Salut à tous,
Il y a quelques semaines je me suis équipé d'un DS220+, à la base pour stocker mes photos loin de Google et consorts.
De fils en aiguilles je paramètre des fonctionnalités supplémentaires (adguard, jellyfin, etc...).
Tout fonctionne parfaitement, depuis chez moi ET depuis partout en France apparement, en tout cas depuis tous les réseaux locaux testés en France et depuis un accès 5G.
Cela veux dire que j'accède bien à tout depuis l'éxtérieur, avec un DDNS synology.me

Aujourd'hui, je veux tester depuis le boulot, qui a la particularité d'avoir tout le réseau qui sort d'abord par l'Allemagne à travers un VPN.
Et cela ne fonctionne pas, enfin presque pas.

En résumé tout ce qui passe par le reverse proxy n'est pas accessible, page blanche qui boucle pendant des dizaines de secondes.
N'importe quel service derrière le reverse proxy, donc en https://service.domaine.synology.me n'affiche jamais rien, ça fini en erreur de timeout.
Egalement https://domaine.synology.me ne retourne rien, là où depuis la France cela me redirige automatiquement vers https://domaine.synology.me:5001 (j'aimerai supprimer ça à terme aussi).

Par contre, directement entrer l'adresse par défaut avec le port https en dur https://domaine.synology.me:5001 fonctionne bien, j'atterri sur ma page d'accueil : ce n'est donc pas un pb de résolution DNS.
Avec https://mon-ip:5001 cela fonctionne aussi (avec une belle erreur de certificat mais c'est rassurant !)

Le Syno est derrière une Freebox, avec une redirection vers le port 5001, j'imagine que si je fait une redirection pour chaque port, je pourrais accéder à n'importe quel service via son port en le rajoutant après l'adresse https mais ce n'est pas propre, et ce n'est pas ce que je veux.

Ma config:
- Firewall activé, laissant passer chaque port nécessaire, sans filtrage de source sur la localisation. Mais même en le désactivant cela ne change rien, donc ce n'est pas ça pour moi le pb (cela dit je doute du fonctionnement du firewall, si je l'active sans autoriser de port, tout fonctionne bien depuis la France)
- Une entrée reverse proxy par service, sans profil de contrôle d'accès.
- Protection DDoS activée, mais j'ai essayé en desactivant, pas mieux...

J'ai testé de changer d'extension DNS (i234.me) parmi les proposées par Synology (au début je pensais à un blocage du DNS synology.me dans mon réseau d'entreprise). En testant avec l'ancienne, je tombe directement sur la page d'erreur, je n'ai plus la moulinette.
J'ai mis les DNS de Google en dur sur le poste client, ça ne change rien.
Avec QuickConnect, ça marche, mais je n'accède pas à mes service sous Docker.
J'ai le sentiment que mes requêtes arrivent bien jusque chez moi mais que soit la Freebox, soit le Synology bloque.

Y-a-t-il des choses que j'aurais zappées selon vous ?

Merci beaucoup 🤘

 

Modifié il y a 11 heures11 h par CharlyB

Bonjour

il y a une heure, CharlyB a dit :

Firewall activé, laissant passer chaque port nécessaire

Il faudrait revoir le tuto sur le reverse proxy. L'intérêt du reverse proxy est de limiter l'ouverture des ports. Seuls 443 doit être ouvert éventuellement 80 si tu n'as pas de redirection http vers https et quelques autres exceptions.

Les domaines ayant pour TLD .me sont souvent bloqués, il s'agit peut-être d'un blocage DNS de ton entreprise.

Vérifie que la résolution de domaine.synology.me retourne bien ton adresse IP :

> nslookup domaine.synology.me

ou

> Resolve-DnsName domaine.synology.me

il y a 11 minutes, Jeff777 a dit :

Il faudrait revoir le tuto sur le reverse proxy.

Et aussi celui sur la sécurité : https://www.nas-forum.com/forum/topic/77493-tuto-pas-%C3%A0-pas-s%C3%A9curisation-du-nas-pour-dsm-7/

Modifié il y a 12 heures12 h par PiwiLAbruti

il y a 42 minutes, Jeff777 a dit :

Bonjour

Il faudrait revoir le tuto sur le reverse proxy. L'intérêt du reverse proxy est de limiter l'ouverture des ports. Seuls 443 doit être ouvert éventuellement 80 si tu n'as pas de redirection http vers https et quelques autres exceptions.

Bonjour, je vais y jeter un oeil merci, j'ai en effet besoin de régler correctement tout cet aspect sécurité, mais comme précisé, même firewall désactivé cela ne change rien.

il y a 33 minutes, PiwiLAbruti a dit :

Les domaines ayant pour TLD .me sont souvent bloqués, il s'agit peut-être d'un blocage DNS de ton entreprise.

Vérifie que la résolution de domaine.synology.me retourne bien ton adresse IP :

> nslookup domaine.synology.me

ou

> Resolve-DnsName domaine.synology.me

Et aussi celui sur la sécurité : https://www.nas-forum.com/forum/topic/77493-tuto-pas-%C3%A0-pas-s%C3%A9curisation-du-nas-pour-dsm-7/

Bonjour,
Oui nslookup résoud bien mon IP.
J'accède d'ailleurs bien à mon NAS en https en rentrant le DNS + le port DSM. Mais DNS sans port, avec ou sans service avant (reverse proxy), c'est KO.

C'est pour cette raison de DNS potentiellement bloqué que j'ai ponctuellement changé en i234.me.
Et à ce moment là, j'ai testé le .synology.me par curiosité, et il ne réagissait pas pareil : j'arrivais directement sur un message d'erreur (DNS inexistant), alors que quand c'est configuré, cela mouline et fini en erreur time out. C'est ce qui me fait dire qu'on arrive bien chez moi, mais que chez moi qqch bloque !


Merci beaucoup à tous les deux

Modifié il y a 11 heures11 h par CharlyB

Quelquechose que je trouve très intéressant :

Je laisse 3 ports ouverts dans mon Firewall:
- 443 (pour le reverse proxy)
- mon équivalent du 5001 pour accéder à DSM
- un autre port 1234 pour un autre service pour tester mon pb.

Depuis la France, https://domaine.synology.me:5001 ET https://domaine.synology.me:1234 fonctionnent et me redirigent bien vers DSM et mon service.
Depuis l'Allemagne, DSM fonctionne, mais pas le service derrière le port 1234 : ERR_CONNECTION_TIMED_OUT

Bon c'est intéressant mais ça m'aiguille pas tant, si ce n'est que chez moi quelquechose répond pas si la requête vient du bureau.
Soit la Freebox m'embête et ne laisse passer que le port que j'ai stipulé dans la redirection (5001 vers 5001)
Soit c'est le Syno, mais j'ai rien d'activé en terme de filtrage sur la localisation.

J'ai testé d'autoriser uniquement le port 1234 depuis l'Allemagne et la France dans le Firewall, au cas où qqch déconne de ce côté en laissant "All", mais ça ne change rien.

Est ce qu'il y a moyen d'afficher des logs de tentatives de connections/accès côté DSM ?

Modifié il y a 10 heures10 h par CharlyB

Le mieux est d'utiliser tcpdump :

tcpdump -nq 'port (443 or 1234 or 5001)'

Ça affiche le trafic en amont du pare-feu du NAS. Donc ça permet de savoir si le trafic parvient bien jusqu'au NAS, peu importe qu'il soit bloqué ou non par le pare-feu.

Super idée merci, mais pour l'instant ça me dit que tcpdump n'a pas la permission de capturer sur cet device.
Je vais chercher comment autoriser ça !

EDIT: ce bon vieux sudo....

Bon ben bien vu !
Avec tcpdump, si je lance mon service sur :1234 depuis la France, c'est ok j'ai quelques centaines de lignes, mais depuis l'Allemagne il se passe rien.
tcpdump -i bond0 -nq 'port (3000)'

Donc je peux en conclure que le blocage est en amont du syno, probablement sur la Freebox ou chez Free, êtes vous d'accord ?

Modifié il y a 9 heures9 h par CharlyB

Si le port est bien ouvert sur la Freebox, ça ne vient pas de la Freebox. Je pencherais plutôt pour un blocage du port sortant depuis la connexion en Allemagne.

Je ne connais aucune entreprise sérieuse qui laisse du trafic utilisateur sortir sur d'autres ports que les suivants (hors besoins exotiques) :

• HTTP (tcp/80)

• HTTPS/DoH (tcp/443)

• QUIC/DoQ (udp/443)

D'où l'intérêt d'utiliser systématiquement le proxy inversé pour toutes les interfaces web (DSM inclus).

Je t'entends bien à propos de l'entreprise sérieuse, mais en tout cas elle me laisse bien accéder à mon DSM en stipulant le port 5001.
Je pourrais faire le test de mettre mon DSM en 1234 à la place du service correspondant et voir ce que ça donne.
Mais c'est pas le sujet ici, justement je veux que ça passe à travers le 443 grâce au reverse proxy.

Je pense que mon problème vient de la redirection côté Freebox, je l'ai pas redéfinie correctement depuis que je suis passé via le reverse proxy (vers le 5001, au lieu de 443 et potentiellement 80)
Mais je comprends pas pourquoi tout marche depuis la France du coup, la conf actuelle est un peu trop permissive on dirait.

Ce soir je vais corriger la redirection (j'ai pas activé l'accès externe de la Freebox), et faire des test depuis plusieurs VPN mondiaux et celui du taf.

Merci encore ! Je posterai les résultats.

Modifié il y a 8 heures8 h par CharlyB

Tu n'as que le port tcp/443 à ouvrir à destination du NAS sur la Freebox.

Ensuite, tout se fait dans le proxy inversé. Par exemple :

• dsm.domain.synology.me > localhost:5000

• freebox.domain.synology.me > 192.168.1.254:80

Si les restrictions d'accès du pare-feu ne sont pas suffisantes, je te conseille vivement de configurer des profils de contrôle d'accès dans le proxy inversé.

Je viens de supprimer toute redirection de port dans la Freebox.
Tout fonctionne malgré ça très bien depuis l'extérieur, en France du moins !....
C'est à n'y rien comprendre, ça voudrait dire que mon DDNS renverrait automatiquement vers mon Synology ? Je ne suis pas expert réseau du tout, mais ça me paraît pas correct.

Je suis allé jeter un oeil du côté de la configuration du DDNS dans le Syno et en effet, dans les External Address du DDNS, en IPv4 j'ai bien ma Freebox, mais en IPv6, j'ai l'adresse du Bond du Syno !
Je n'ai jamais vu ça avant mais à priori ça se fait bien pour faire du DDNS sans NAT forwarding.

Ca n'explique en rien le problème d'accès depuis l'étranger, mais c'est surprenant. Je me demande s'il peut y avoir un lien.
Je vais le désactiver dans un premier temps et le configurer en classique.

EDIT: là j'ai un comportement cohérent avec mes ouvertures de ports. Je vais pouvoir continuer mes tests depuis l'Allemagne en comprenant mieux ce que je fous...

Je soupçonne une histoire d'embrouille de routage entre DDNS IPv4 et v6 en fonction de la source. On verra demain depuis le taf, impossible de reproduire correctement avec leur client VPN depuis la maison.

Modifié il y a 5 heures5 h par CharlyB

Pour cette partie, specifiquement pour la Freebox :

Il y a 2 heures, PiwiLAbruti a dit :

Ensuite, tout se fait dans le proxy inversé. Par exemple :

• freebox.domain.synology.me > 192.168.1.254:80

C'est un problème que j'avais déjà avant mais ça ne marche pas avec une Freebox, elle renvoie une erreur "unknown host, use ip address or mafreebox.freebox.fr" directement sur la page.

Il faut rediriger à priori vers le https donc en 443.

Modifié il y a 5 heures5 h par CharlyB

Pour la Freebox, il faut ajouter l'en-tête Host: mafreebox.freebox.fr dans l'onglet En-tête personnalisé.

Ça marche bien avec le port 443 du coup ;)

C'est si on veut rester avec le port 80 ta solution ?

Je ne comprends pas ta question (Quelle solution ? Quel port 80 ?).