Lier un nom de domaine OVH à son synology

[Isscool]

Bonjour à tous,

je viens d'acquérir un NAS DS218 et je souhaiterais pouvoir y accéder de l'extérieur en utilisant un nom de domaine OVH. J'ai bien suivi le tuto de @unPixelqui est bien détaillé pour configurer son IP à son domaine. Mais je coince sur la partie suivante pour créer le transfert de port sur notre routeur et l'ouverture sur le pare feu du NAS.

J'ai suivi le tuto de @Kawamashi mais ça ne fonctionne pas. Je ne vois pas où je peux me tromper si c'est dans la configuration de la box ou du NAS. Je possède une livebox 5.

Est ce que certains d'entre vous on déjà eu ce problème ?

Merci pour votre aide.

[christophe2836]

Bonjour,
Sur la Livebox 5 tu dois faire du NAT: rediriger le port 443 vers l’adresse IP locale (préalablement mis en fixe) du NAS.
Ensuite dans le Syno se servir du reverse proxy en déterminant ton nom de de domaine en https (port 443) vers l’adresse Ip locale du Synology (port 5001).


Envoyé de mon iPhone en utilisant Tapatalk

[oracle7]

@Isscool

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit, rassures-toi il n'est pas trop tard pour bien faire ...

2. il y a 2 minutes, Isscool a dit :

   Mais je coince sur la partie suivante pour créer le transfert de port sur notre routeur et l'ouverture sur le pare feu du NAS.

   Tu peux préciser STP ?
   Pour le transfert de port sur la LB5, tu vas dans Réseau > NAT/PAT et là tu crées une règle pour chacun des ports 80 et 443 en TCP pour ton NAS et toutes les IP externes. C'est tout, rien de plus.
   Pour le pare-feu du NAS, il te faut avoir d'une part suivi le TUTO : Sécuriser les accès à son NAS et d'autre part, tu crées une règle d'ouverture/autorisation des ports 80 et 443. Tu t'assures aussi que tu as bien une règle d'ouverture/autorisation des ports de DSM 5000 et 5001.

3. As-tu suivi aussi le  : TUTO Pourquoi et comment utiliser un nom de domaine afin d'avoir correctement configurer la zone locale DNS de ton domaine ?

Cordialement

oracle7😉

[Isscool]

Voilà comment j'ai configuré ça parlera mieux.

pour la question 3 @oracle7 oui j'ai bien suivi le tuto et configurer dans le NAS j'arrive au résultat "statut normal" lorsque je fais le test de connexion.

J'ai bien mis le NAS en IP fixe dans la box @christophe2836

 

 

Modifié le 25 janvier 2022 par Isscool

[christophe2836]

Tu dis dans ton reverse proxy que ton adresse source arrive en 443 alors que dans ta box tu transforme le 443 en 5001 !!
Si tu utilises un certificat ssl. Dirige le 443 interne et externe vers ton NAS.
Ensuite dans ton reverse proxy tu mets en up source ton nom de domaine en 443 vers la destination de l’ip de ton NAS en 5000 (http) ou en nom de domaine aussi et en https si tu utilises le DNS interne Synology pour la résolution du nom.


Envoyé de mon iPhone en utilisant Tapatalk

[Isscool]

C'est justement là que ce n'est pas clair pour moi, je me perd dans tous les chiffres 🙃

Dans la box il faut que je mette port interne et externe en 433 ?

 

 

[Mic13710]

A mon avis, vous n'avez pas bien lu le tuto ou vous l'avez lu en diagonale. Nulle part il est dit de diriger les 80 et 443 vers les 5000 et 5001 du NAS.

C'est le 443 vers le 443 du NAS, le 80 vers le 80 du NAS.

Ensuite, à moins que vous ayez des doutes sur les utilisateurs de votre propre réseau, il est inutile de passer à nouveau en https dans la destination du reverse proxy.

Enfin, vérifiez que vous n'avez pas coché l'option de redirection du http vers le https.

[oracle7]

@Isscool

Bonjour,

Attention dans le Reverse Proxy si pour ta redirection vers le NAS tu utilises dans le nom d'hôte en source le nom de ton NAS, cela ne marchera pas. Il faut utiliser un nom différent. Pour le nom d'hôte en destination il faut mettre "localhost".

@Mic13710 a raison , il est inutile de faire de la sur-sécurité HTTPS sur le réseau local.

Cordialement

oracle7😉

[Isscool]

Je ne comprend pas ou est mon problème.

J'ai bien mis dans la box 433 vers 433 et 80 vers 80.

Désolé pour toute ces réponse c'est peut être pas compliqué à faire mais je passe à côté de quelque chose. 😕

 

 

Modifié le 25 janvier 2022 par Isscool

[oracle7]

@Isscool

Bonjour,

Désolé de te le dire froidement, mais manifestement tu n'es pas attentif à ce que tu fait ou bien il te faut acquérir quelques notions avant de te lancer dans la configuration correcte de ton NAS.

Déjà on parle du port HTTPS 443 et pas du port 433 !

Et le port de destination de ta redirection pour atteindre le NAS (DSM) est le port 5000 et pas 80.

Si j'étais toi, je reprendrais la lecture tous les TUTO qui t'ont été indiqués précédemment, à tête reposée afin de bien comprendre toutes les notions qui y sont abordées. Mais c'est toi qui voit ...

Cordialement

oracle7😉

[Kramlech]

Attention, les amis.

On a là quelqu'un qui n'arrive pas à accéder à son NAS depuis l'extérieur, qui a du mal à comprendre le principe des redirections, et vous lui parlez directement de Reverse Proxy !!!!

Vous voulez le dégouter ou quoi ?

Il faut y aller progressivement (et ne pas passer à l’étape suivante sans que l'étape en cours soit OK) :

1. Paramétrer le nom de domaine chez OVH
2. Arrêter le pare-feu
3. Rediriger le port 5000 vers le port 5000 du NAS
4. Tester http://mondomaine:5000
5. Rediriger le port 5001 vers le port 5001 du NAS
6. Tester https://mondomaine:5001 (l'alerte de sécurité est normale, on peut l'outre passer dans cette phase de test).

Si tout cela fonctionne correctement, on peut :

1. Paramétrer le pare-feu
2. Supprimer la redirection du port 5000
3. Mettre en place son certificat LetsEncrypt pour éviter d'avoir l'alerte de sécurité
4. Et une fois que tout cela est nickel, on a théoriquement compris les principes de la redirection de ports, et du pare-feu, et alors on peut essayer de comprendre ce que fait le Reverse Proxy et le mettre en place.

Mais bon, c'est ma manière de faire ... Si certains préfèrent tout paramétrer en même temps et passer des heure à trouver ce qu'ils ont mal fait !!!

Modifié le 23 janvier 2022 par Kramlech

[oracle7]

@Kramlech

il y a 6 minutes, Kramlech a dit :

et vous lui parlez directement de Reverse Proxy !!!!

Non pas directement car si tu reprends ses posts précédents, il a déjà tout simplement commencer avec un problème de redirection NAT sur sa box et de surcroît avec pas les bons ports. Ensuite il a empilé les problèmes avec sa configuration Reverse proxy alors que pour bien faire il aurait du suivre un schéma tel que tu le décris avant de s'intéresser au Reverse Proxy.

Cordialement

oracle7😉

[Kramlech]

@oracle7 Effectivement, je n'avais pas tilté sur le fait que dans son premier post il parlait aussi du tuto sur le Reverse Proxy... J'en étais resté au fait qu'il coinçait sur les transferts de ports !

[Isscool]

merci @Kramlech je vais tout reprendre depuis le début pour essayer de mieux comprendre.
Merci à tous mais ce n'est pas forcement évident quand cela n'est pas notre domaine...

Modifié le 23 janvier 2022 par Isscool

[oracle7]

@Isscool

Bonjour,

il y a 36 minutes, Isscool a dit :

mais ce n'est pas forcement évident quand cela n'est pas notre domaine...

Je t'entends et comprends bien et c'est bien pour cela qu'il te faut prendre le temps de lire les TUTOs indiqués au moins une fois pour bien saisir toutes les nuances/notions abordées avant de te lancer.

Cordialement

oracle7😉

[Isscool]

Il y a du mieux, après avoir tout recommencé j'arrive a me connecter à mon NAS en tapant dans la barre d'adresse "exemple.ovh" j'ai alors ma page de connexion qui s'ouvre "exemple.ovh:5000".
Ça marche avec mon pc auquel je suis connecté au réseau ou il y a mon NAS par contre si je passe par mon téléphone portable je n'ai aucun accès. Est ce le fait que les ports de ma box ne sont pas ouverts ? Je vais essayer de ne pas griller d'étape c'est pourquoi je me permet de vous demander votre avis.
 

Modifié le 23 janvier 2022 par Isscool

[oracle7]

@Isscool

Bonjour,

Je te propose de suivre cette procédure générique. A toi de remplacer les valeurs génériques par tes propres valeurs. Soit rigoureux et attentif et tout ira bien !

Citation

Si une action ci-dessous ne passe pas ou n'est pas correcte, surtout ne poursuit pas plus avant. Réfléchis et vérifies tes actions précédentes.

 

Si l’@IP externe est fixe, alors il n’y a pas de DDNS à définir dans le NAS ni chez le fournisseur de domaine et dans ce qui suit, il faut supprimer « ddns. » de toutes les URLs citées.

 

Si l’on utilise un domaine en synology.me alors dans ce qui suit, il faut remplacer « ndd.tld» par « synology.me » dans toutes les URLs citées.

Box :

• DHCP actif : Attribuer un bail statique au NAS.

• NAT/PAT : Rediriger les ports 80, 443 et 5000 vers les respectivement les mêmes ports sur le NAS.

• Si une DMZ est définie, supprimer tout dans la DMZ.

• Pour la suite, on suppose de @IP de la Box est 192.168.1.1

• Rebooter la Box.

Sur le PC :

• Dans une fenêtre de CMD en mode admin taper "ipconfig /flushdns" pour vider le cache.

• Dans l'adaptateur réseau (propriétés protocole IPv4) : en DNS préféré --> forcer le DNS Serveur sur l'@IP du NAS, dans DNS auxiliaire --> mettre 80.67.169.12 ou 1.1.1.1, créer un 3ème DNS avec 192.168.1.1 (Box) pour le cas où aucun des deux serveurs DNS précédents ne répondraient pas.
  NOTA : cette configuration est à faire sur tous tes périphériques de ton réseau local (càd forcer le serveur DNS - le 1^er - à utiliser sur l'@IP du NAS).

NAS partie DSM :

• Désactiver le serveur DHCP du NAS.

• Désactiver provisoirement le pare-feu du NAS.

• Entrer dans le champ "nom d'hôte" dans DSM "Accès externe / Avancé" ton domaine "ddns.ndd.tld".

• Depuis l'extérieur, dans un navigateur Web avec cache vidé : taper l'URL http://<@IP Externe>:5000 --> tu dois atteindre le NAS.

• Accès externe :
  • On est bien d'accord que ton DDNS est défini sur ce domaine : "ddns.ndd.tld" et qu'il pointe bien vers ton @IP Externe (i.e. @IP Box). Je pars sur cette hypothèse pour la suite.

  • On vérifie que ton DDNS pointe bien chez toi, en passant la commande "ping ddns.ndd.tld" depuis ton PC . La réponse doit être ton @IP Externe.

  • On vérifie aussi dans un terminal SSH via PuTTY ou WinSCP, sous user root que nslookup ddns.ndd.tld 8.8.8.8, ça doit aussi te faire tomber sur ton @IP Externe.

  • Depuis l'extérieur (tél 4G par ex), dans un navigateur Web : taper l'URL http://ddns.ndd.tld:5000 --> tu dois atteindre le NAS.

• Si tout est OK alors tu peux réactiver le pare-feu du NAS et au passage ouvrir/autoriser les ports 80, 443, 5000 et 5001 dans le pare-feu du NAS. Pour les ports 5000 et 5001 je suppose qu'ils n'ont pas été modifiés dans Accès externe/Avancé et ton nom d'hôte est bien "ddns.ndd.tld".
  Tu peux aussi supprimer la redirection du port 5000 dans le NAT/PAT de la Box (ce n'est plus utile !).

• Réseau/général :
  • Vérifier que la passerelle par défaut est bien l’@IP locale de la Box 192.168.1.1 (LAN1) -- @IP à adapter selon ton sous-réseau local !

  • Cocher configurer manuellement le serveur DNS préféré et saisir l'@IP du NAS, pour le serveur DNS de remplacement tu peux mettre 80.67.169.12 ou 1.1.1.1(Serveurs FND et Cloudfare). Dans "Paramètres avancés" tu coches les 3 cases.

• Réseau/Interface réseau : pour LAN1 configurer avec DHCP automatique. Mais si tu le mets en configuration manuelle, alors : @IPlocaleNAS, passerelle=@IPlocaleBox, Serveur DNS= @IPlocaleNAS, cocher Définir comme valeur par défaut.

• Réseau/Paramètres de DSM : sous DSM6 (inutile sous DSM7) Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy.

• Portails des applications/Applications : Pour les applications, je te conseille de renseigner uniquement les ports HTTP standards.

• Portails des applications/Reverse proxy : (si besoin suivre ce TUTO : Reverse Proxy pour comprendre les tenants et aboutissants de ce qui suit, sous DSM6 – inutile sous DSM7 - ne pas oublier de créer le fichier ".htaccess").
  Définir les redirections à l'image de celle-ci : https://aliasApplication.ddns.ndd.tld:443 --> localhost:portStandardHttpApplication (ne pas oublier de cocher HTTP/2). Soit par exemple dans ton cas : https://nas.ddns.ndd.tld + HTTP/2 coché  --> htttp://localhost:5000  pour le NAS (l'alias "nas" ne doit pas être le nom de ton NAS sinon cela ne marchera pas !) et par exemple https://file.ddns.ndd.tld + HTTP/2 coché  --> htttp://localhost:7000 pour FileStation (attention, c'est trompeur dans le reverse proxy certains champs sont apparemment déjà renseignés, mais il n'en est rien, il faut quand même les renseigner sinon rien n'est pris en compte !).
  La case HSTS ci-dessus n'est pas à cocher si tu n'as pas opté pour le « preloading » voir ici.

Seulement si tu as installé le package DNS Serveur (zone locale uniquement) tu fais ce qui suit. Cela permet d'utiliser en local des URL avec ton nom de domaine plutôt que de saisir à chaque fois une @IP pour atteindre un périphérique, ce qui est plus facile à retenir et plus simple à l'usage. De plus cela permet de contourner le problème des box qui n’autorisent pas le loopback.

NAS Partie DNS Serveur :

• Se référer si besoin à ce TUTO : DNS Server pour la mise en place (Zone, Résolution, Vue).

• Définir les ressources telles que :
  • ns.ddns.ndd.tld. A 86400 @IPduNAS

  • ddns.ndd.tld. NS 86400 ns.ddns.ndd.tld.

  • nas.ddns.ndd.tld. A 86400 @IPduNAS ---> pour accéder directement au NAS (DSM) avec « nas » <> « NomduNAS »

  • *.ddns.ndd.tld. CNAME 86400 nas.ddns.ndd.tld. ---> pour accéder directement aux applications/services du NAS

• Définir les Redirecteurs 1 et 2 sur respectivement 80.67.169.12 et 1.1.1.1

• Pour la zone master et la vue associée limiter les IP sources tel que :
• 
  Ajouter éventuellement le sous-réseau 10.0.0.0/255.0.0.0 si tu comptes faire du VPN.
  
  

·         Enfin Zone DNS chez OVH : tu devrais avoir une ligne du type : *.ddns.ndd.tld CNAME 86400 ddns.ndd.tld.

·         Avec une @IP externe dynamique, tu ne dois pas avoir d'enregistrement de type ndd.tld 0 A @IPexterneBox chez ton fournisseur de domaine (OVH).

 

Bonne configuration ...

Cordialement

oracle7😉