Accès Apps Synology & OpenVPN

[Kramlech]

Le 21/03/2025 à 9:19 AM, Skarabaus a dit :

 mais impossible de m’y connecter via le DDNS depuis le réseau local (RJ45/Wifi).

Je n'ai pas relu en détail tout le post ( ça part un peu dans tous les sens, et je n'arrive pas à déterminer quelles couches fonctionnent et quelles couches ne fonctionnent pas)

Mais quand je vois ce type de question (impossible de me connecter via un ndd depuis un réseau local), la première question qui me vient à l'esprit, c'est : est-ce que mon routeur (que ce soit une box ou un routeur dédié) gère bien le loopback ?

[CyberFr]

il y a une heure, Skarabaus a dit :

- En local, depuis mon Mac via Safari, je peux me connecter à 192.x.x.x (affichage de navigation non-privée donc je l'outrepasse).

Tu devrais consulter le tuto Tout ce que vous avez toujours voulu savoir sur les réseaux sans jamais oser le demander afin de bien faire la différence entre réseau local et réseau étendu. Tu devrais également relire le tuto sur la sécurisation des NAS parce que j'ai l'impression que tu ne l'as pas appliqué à la lettre d'où les problèmes que tu rencontres.

[Mic13710]

Il faut assigner le certificat aux applications. C'est dans la page des certificats, bouton Gérer ou paramétrer selon les versions de DSM.

Je n'ai pas lu tout le sujet mais si vous cherchez à joindre votre NAS en local avec votre DDNS, il faut soit que votre routeur fasse du loopback, soit que vous paramétriez un serveur DNS local qui sera en mesure de résoudre les adresses de votre ndd localement. Cette dernière option est préférable au loopback puisqu'elle ne sollicite le CPU du routeur. Vous trouverez un tuto sur le serveur DNS dans la section des tutoriels. Vous pourrez par la suite le compléter par le Reverse proxy pour utiliser des ndd spécifiques pour les applications et aussi limiter l'utilisation des ports au port https par défaut (443)

[Skarabaus]

Bonsoir @Kramlech 
Le début du post concernait un problème que j'ai préféré résoudre en partant sur un Factory Reset. Afin de partir sur une balle neuve à partir de ce moment. Pour le Loopback, c'est une très bonne question ! Merci ! Je vais essayer de trouver l'information pour la BBox Fit.

 

Bonsoir @CyberFr 
Pour moi le LAN c'est à l'intérieur du domicile et le WAN c'est dès que j'en sors, mais je vais aller jeter un oeil à ton lien. Pourtant j'ai suivi le tutoriel dans l'ordre, sans chercher à passer d'une étape à l'autre. Je n'ai ni activé, ni désactivé des choses que je ne connais/maîtrise pas (SSH non activé par exemple).

 

Bonsoir @Mic13710 
Actuellement voici la table des Services associés au certificat Synology.me créé après mon Reset Factory + Tuto Sécurisation.
Désolé de vous déranger avec tous mes problèmes.

Merci du rappel pour le Tuto DNS ! Je vais aller voir si la mise en place d'un DNS Server est dans mes cordes... 

[.Shad.]

Le 20/03/2025 à 8:47 PM, Skarabaus a dit :

Alors j’ai refais un tour dans ma configuration et le tutoriel, je ne comprends pas là où j’ai cafouillé.

Je ne pense pas qu’il y aient d’erreurs de la part de l’auteur @.Shad. mais je pose la question, dans le doute…

[...]

À quelle information dois-je me fier ?

Merci de ton retour, je vais corriger.

[Skarabaus]

Je déterre mon sujet après tout ce temps, entre NAS éteint et tenter de relire les tutos et revenir sur les mises à jour des tutos. Bref, j’ai mis du temps.

Hier, j’ai supprimé le DDNS et mon certificat de mon ancien passage ici et recrée un nouveau DDNS en cochant directement l’obtention du certificat LE (pour les wildcard je verrais bien à terme).

Hier soir, depuis mes idevices :

- en local chez moi je ne pouvais joindre mon NAS sans me taper l’alerte de sécurité (DS Finder).

- via OpenVPN en rentrant l’@IP, même chose.

 

Ce midi, je relance OpenVPN, me connecte en 10.x.x.x depuis :

- Safari et j’ai accès à la page de connexion du NAS (port 5001).

- Depuis les applications mobiles DS Drive & DS File, j’ai accès à mon NAS via les applications respectives.

 

A part les règles de part feu (Tuto Sécurisation) et port VPN ouvert dans le NAS et dans le routeur, je n’ai pas ouvert ceux des applications. Auparavant c’était une tannée et là d’un coup, j’ai l’impression que c’est fonctionnel en y mettant 10.x.x.x partout. Ça vous paraît « normal » ?

 

[CyberFr]

il y a une heure, Skarabaus a dit :

Hier, j’ai supprimé le DDNS et mon certificat de mon ancien passage ici et recrée un nouveau DDNS en cochant directement l’obtention du certificat LE (pour les wildcard je verrais bien à terme).

C'est ce qu'on appelle persévérer et on peut dire que tu ne te laisses pas décourager 😀 Bravo !

il y a une heure, Skarabaus a dit :

Hier, j’ai supprimé le DDNS et mon certificat de mon ancien passage ici et recrée un nouveau DDNS en cochant directement l’obtention du certificat LE (pour les wildcard je verrais bien à terme).

Si tu passes par les certificats Let's Encrypt tu n'a pas vraiment besoin de DDNS si ta box a une adresse IP fixe. Il a été fait mention ci-dessus du tuto sur le serveur DNS de Synology. Tu devrais t'y intéresser parce qu'un certificat par nom de domaine par opposition à un certificat wildcard est plus puissant, plus souple et tout aussi facile à gérer.

 

il y a une heure, Skarabaus a dit :

A part les règles de part feu (Tuto Sécurisation) et port VPN ouvert dans le NAS et dans le routeur, je n’ai pas ouvert ceux des applications.

C'est normal parce que lorsque tu accèdes au NAS en utilisant OpenVPN tu es sur le réseau local (LAN) où tous les ports sont ouverts par défaut.

[Skarabaus]

il y a une heure, CyberFr a dit :

C'est ce qu'on appelle persévérer et on peut dire que tu ne te laisses pas décourager 😀 Bravo !

Merci @CyberFr bon c’est pas encore gagné car beaucoup d’aller-retours entre les pages je m’y perds pas mal en plus de la datation.

 

il y a une heure, CyberFr a dit :

Si tu passes par les certificats Let's Encrypt tu n'a pas vraiment besoin de DDNS si ta box a une adresse IP fixe. Il a été fait mention ci-dessus du tuto sur le serveur DNS de Synology. Tu devrais t'y intéresser parce qu'un certificat par nom de domaine par opposition à un certificat wildcard est plus puissant, plus souple et tout aussi facile à gérer.

Auparavant j’avais un Wildcard. Cette fois j’ai voulu tenter directement à la création du DDNS.

Pour info, OpenVPN en Split Tunnel, la box est en IP Fixe (Bbox), et ce matin j’ai Ping le NAS et le DDNS, il y a bien des paquets qui transitent.

Par contre toujours impossible avec le DDNS de me connecter depuis Safari en 4G (je n’ai pas ouvert le port et les règles de pare-feu sont uniquement pour le réseau local & VPN). Et je n’ai pas forcément envie d’ouvrir le port 5001.

Pour le tuto DNS Server oui je sais que je doit mettre les mains dedans mais étant novice, je sens que je vais repartir pour des jours de problèmes (je suis plutôt bon là-dedans) et tout réinitialiser de nouveau. Pareil pour le Reverse Proxy, je dois me forcer mais passer par tout ça juste pour donner un accès type famille, c’est lourd 😅

il y a une heure, CyberFr a dit :

C'est normal parce que lorsque tu accèdes au NAS en utilisant OpenVPN tu es sur le réseau local (LAN) où tous les ports sont ouverts par défaut.

Hum ok, je pensais que je devais ouvrir les applications dans le pare-feu et leur attribuer l’IP OpenVPN (10.x.x.x).

! MAJ 17h21  
Après avoir vidé le cache des applications :  Avec OpenVPN : 
- je me retrouve avec « certificat non valide » via les Applications Synology.  
- j’ai par contre accès à DSM via Safari sur iOS.  
Fin MAJ 17h21 !

 

Modifié il y a 4 heures par Skarabaus