Configurer plex pour y accéder via une livebox et un routeur

[mandaurelien]

Bonjour.

Je suis forcé de confesser mon incapacité à configurer correctement mon matériel pour accéder à plex en dehors de mon réseau local: des fois ça marche, des fois ça marche pas, et quand ça marche je suis obligé de passer par un relai qui dégrade la qualité (ce qui est bien mais pas top)

L'idée de base serait, en plus d'y accéder depuis chez moi sur mon réseau local, d'y accéder depuis chez les grand parents pour avoir accès à des programmes culturels de haute volée, type pat patrouille (j'ai honte).

Ayant investi récemment dans un DS920+ et un plex pass, je pensais que le plus dur était comme mes économies, c'est à dire derrière moi. Plot twist: non.

Pour tester l'accès hors de mon réseau local j'utilise mon smartphone (galaxy S20fe) et l'application plex téléchargée sur le amazon prime appstore (c'est donc l'application payante).

Au niveau matériel je dispose de

• Synology DS920+ (équipé de 4go de ram supplémentaires)
• livebox 5 fibre 2gb
• routeur TP Link Archer C6

Au niveau logiciel/configuration j'ai donc le plex pass et pour le reste il semblerait que j'ai omis les œufs de caille (référence de vieux)

 

J'ai cherché (mal sans doute) mais je ne trouve pas d'information claire sur comment configurer la livebox, le routeur et même plex.

Sur ma livebox 5 j'ai configuré ceci:

 

Sur le routeur TP Link Archer C6 j'avais mis ces paramètres NAT

Au moment de la capture, je me suis rendu compte que sur certains tutoriels il était indiqué 32401 pour le port externe, je viens d'essayer: aucun changement

J'ai essayé d'activer DMZ sur le NAS, j'ai finalement désactivé ça ne changeait rien non plus. (mais je ne suis pas sûr de quelle adresse IP utiliser dans ce cas de figure: j'ai mis une adresse IP locale fixe à mon DS920 sur le routeur, je me demande si c'est bien celle-ci que je dois indiquer)

Concernant plex j'ai alternativement soit "Non disponible en dehors de votre réseau local" soit "totalement accessible depuis l'extérieur de votre réseau", il suffit de cliquer sur "réessayer" en dessous pour que ça remarche quelques secondes/minutes.

 

Et dans l'onglet Réseau, si je décoche "Activer le relais", ça ne marche plus du tout.

 

J'arrive au bout de mes connaissances, je ne sais pas résoudre mon problème tout seul: est-ce que j'ai raté un truc sur la configuration

A - la box

B- du routeur

C - de plex

D - la réponse D

Si un certain Obi One lit ce message, il est mon seul espoir

 

Merci.

 

 

[mandaurelien]

Alors j'ai déjà passé un peu de temps par ci par là au cours des dernières semaines, et là au bout de presque 4 heures je crois que je tiens une piste sérieuse.

Donc pour tous les ports entrants et sortant listés plus haut (livebox et routeur), j'ai configuré le 32400 en tcp et udp.

Dans plex j'ai spécifié manuellement le port 32400

J'ai par contre découvert que j'avais un paramètre routeur sur le synology, j'y ai ouvert les ports 32400 et...on dirait bien que ça fonctionne. J'ai pu désactiver le relais plex et je lis de façon native les vidéos sans problème depuis mon téléphone en 4g

[.Shad.]

Hello,

Si tu parcours le sujet sur la sécurité donné par @Mic13710 dans ta présentation, tu y liras que la "configuration du routeur" une fonction à proscrire car faille de sécurité majeure.
N'importe quel malware pourrait ouvrir ton NAS à tous les vents.

La redirection de port ou port forwarding est quelque d'assez simple à mettre en place.
Est-ce que ton routeur vient se placer derrière ta box ?

Si oui, je te conseille de placer ton routeur dans la DMZ de la Livebox, et tu pourras supprimer tes redirections de port dans celle-ci.
Car c'est vers le routeur que tous les ports seront automatiquement redirigés.

Dans ton routeur TP-Link, ce n'est pas du port triggering que tu dois mettre en place mais du port forwarding.
Le port triggering est une ouverture qui se déclenche à la demande, mais la demande doit venir de l'intérieur du réseau et pas de l'extérieur.

La règle est sensiblement la même que celle dans ton port triggering.

Donc DMZ Livebox -> Routeur + règle de port forwarding du port 32400 => tu arrives aux portes du NAS.
A ce niveau-là, il te faudra autoriser le port 32400 pour les IP qui t'intéressent, donc j'imagine les IP locales + par exemple une géolocalisation française.

Normalement, tu seras en mesure d'accéder à ton NAS à distance en liaison directe après avoir vérifié tous ces points.

En l'état, ce sera une connexion HTTP, pas HTTPS, ce qui présuppose qu'un Man In The Middle (MITM) pourrait intercepter tes identifiants, même si c'est peu probable.

Si vraiment tu veux avoir un accès distant robuste, mes conseils :

• Te concentrer sur la sécurité et la surface d'exposition de ton NAS via le tutoriel : [TUTO] Sécuriser les accès à son nas - Tutoriels - NAS-Forum 
• Appliquer ce que je t'ai dit plus avant, et vérifier que l'accès distant est fonctionnel
• Désactiver l'accessibilité du port de Plex à distance temporairement dans le pare-feu du NAS
• Mettre en place le proxy inversé pour sécuriser ton accès distant : [Tuto] Reverse Proxy - Tutoriels - NAS-Forum

 

Modifié le 14 avril 2023 par .Shad.

[MilesTEG1]

@mandaurelien Je te croise ici aussi ^^
Suis bien les conseils de @.Shad. !

[mandaurelien]

Il y a 4 heures, .Shad. a dit :

Si vraiment tu veux avoir un accès distant robuste, mes conseils :

• Te concentrer sur la sécurité et la surface d'exposition de ton NAS via le tutoriel : [TUTO] Sécuriser les accès à son nas - Tutoriels - NAS-Forum 
• Appliquer ce que je t'ai dit plus avant, et vérifier que l'accès distant est fonctionnel
• Désactiver l'accessibilité du port de Plex à distance temporairement dans le pare-feu du NAS
• Mettre en place le proxy inversé pour sécuriser ton accès distant : [Tuto] Reverse Proxy - Tutoriels - NAS-Forum

 

Salut, merci pour ta réponse alors dans l'ordre:

J'ai repris le tutoriel pour la sécurité, je n'ai pas gagné de badge steam mais j'ai quand même tout bien fait (et viré les règles de pare feu: pourquoi ça s'est mis à fonctionné quand j'ai fait ça précisément? J'en sais rien. Pourquoi ça continue à fonctionner maintenant que j'ai supprimé ces règles? Pas mieux).

Alors la box est reliée à internet, sur ladite box la seule chose de connectée est mon routeur qui distribue internet à tout le monde.

Je viens de mettre en place le DMZ (c'est une connerie de dire que c'est un peu comme un mode bridge?) et décoché la règle NAT de la livebox.

 

Pour le routeur, et le port triggering/forwarding peu importe l'onglet que je sélectionne c'est le même réglage/paramètre (virtual servers ou port triggering): NAT Forwarding n'est en gros qu'un marque page pour accéder aux onglets ALG/Virtual Servers/Port Triggering/DMZ/UPnP. Pour le coup je n'ai pas activé le DMZ du routeur.

 

Quand tu dis "Donc DMZ Livebox -> Routeur + règle de port forwarding du port 32400 => tu arrives aux portes du NAS.
A ce niveau-là, il te faudra autoriser le port 32400 pour les IP qui t'intéressent, donc j'imagine les IP locales + par exemple une géolocalisation française." je pense que j'ai bon, c'était dans le tuto de sécurité partie pare feu ou alors je me trompe? (oui moi j'aurai besoin d'y accéder depuis la Suisse, rapport à de la sauvegarde de chocolat dans le cloud)

 

Prochaine étape le proxy inversé, mais peut-être pas aujourd'hui

[.Shad.]

il y a 27 minutes, mandaurelien a dit :

Pour le routeur, et le port triggering/forwarding peu importe l'onglet que je sélectionne c'est le même réglage/paramètre (virtual servers ou port triggering): NAT Forwarding n'est en gros qu'un marque page pour accéder aux onglets ALG/Virtual Servers/Port Triggering/DMZ/UPnP. Pour le coup je n'ai pas activé le DMZ du routeur.

Si je suis cette vidéo, c'est un virtual server que tu dois créer du coup, et pas un port triggering comme dans ton impression d'écran.
Il ne faut rien mettre dans la DMZ du routeur en effet.

il y a 28 minutes, mandaurelien a dit :

Je viens de mettre en place le DMZ (c'est une connerie de dire que c'est un peu comme un mode bridge?) et décoché la règle NAT de la livebox.

Vu de loin oui, vu de près non. Quand tu es en bridge mode, ce n'est plus juste un transfert de toutes les règles NAT vers le périphérique mis dans la DMZ. C'est la possibilité d'obtenir directement sur la patte WAN une IP publique de la part de ton FAI. Le modem n'est vraiment plus que là pour la connectivité avec le FAI, tout le reste est délégué au routeur en aval.

il y a 33 minutes, mandaurelien a dit :

je pense que j'ai bon, c'était dans le tuto de sécurité partie pare feu ou alors je me trompe? (oui moi j'aurai besoin d'y accéder depuis la Suisse, rapport à de la sauvegarde de chocolat dans le cloud)

Ils sont encore meilleurs en Belgique. 😉 
La règle avec le port source n'a pas lieu d'être, car le client utilisera le port qu'il veut au sortir de sa machine. Tu peux également limiter à TCP au lieu de TCP/UDP.
Je ne vois le 32401 nulle part dans leur doc :

What network ports do I need to allow through my firewall? | Plex Support

A priori, en l'état, si ton serveur est déjà configuré (il faut se connecter à l'UI la première fois localement pour "claim" le serveur), tu devrais pouvoir y accéder via http://IP_PUBLIQUE:32400

Remarques :

• Il est plus pratique d'avoir un petit nom de domaine pour atterrir chez soi, Synology en fournit un gratuitement, ou tu peux en acheter un pas cher (quelques € par an)
• Pas de chiffrement des données en l'état

il y a 42 minutes, mandaurelien a dit :

Prochaine étape le proxy inversé, mais peut-être pas aujourd'hui

Oui, il faut un peu de temps pour bien comprendre comment ça fonctionne, donc pas de précipitation. 😉