Accéder au NAS avec le même nom de domaine en local ou via VPN

[FullRacer]

Bonjours à tout les courageux qui liront mon sujet et a ceux qui viendront y trouver des informations.

Avec persévérance et apprentissage les très nombreux sujets et tutos m'ont permis de bien avancer et de mieux comprendre des paramétrages qui m'étaient encore obscures. Pourtant je bute encore sur un problème que je ne sais pas résoudre.

Je souhaiterai accéder à mon DS920+ avec le même nom de domaine (nom canonique) autant à travers le réseau local que par Internet via VPN : monsite.synology.me:port (du domicile, par VPN)

Mais avant d’être bloquer sur ce point, j’en suis arrivé là grâce a tous les tutos et explications sur ce forum. Alors, encore merci à tous les contributeurs.

Pour que vous compreniez ou j’en suis, je vous présente ma configuration réseau :

A) J’ai le modem/routeur de ma box internet qui est connecté sur la fibre par l’entrée WAN.

• Plage réseau : 192.168.1.x
• Je n’utilise aucun service de la box internet (Wifi, DHCP, IPV6), tout est coupé. La box ne me sert que pour la TV

B) J’ai un routeur Asus connecté sur la box internet par l’entrée WAN.

• Le firewall est activé
• Plage réseau : 192.168.2.x

Configuration du routeur Asus :

Paramètres IP du réseau étendu :

• Adresse IP : 192.168.1.11 (adresse statique du routeur Asus)
• Masque de sous-réseau : 255.255.255.0
• Passerelle par défaut : 192.168.1.1 (box internet)

Configuration DNS WAN :

• Serveur DNS :
• Primaire : 192.168.2.3 (Nas)
• Secondaire : 9.9.9.9 (Quad9), car le Nas n’est pas toujours allumé

Adresse IP du réseau Local :

• Adresse IP : 192.168.2.1
• Masque : 255.255.255.0

Dans cette configuration les 2 réseaux sont séparés et je ne peux accéder aux équipements autant dans un sens que dans l’autre. Ce qui est sécurisant mais pas toujours pratique pour configurer la box, car je suis obligé de débrancher le câble réseau de mon ordi d’un routeur a l’autre pour les configurer.

 

C) Configuration NAS Synology

• Le firewall est activé suivant le tuto pour sécuriser son NAS
• Adresse IP : 192.168.2.3
• Masque : 255.255.255.0

• Redirection de http vers https
• Passerelle par défaut : 192.168.2.1 (Routeur Asus)
• DDNS : monsite.synology.me (certificat SSL Let’s Encrypt mis à jour par Synology, pas de port à ouvrir)

Serveur DNS sur le Syno :
C’est lui qui gère le domaine monsite.synology.me (https://www.nas-forum.com/forum/topic/55206-tuto-dns-server/). Il me permet ainsi de valider le certificat sur le bon nom de domaine.
Il me permet de rediriger le nom de domaine monsite.synology.me vers l’adresse IP local pour les ordinateurs connecté au LAN. C’est utile pour les portables qui utilisent "Synology Drive" sans avoir à changer le nom de leur connexion lorsqu’ils se connectent au LAN ou à distance. J’ai suivi en particulier le tuto (https://www.nas-forum.com/forum/topic/55206-tuto-dns-server/) pour le monter correctement.

D) OpenVPN sur le Syno :

• Adresse IP dynamique : 172. x.y.z
• Port : 6215 (par exemple)

Dans le fichier VPNConfig.opvm, j’ai ajouté mon serveur DNS avec dhcp-option DNS 172.x.y.z
Je ne souhaite pas activer l’accès au LAN via le VPN.

Conclusion :

Tout ça fonctionne mais avec des noms différents pour le « sous domaine » ns.monsite.synology.me en local et nas.monsite.synology.me par le VPN car j’ai du ajouter dans mon DNS une entrée de type A avec l’adresse vu par le VPN en 176.x.y.z.

C’est sur ce point qui me fait appel à mes connaissances car je voudrai donc pouvoir accéder toujours au même domaine qu’importe la méthode d’accès à mon NAS (local ou VPN). Je pense qu'il ne manque pas grand chose mais ... merci par avance pour vos coups de mains.

[oracle7]

@FullRacer

Bonjour,

il y a 52 minutes, FullRacer a dit :

car je suis obligé de débrancher le câble réseau de mon ordi d’un routeur a l’autre pour les configurer.

Cà c'est pas normal, ton routeur devrait assurer la passerelle entre les deux sous-réseaux 192.168.1.0 (box) et 192.168.2.0 (LAN routeur). Je ne connais pas le routeur ASUS mais tu as dû raté un truc dans sa configuration.

il y a 59 minutes, FullRacer a dit :

je voudrai donc pouvoir accéder toujours au même domaine qu’importe la méthode d’accès à mon NAS (local ou VPN)

Sur le NAS dans "Accès externe / Avancé " as-tu renseigné le nom d'hôte avec ton domaine "nas.monsite.synology.me" ?

Utilises-tu le reverse proxy du NAS ? Si oui, supprime la redirection http vers https dans "Portail de connexion / DSM " et as-tu bien transféré les ports 443 et 1194 vers ton NAS sur le routeur et les ports 443 et 1194 sont bien ouverts/autorisés dans le pare-feu du NAS ?

Le pare-feu de ton NAS autorise bien les @IP sources des sous-réseaux 192.168.1.0 et 192.168.2.0 ?

Sinon, d'après ce que tu décris, sauf erreur de ma part cela semble cohérent. Juste pour le VPN où tu parles de 172.x.y.z et de 176.x.y.z : une faute de frappe O/N ?

Cordialement

oracle7😉

[FullRacer]

il y a une heure, oracle7 a dit :

Cà c'est pas normal, ton routeur devrait assurer la passerelle entre les deux sous-réseaux 192.168.1.0 (box) et 192.168.2.0 (LAN routeur). Je ne connais pas le routeur ASUS mais tu as dû raté un truc dans sa configuration.

C'est bien ce que je pensais, car le lisais bien que c'était quelque chose qui fonctionnait chez les autres. En plus, il me semble que ca a fonctionné quelque instant puis plus d’accès. Je vais creuser ...

il y a une heure, oracle7 a dit :

Sur le NAS dans "Accès externe / Avancé " as-tu renseigné le nom d'hôte avec ton domaine "nas.monsite.synology.me" ?

Non, car je n'ai rien de public. Tout est fermé hors-mis le port ouvert pour le VPN.

il y a une heure, oracle7 a dit :

Utilises-tu le reverse proxy du NAS ? Si oui, supprime la redirection http vers https dans "Portail de connexion / DSM " et as-tu bien transféré les ports 443 et 1194 vers ton NAS sur le routeur et les ports 443 et 1194 sont bien ouverts/autorisés dans le pare-feu du NAS ?

Le reverse proxy ne met pas utile car j'utilise les applications synology sur les PC et sur les mobiles Android.

 

il y a une heure, oracle7 a dit :

Le pare-feu de ton NAS autorise bien les @IP sources des sous-réseaux 192.168.1.0 et 192.168.2.0 ?

Je viens de faire une correction et d'ajouter 192.168.1.x, mais comme ce réseau ne ne peux pas voir le 192.168.2.x.

 

il y a une heure, oracle7 a dit :

Sinon, d'après ce que tu décris, sauf erreur de ma part cela semble cohérent. Juste pour le VPN où tu parles de 172.x.y.z et de 176.x.y.z : une faute de frappe O/N ?

C'est bien 172.x.y.z. On a beau se relire, des coquilles persistent.

Le VPN n'est pas en mode full, c'est a dire que je ne laisser passer que les requêtes qui son destiné au réseau local.

Merci @oracle7 pour ton expertise 😀

Modifié le 31 janvier 2023 par FullRacer

[oracle7]

@FullRacer

Bonjour,

Dans ton pare-feu la ligne 192.168.0.0/255.255.0.0 OK couvre tes sous-réseaux locaux MAIS elle autorise en même temps 65534 @IP/machines, et 255 sous-réseaux. A mon humble avis tu n'en gère pas autant !

Donc par soucis de sécurité, il est préférable de réduire au strict nécessaire, dans ton cas précis, avec seulement 2 lignes 192.168.1.0/255.255.255.0 et 192.168.2.0/255.255.255.0 soit 2 sous-réseaux de 255 @IP chacun. Maintenant c'est toi qui voit ...

Si tes ports 5000/5001 ne sont pas ouverts dans le pare-feu du NAS, tu ne peut y accèder. On sécurise cela avec une redirection/règle de reverse proxy du type https  nas.monsite.synology.me  443 --> http  localhost  5000. Ainsi seul le port 443 est visible de l'extérieur et seul le domaine nas.monsite.synology.me peut alors accèder au NAS et vu que tu as DNS Server de configuré, cela est valable aussi en local sur le LAN.

A tout hasard, regardes ce TUTO : RT2600ac en DMZ derrière Livebox4 en adaptant à ton routeur ASUS et à ta box, pour t'assurer que ta configuration est bonne.

Cordialement

oracle7😉

Modifié le 31 janvier 2023 par oracle7

[FullRacer]

En effet, @oracle7, j'ai corrigé le firewall le temps que tu rédiges ton message en limitant bien au 2 sous réseaux. Mon message précédent a été modifié.

Par contre, je n'ai pas besoin faire un transfert de port 5000 et 5001 puisque je passe soit par mon réseau local ou par le VPN. Il n'y a donc rien de publique. Le seul port transféré est le port d'OpenVPN. J’accède parfaitement à mon Nas par mon VPN en étant passant par mon smartphone connecté en 4G. Le seul problème c'est que j'ai du rajouter une entrée de type A avec l'adresse IP d’accès au VPN, celle en 172.x.y.z.

Donc je me retrouve avec 2 adresses pour accéder au Nas :
nas.monsite.synology.me --> via VPN
ns.monsite.synology.me --> via réseau local

et moi je voudrai juste ns.monsite.synology.me --> pour le VPN et le réseau local

[oracle7]

@FullRacer

Bonjour,

il y a 20 minutes, FullRacer a dit :

Donc je me retrouve avec 2 adresses pour accéder au Nas :

Ce qui est logique.

il y a 11 minutes, FullRacer a dit :

et moi je voudrai juste ns.monsite.synology.me --> pour le VPN et le réseau local

Sauf erreur de ma part et que je sache, un domaine est et ne peut être associé à (qu'à) une et une seule @IP.

Lors d'une connexion VPN, ton NAS voit son @IP locale "convertie" en une @IP sur le sous-réseau local dédié au VPN, en conséquences et fort de l'assertion précédente, je crains que ton souhait suscité ne soit pas possible (du moins à ma connaissance mais je peux me tromper !).

Cordialement

oracle7😉

[PiwiLAbruti]

@oracle7 Le nom n'est pas le même, donc il n'y a pas de confusion possible entre les deux adresses :

il y a 40 minutes, FullRacer a dit :

nas.monsite.synology.me --> via VPN
ns.monsite.synology.me --> via réseau local

Un nom de domaine peut très bien se résoudre en plusieurs adresse IP (v4 et/ou v6) :

host.domain.tld  A  10.0.0.1
host.domain.tld  A  172.16.0.1
host.domain.tld  A  192.168.0.1

Dans ce cas, une rotation (Round-robin) est effectuée à chaque nouvelle résolution par le client :

host.domain.tld  A  10.0.0.1
host.domain.tld  A  172.16.0.1
host.domain.tld  A  192.168.0.1

host.domain.tld  A  172.16.0.1
host.domain.tld  A  192.168.0.1
host.domain.tld  A  10.0.0.1

host.domain.tld  A  192.168.0.1
host.domain.tld  A  10.0.0.1
host.domain.tld  A  172.16.0.1

...

Évidemment, ce n'est pas le fonctionnement souhaité dans le cas présent.

[FullRacer]

C'est idiot, je ne pensais pas pourvoir enregistrer 1 nom de domaine avec 2 IP différentes dans le DNS. Effectivement cela fonctionne mais de façons intermittente, le temps du roulement d'adresse qui est de plusieurs secondes via le VPN. Par contre en local, aucune blocage, c'est étrange. Je test encore...

ns.monsite.synology.me --> via VPN
ns.monsite.synology.me --> via réseau local.

J'y avais bien pensé, mais pour moi cela n'était pas possible. Du coup, je n'avais même pas essayé 🤪

Bien vu @PiwiLAbruti

[oracle7]

@PiwiLAbruti

Bonjour,

il y a 59 minutes, PiwiLAbruti a dit :

Un nom de domaine peut très bien se résoudre en plusieurs adresse IP (v4 et/ou v6) :

host.domain.tld  A  10.0.0.1
host.domain.tld  A  172.16.0.1
host.domain.tld  A  192.168.0.1

Dans ce cas, une rotation (Round-robin) est effectuée à chaque nouvelle résolution par le client :

Merci encore une fois d'avoir éclairer ma lanterne, je ne connaissais pas cette fonctionnalité de "round-robin". @FullRacer désolé d'avoir été du coup incomplet dans mon propos.

Du coup, pour aller plus loin et mieux comprendre, c'est le DNS server qui exécute la rotation des @IP dans ce cas pour renvoyer/établir la bonne correspondance domaine/@IP ?

Cordialement

oracle7😉

[FullRacer]

@PiwiLAbruti Je te confirme que cela fonctionne parfaitement. J'ai essayé en me connectant au partage de connexion de mon Android via le VPN de mon PC de bureau et tout fonctionne parfaitement. Le DNS répond sur l'instant. J'ai un phénomène étrange à partir de la connexion VPN de mon smartphone Android car a force de rafraichir la page de connexion au NAS, pour tester, j'ai part un moment blocage de 2 minutes environs avant de pouvoir arriver à recharger la page. C'est d'autant plus surprenant que je n'ai pas de message d'erreur qui s'affiche sur les navigateurs que j'ai testé. Ce n'est pas catastrophique mais étrange.

En tout cas, c'est bien la solution à mon problème.

Bravo, vous êtes des champions. 👏

[PiwiLAbruti]

Heu... la résolution d'un même nom en plusieurs adresses n'est pas la solution à ton problème.

Il te faut attribuer l'adresse de ton serveur DNS à tes clients (normalement c'est bon), et publier les zones DNS dans les bonnes vues (une locale/VPN et une distante).

[FullRacer]

il y a 43 minutes, PiwiLAbruti a dit :

Il te faut attribuer l'adresse de ton serveur DNS à tes clients (normalement c'est bon)

Effectivement, sur le LAN le routeur Asus de mon réseau renvoie vers le DNS de mon NAS en primaire et celui de Quad9 en secondaire. Donc c'est bon de ce coté. Rien à faire de particulier coté client. Pour le coté VPN le DNS est spécifier dans le fichier configuration VPNConfig.ovpn (dhcp-option DNS 172.x.y.z).

il y a 46 minutes, PiwiLAbruti a dit :

publier les zones DNS dans les bonnes vues (une locale/VPN et une distante)

Tu veux dire que je dois créer une nouvelle zone master avec le même nom de domaine monsite.synology.me mais cette fois avec l'adresse VPN en 172.x.y.z ? Ça dois pas être ça. Si tu pouvais développer une poil @PiwiLAbruti, Pliizzz

[FullRacer]

Je vais me repencher sur le tuto de @Fenrir sur la configuration du DSN ...

[oracle7]

@FullRacer

Bonjour,

Il y a 17 heures, FullRacer a dit :

Tu veux dire que je dois créer une nouvelle zone master

Non, normalement tu l'as déjà fait, relis bien la réponse de @PiwiLAbruti , il parle de créer des vues spécifiques.

Il y a 18 heures, PiwiLAbruti a dit :

publier les zones DNS dans les bonnes vues (une locale/VPN et une distante)

Cordialement

oracle7😉

[FullRacer]

@oracle7

Bonjour à toi,

Le problème c'est que je ne comprend pas comment le mettre en place ces vues. J'ai fait des essais mais ce n'est pas concluant. J'ai relu le tuto DNS Server et VPN, mais le sujet est survolé a très haute altitude. Dans l'ai de DNS c'est pas plus clair et sur internet on ne trouve pas de référence explicite sur le sujet. Ça doit être réservé a un cercle très fermé.

Un tuyau serait le bienvenue.

Modifié le 1 février 2023 par FullRacer

[oracle7]

@FullRacer

Bonjour,

A titre d'exemple : DANS DNS Server --> Sur les copies d'écrans ci-dessous ne tiens pas compte de la zone 2.168.192.in-addr-arpa.

• Tu crées deux vues telles que : (adaptes les sous-réseaux à ton cas pour les listes d'@IP sources)

• Ensuite pour la vue LAN tu sélectionnes ta zone master (n°1)

 

• Tu crées une seconde zone master sur ton domaine (elle sera indicée (2)) à la quelle tu affectes ta vue VPN.

Cordialement

oracle7😉

[PiwiLAbruti]

Le réseau 192.158.2/24 est autorisé dans deux zones. Seule la première (LAN) sera utilisée pour ce réseau.

Quel est l'intérêt d'avoir deux zones LAN et VPN ? Une zone LAN ne suffit pas pour les deux types d'accès ?

[FullRacer]

Merci @oracle7,

C'est ce que j'avais fait hier soir très tardivement et qui fonctionnait, mais je ne pensais pas que c'était correct du fait de créer 2 masters avec un nom de domaine identique bien qu'il ne point pas sur la même adresse IP.

Donc je résume :

1) Créer 2 ressources DNS
     - A : monsite.synology.me qui pointe sur le 192.168.2.3 (Serveur DNS Local). Je limite aussi la liste des IP sources dans la configuration des "paramètres de zone"
     - B : monsite.synology.me qui pointe sur le 172.16.y.z (Serveur DNS vue par VPN). Je limite aussi la liste des IP sources dans la configuration des "paramètres de zone"

2) Créer 2 "Vues"
    - Vue (1) LAN qui sélectionne les IP sources du réseau local (192.168.2.x) à partir duquel je souhaite accéder au NAS et je le redirige vers la ressource A
    - Vue (2) VPN qui sélectionne les IP sources publique d'OpenVPN (172.16.x.y) à partir desquelles je souhaite accéder au NAS et je le redirige vers la ressource B

Tout fonctionne à merveille et le filtrage supplémentaire sur les plages IP sources est un plus.

Merci énormément pour vos aides.

[oracle7]

@PiwiLAbruti

Bonjour,

Il y a 14 heures, PiwiLAbruti a dit :

Quel est l'intérêt d'avoir deux zones LAN et VPN ? Une zone LAN ne suffit pas pour les deux types d'accès ?

Le TUTO de fenrir, si j'ai bien compris, dit que l'on peut via ces vues, séparer la résolution DNS LAN de celle du VPN ce qui apporterait plus de sécurité.

J'autorisé aussi le sous-réseau 192.168.2.0/24 dans la vue VPN car de mémoire sinon je n'accède pas à mon routeur en VPN via son @IP sachant que et c'est là que je trouve bizarre, j'accède sans problème aux autres périphériques en 192168.2.x mais pas au routeur si je ne fait pas cela. Ton avis STP ?

Cordialement

oracle7😉

[PiwiLAbruti]

il y a 5 minutes, oracle7 a dit :

[...], séparer la résolution DNS LAN de celle du VPN ce qui apporterait plus de sécurité

À moins d'avoir besoin de différencier les accès LAN du VPN, c'est inutile.

Pour l'accès au routeur, tout dépend de l'adresse à laquelle tu souhaites le joindre (son adresse locale ou son adresse VPN ?).

Il y a beaucoup de paramètres qui entrent en compte pour l'accès VPN (pare-feu, routage client, passerelles multiples, ...). Il y a autant de réglages possibles que de fonctionnements souhaités (ou de dysfonctionnements possibles).

[oracle7]

@PiwiLAbruti

Bonjour,

il y a 5 minutes, PiwiLAbruti a dit :

À moins d'avoir besoin de différencier les accès LAN du VPN

Justement c'est mon souhait.

il y a 4 minutes, PiwiLAbruti a dit :

tout dépend de l'adresse à laquelle tu souhaites le joindre (son adresse locale ou son adresse VPN ?).

Avec son @IP locale.

Cordialement

oracle7😉