VPN ou reverse proxy

[Mickaël DRJ]

Bonjour,

A force de parcourir les [tutos], j'ai le servo qui bouillonne! Quel beau travail réalisé par cette communauté!

Je viens de mettre en place un VPN sur IOS pour l'accès à mes app et fichiers de mon Syno depuis l'extérieur.

Et la je tombe sur les différents tuto du reverse proxy.

Niveau sécurité vous prioriseriez un fonctionnement VPN au proxy inverse? (si ce n'est juste pour l’utilisation d'application comme "Synology drive" qui fonctionne en Https sur IOS.)

L'Inconvénient du VPN, c'est qu'il n'est pas autorisé dans tout les pays, j'ai donc autorisé l'ouverture du port du VPN seulement vers la France.

Cela dit, je n'abandonnerais pas mon VPN donc si j'utilise le reverse proxy, cela me fera un port de plus ouvert. (Ce point là j'en suis conscient)

Mais le reverse proxy, lui est autorisé dans tout les pays?

Même si il n'est pas conseillez d'ouvrir le port 443 pour tout le monde, il est surement possible de le faire, si par exemple il y a un bon IDS ou IPS [ (Fail2ban ou Snort) sujet que je vais creusé prochainement].

J'attends vos avis.

 

Autre question à l'occasion: - Les sous domaine son gratuit? sur mon pack domaine chez ionos, c'est indiqué illimité, mais le cout je n'arrive pas à le trouvé...

 

 

Modifié le 2 mars 2022 par Mickaël DRJ

[oracle7]

@Mickaël DRJ

Bonjour,

il y a 33 minutes, Mickaël DRJ a dit :

Niveau sécurité vous prioriseriez un fonctionnement VPN au proxy inverse?

Ne mélanges pas les notions si tu veux bien !

VPN et Reverse Proxy sont deux choses différentes et n'ont pas la même finalité.

1 - En deux mots, un VPN est un "tuyau" étanche vis à vis de l'extérieur qui permet de connecter un client à un serveur d'une manière sécurisée et "invisible". C'est un peu comme si le client était connecté directement localement au serveur via un câble Ethernet, même si en réalité la liaison passe Internet.

Il existe en quelque sorte deux types de VPN qui peuvent être utilisés de deux manières : une pour sortir de ton réseau local vers internet, ou une autre pour entrer dans ton réseau local.

• Pour sortir de ton réseau local :

Dans ce cas tu utilises un VPN "commercial" (comme NordVPN par ex). Ces VPN permettent de connecter un client (ton PC, ton NAS) sur un serveur, puis sortir sur internet depuis ce serveur. Cela permet (entre autre) de masquer ton @IP personnelle. L'@IP que verront les sites sur lesquels tu te connecteras, sera celle que te fournira le serveur VPN sur lequel tu seras connecté.

Donc si tu connectes ton NAS en tant que client d'un tel VPN, ton NAS ne sera connu d'internet que via l'@IP que t'aura donné le VPN, et en aucun cas ton @IP personnelle. Et si tu veux te connecter sur ton NAS dans ce cas, il faudrait que tu y accèdes non pas par ton @IP perso, mais par l'@IP de ton serveur VPN. Et en plus, il faudrait que ton serveur VPN accepte de rediriger ta requête entrante vers ton NAS, ce qui est généralement pas prévu avec les VPN commerciaux.

Donc si tu connectes ton NAS sur un VPN commercial, tu ne pourras plus le joindre depuis l'extérieur.

• Pour entrer dans ton réseau local :

Dans ce cas, c'est ton NAS qui est le serveur VPN. Ce serveur est accessible depuis internet via ton adresse IP personnelle. Et tu peux donc te connecter sur ce serveur VPN depuis n'importe que poste de travail, et être comme si tu étais connecté en local...

Par contre le NAS permet d'activer trois types de serveurs VPN : PPTP (à éviter car sa sécurisation a été cassée depuis longtemps),  OpenVPN et L2TP/IPSec. Pour se connecter à ces serveurs, il faut avoir le client correspondant installé sur son poste de travail. Pour OpenVPN, il faut installer le client OpenVPN. Par contre pour L2TP/IPSec, les clients font partie intégrante de certains système d'exploitation (iOS, Windows 10 ...), et ne nécessitent donc pas d'installation spécifique.

2 - Un proxy inversé en quelques mots :
C'est un frontend, qui va permettre de rediriger, suivant des critères définis en amont, un nom de domaine vers un service en particulier, le backend. Généralement c'est le nom de domaine demandé qui va permettre d'orienter la demande vers le périphérique concerné.

Une fois le proxy inversé en place, deux choses vont activer le mécanisme du proxy inversé, le nom de domaine demandé (par ex nas.ndd.net) et le port (443). C'est l'association de ces deux critères qui va, lorsque tu auras créé l'entrée appropriée, permettre au frontend de dire que ça correspond au backend (service en arrière-plan) officiant par ex dans le cas d'une redirection vers DSM (mais c'est valable pour tout autre application/service) sur : @IPlocaleNAS:5000 (ou localhost:5000 vu que le proxy inversé et DSM sont sur la même machine) en HTTP ou @IPlocale:5001 (localhost:5001) en HTTPS. Pour la destination cible on recommande d'utiliser le port HTTP lorsqu'on passe par un proxy inversé car il est inutile et même voire contre productif de faire du HTTPS sur le réseau local.

ATTENTION : Sous DSM6 si tu utilises le port HTTP, la redirection HTTP -> HTTPS doit être désactivée dans le paramétrage du NAS (voir tutoriel sur la sécurisation, c'est précisé noir sur blanc).

Ta requête aboutira alors sur la page de login de DSM (pour une redirection vers le NAS)

À aucun moment on ne passe par le routeur/box dans cette chaîne, il intervient juste en amont dans l'adresse DNS qu'il aura poussée par son serveur DHCP.

Enfin, lorsque tu utilises depuis l'extérieur une connexion avec un nom de domaine, saches que celle-ci n'est "sécurisée" que lorsque tu passes par du HHTPS. Sécurité d'ailleurs toute relative dans la mesure où ton flux peut-être espionné alors qu'avec le VPN il ne peut pas l'être.

Maintenant la limitation géographique du port HTTPS 443 dépend essentiellement de tes habitudes de surf sur la toile. Bon nombres de serveurs sont quand même situés hors de France. Donc c'est toi qui voit ....

Cordialement

oracle7😉

 

[Mickaël DRJ]

@oracle7

Encore un grand merci

Pour tes réponses ressemblant plus à un tuto qu'une réponse 😘

 

Modifié le 2 mars 2022 par Mickaël DRJ