5100 🙄 pourquoi s'obstiner à ne pas utiliser les ports par défauts (5000) ce n'est pas grave d'avoir aussi utiliser aussi le port 5000 du nas1 ..ce n'est pas le même équipement donc même numéro mais pas même port.

5/ il n'y a pas http/2 parceque tu est en DSM7

Edit : Ah une faute habituelle que beaucoup font la première fois (c'est du vécu) : les ports 443 et 80 en grisé il faut réécrire dessus sinon ils ne sont pas pris en compte !

 

Modifié le 20 décembre 2021 par Jeff777

[oracle7]

@dom2

Bonjour,

A la lecture de ton post initial, désolé mais je crains que tu n'ai empilé tout un tas de mauvaises (voir de très) configurations.

Point 1) --> Puisque ton domaine est chez OVH, il est inutile de configurer un DynDNS dans la Livebox.

• Donc commences par supprimer ce paramétrage.
• Ensuite, chez OVH tu crées ton DynHost en suivant ce TUTO : Juste un détail à l'étape III, tu ne renseignes pas le champ "subdomain" comme préconisé avec une " * " mais tu le laisses vide. Ainsi tu disposeras d'un dynHost sur ton domaine "moi.fr".
• Puis tu reviens sous DSM et tu configures ton DDNS (" Accés externe > DDNS > Ajouter ") avec les informations issues de ta configuration chez OVH.
• Tu vérifies que ton NAS est bien accessible avec dans un terminal sous SSH avec l'utilisateur root (voir le TUTO : Accés SSH et ROOT via DSM6 si besoin), tu tapes la commande " nslookup moi.fr 8.8.8.8 " cela doit te renvoyer ton @IP externe.
• Au passage, dans la zone DNS chez OVH, tu t'assures qu'il n'y a pas d'enregistrement de type "A" qui fasse pointer ton domaine vers ton @IP externe sinon il faut le supprimer vu que tu as une @IP externe dynamique. Assures-toi aussi d'avoir un enregistrement "wilcard" pour ton domaine càd " *.moi.fr " qui pointe vers ton domaine " moi.fr " à l'aide d'un enregistrement de type CNAME. Soit quelque chose comme cela : " *.moi.fr.  0   CNAME   moi.fr. ". Ainsi tous les sous-domaines en " xxxx.moi.fr " que tu utiliseras seront automatiquement couverts et reconnus valides.
• Enfin, sous DSM, assures-toi d'avoir créé un certificat Let'sEncrypt pour ton domaine " moi.fr " sur le NAS1. Si tu le crées via DSM, dans " Autre nom de l'objet " il te faudra indiquer la liste complète de tes sous-domaines séparés par des ";". Sachant que la chaine de cette liste ne doit pas dépasser 254 caractères.
  Ce certificat créé, tu l'exportes ensuite du NAS1 et tu recharges les fichiers correspondants en les important dans le NAS2. --> Un même certificat pour les deux NAS !
  Maintenant, si tu veux un certificat LE "wilcard", il te faut passer par une autre méthode de création selon que ton NAS supporte ou pas Docker. Voir respectivement ces TUTOs ici (pas docker) et ici (avec Docker).

Point 2) --> Au niveau de la Livebox, tu n'as besoin que de transférer que les ports 80 et 443 de la Livebox vers le NAS 1. Au passage, toujours sur la Livebox, donne une @IP locale fixe à tes NAS 1 et NAS2. Pour cela dans " Mes équipements " tu commences par donner un nom à chacun de tes NAS. Ensuite dans " Réseau > DHCP ", avec l'@MAC de chaque NAS tu attribues à chacun, un bail statique DHCP et une @IP locale choisie impérativement en dehors (< ou > peu importe) de la plage d'attribution automatique du DHCP (début - fin). Reboot ensuite chacun des NAS pour qu'ils récupères cette nouvelle @IP locale.

Point 3) --> Tu peux faire pareil pour le NAS1

Point 4) --> Comme tu n'as pas de routeur autre que ta Livebox pour gérer la sécurité de ton réseau local, il ne faut surtout pas indiquer comme tu l'as fait de DMZ pour ton NAS1 car dans l'état tu l'exposes complétement à Internet sans aucune protection de la Livebox. Très mauvaise fausse bonne idée, donc supprimes tout dans l'onglet DMZ de la Livebox.

Point 5) --> Dans le NAS2, tu n'as pas besoin de définir de DDNS, tout au plus dans " Accés externe > Avancé > Champ Hôte/IPStatique " tu saisis le domaine spécifique à ton NAS2 soit " monnas2.moi.fr ". Pour le NAS1, tu dois avoir configuré le DDNS comme au point 1 ci-dessus et dans " Accés externe > Avancé > Champ Hôte/IPStatique " tu saisis le domaine spécifique à ton NAS1 soit " monnas1.moi.fr ".
Ensuite, tu appliques le TUTO ReverseProxy comme cela t'as été préconisé par @Jeff777 précédemment (suivi les conseils qu'il t'a donné). Ainsi seul ton NAS1 sera la porte d'entrée depuis l'extérieur à ton réseau local. De fait ton NAS2 sera quand même accessible mais protégé par le NAS1. C'est ton NAS1 qui redirigera automatiquement les flux destinés à ton NAS2 vers celui-ci. Nota : les sous-domaines utilisés pour atteindre directement les NAS ne doivent pas reprendre le nom du NAS sinon cela ne marchera pas. Tu fais nas1.moi.fr et nas2.moi.fr par ex mais pas de nomnas1.moi.fr ou nomnas2.moi.fr si tes NAS sont respectivement nommés nomnas1 et nomnas2.

Point 6) --> Il est inutile, sauf à apporter de la confusion pour toi à l'usage, de modifier les ports par défauts du NAS qui doivent rester à 5000 pour HTTP et à 5001 pour HTTPS. C'est encore une fausse bonne idée (trop répandue), car tu ne fais que de retarder d'une minute tout au plus un malveillant qui scannerait les ports de ton NAS pour l'attaquer. Il vaut mieux sécuriser parfaitement le NAS en appliquant les préconisations du TUTO : Sécuriser les accès à son NAS  ce sera bien plus efficace. Maintenant c'est toi qui voit ...

Cordialement

oracle7😉

 

[dom2]

merci jeff777 pour ces précisions.

"Si tu ne comprends pas un minimum ce que tu fais c'est peut-être un peu risqué non? "

j'aime bien apprendre

"Donc pour le reverse proxy du nas 2 il faut mettre l'IP du nas 2 et non localhost parceque localhost c'est le nas1 puisque c'est là que la requête arrive. Logique ! "

ok, sauf qu'actuellement nas1 n'est pas branché

"5100 🙄 pourquoi s'obstiner à ne pas utiliser les ports par défauts (5000) "

c'est tout bête, je pensais faire au départ comme j'ai fait dans une autre maison, mais cette fois le nom est en ddns.net. dans cette maison je fais chezmoi.ddns.net:5000 je pointe vers un serveur gce et lorsque je fais chezmoi.ddns.net:7100 je pointe vers un autre serveur gce. ip800 et rt2. la box dans cet autre maison est une nb6 (sfr)

"5/ il n'y a pas http/2 parceque tu est en DSM7 "

j'ai trouvé http/2 dans dsm7 et il est activé, est ce qu'il faut le désactiver.

 

question, il n'y a vraiment pas la possibilité de faire une réorientation au niveau de la box comme je l'ai fait avec le matériel gce. comme ça si un nas est éteint ça ne perturbera pas ... si j'ai bien compris.

j'ai aussi trouvé ce tuto mais dans l'idéal je trouverais génial que la redirection ou pointage vers un nas ou l'autre se fasse au niveau de la box.

merci pour les conseils

il y a 47 minutes, oracle7 a dit :

Au passage, dans la zone DNS chez OVH, tu t'assures qu'il n'y a pas d'enregistrement de type "A" qui fasse pointer ton domaine vers ton @IP externe sinon il faut le supprimer vu que tu as une @IP externe dynamique. Assures-toi aussi d'avoir un enregistrement "wilcard" pour ton domaine càd " *.moi.fr " qui pointe vers ton domaine " moi.fr " à l'aide d'un enregistrement de type CNAME. Soit quelque chose comme cela : " *.moi.fr.  0   CNAME   moi.fr. ". Ainsi tous les sous-domaines en " xxxx.moi.fr " que tu utiliseras seront automatiquement couverts et reconnus valides.

merci oracle. le site moi.fr je le partage avec mes enfants. enfant1.moi.fr a son site, enfant2.moi.fr a son site, etc. donc je suis moyennement chaud pour le *.moi.fr, je prefere donc quelque chose comme maison.moi.fr qui dirige vers le nas comme ça fonctionne actuellement et qui pointe vers le nas2. c'est parce qu'il y a aussi nas1 que ça me chiffonne à moins de faire maison2.moi.fr

merci, en l'attente de vos lumières, la mienne est basse tension.

 

[Jeff777]

Regarde le message de @oracle7 il faut faire ce qu'il dit avant d'attaquer le proxy inversé.

il y a 3 minutes, dom2 a dit :

ok, sauf qu'actuellement nas1 n'est pas branché

Là ça va devenir compliqué car ta box redirige les requêtes vers le NAS1 (voir point 2 de oracle: tu n'as besoin que de transférer que les ports 80 et 443 de la Livebox vers le NAS 1).

Dans ce cas pour que tu puisses atteindre le nas 2, tu passes par le nas 1 qui hébergera le proxy inversé qui selon l'adresse te redirigera vers le nas2.

il y a 12 minutes, dom2 a dit :

question, il n'y a vraiment pas la possibilité de faire une réorientation au niveau de la box comme je l'ai fait avec le matériel gce. comme ça si un nas est éteint ça ne perturbera pas ... si j'ai bien compris.

Avec le tuto de ma signature j'y arrive en me servant de l'IPV6. Il y a peut-être d'autres solutions. Quoiqu'il en soit je ne te conseille pas de te lancer la dedans.

Fais le "classique" avec le reverse proxy sur le nas1 qui dispatch vers le nas2 pour ce qui le concerne. Mais oui.... ça oblige à avoir le nas1 toujours fonctionnel, même pour joindre le nas2.

[dom2]

il y a 5 minutes, Jeff777 a dit :

Avec le tuto de ma signature j'y arrive en me servant de l'IPV6. Il y a peut-être d'autres solutions. Quoiqu'il en soit je ne te conseille pas de te lancer la dedans.

Fais le "classique" avec le reverse proxy sur le nas1 qui dispatch vers le nas2 pour ce qui le concerne. Mais oui.... ça oblige à avoir le nas1 toujours fonctionnel, même pour joindre le nas2.

ok jeff777 mais dans ce cas ça va attendre car je n'ai pas le temps pour le moment de remettre en route le nas1. je voulais faire "quelque chose de propre et fonctionnel" en attendant de remettre en route le nas1, je vais tout remettre en état pour que l'adresse maison.moi.fr pointe sur le nas2.

merci pour l'aide et en attendant je vais bosser les tutos.

[oracle7]

@dom2

Bonjour,

Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

il y a 43 minutes, dom2 a dit :

donc je suis moyennement chaud pour le *.moi.fr, je prefere donc quelque chose comme maison.moi.fr

Le wilcard dans la zone DNS chez OVH est là pour t'éviter de définir autant d'enregistrements CNAME que tu utilises de sous-domaines. Ni plus ni moins.

Donc cela ne gêne en rien et cela ne t"empêche pas d'utiliser des sous-domaines spécifiques tels que maison.moi.fr bien au contraire et ce sera transparent pour toi.

Attends que ton NAS1 soit opérationnel, pour tout mettre en place pour l'accès externe sinon tu risques de configurer des choses incompatibles pour la suite. Lis bien tous les TUTO en attendant. Maintenant ce que j'en dit ...

Cordialement

oracle7😉

Modifié le 20 décembre 2021 par oracle7

[Jeff777]

il y a 25 minutes, dom2 a dit :

je vais bosser les tutos.

Oui. A plus tard 😉