FullRacer

Merci @oracle7, C'est ce que j'avais fait hier soir très tardivement et qui fonctionnait, mais je ne pensais pas que c'était correct du fait de créer 2 masters avec un nom de domaine identique bien qu'il ne point pas sur la même adresse IP. Donc je résume : 1) Créer 2 ressources DNS - A : monsite.synology.me qui pointe sur le 192.168.2.3 (Serveur DNS Local). Je limite aussi la liste des IP sources dans la configuration des "paramètres de zone" - B : monsite.synology.me qui pointe sur le 172.16.y.z (Serveur DNS vue par VPN). Je limite aussi la liste des IP sources dans la configuration des "paramètres de zone" 2) Créer 2 "Vues" - Vue (1) LAN qui sélectionne les IP sources du réseau local (192.168.2.x) à partir duquel je souhaite accéder au NAS et je le redirige vers la ressource A - Vue (2) VPN qui sélectionne les IP sources publique d'OpenVPN (172.16.x.y) à partir desquelles je souhaite accéder au NAS et je le redirige vers la ressource B Tout fonctionne à merveille et le filtrage supplémentaire sur les plages IP sources est un plus. Merci énormément pour vos aides.

@oracle7 Bonjour à toi, Le problème c'est que je ne comprend pas comment le mettre en place ces vues. J'ai fait des essais mais ce n'est pas concluant. J'ai relu le tuto DNS Server et VPN, mais le sujet est survolé a très haute altitude. Dans l'ai de DNS c'est pas plus clair et sur internet on ne trouve pas de référence explicite sur le sujet. Ça doit être réservé a un cercle très fermé. Un tuyau serait le bienvenue.

Je vais me repencher sur le tuto de @Fenrir sur la configuration du DSN ...

Effectivement, sur le LAN le routeur Asus de mon réseau renvoie vers le DNS de mon NAS en primaire et celui de Quad9 en secondaire. Donc c'est bon de ce coté. Rien à faire de particulier coté client. Pour le coté VPN le DNS est spécifier dans le fichier configuration VPNConfig.ovpn (dhcp-option DNS 172.x.y.z). Tu veux dire que je dois créer une nouvelle zone master avec le même nom de domaine monsite.synology.me mais cette fois avec l'adresse VPN en 172.x.y.z ? Ça dois pas être ça. Si tu pouvais développer une poil @PiwiLAbruti, Pliizzz

@PiwiLAbruti Je te confirme que cela fonctionne parfaitement. J'ai essayé en me connectant au partage de connexion de mon Android via le VPN de mon PC de bureau et tout fonctionne parfaitement. Le DNS répond sur l'instant. J'ai un phénomène étrange à partir de la connexion VPN de mon smartphone Android car a force de rafraichir la page de connexion au NAS, pour tester, j'ai part un moment blocage de 2 minutes environs avant de pouvoir arriver à recharger la page. C'est d'autant plus surprenant que je n'ai pas de message d'erreur qui s'affiche sur les navigateurs que j'ai testé. Ce n'est pas catastrophique mais étrange. En tout cas, c'est bien la solution à mon problème. Bravo, vous êtes des champions. 👏

C'est idiot, je ne pensais pas pourvoir enregistrer 1 nom de domaine avec 2 IP différentes dans le DNS. Effectivement cela fonctionne mais de façons intermittente, le temps du roulement d'adresse qui est de plusieurs secondes via le VPN. Par contre en local, aucune blocage, c'est étrange. Je test encore... ns.monsite.synology.me --> via VPN ns.monsite.synology.me --> via réseau local. J'y avais bien pensé, mais pour moi cela n'était pas possible. Du coup, je n'avais même pas essayé 🤪 Bien vu @PiwiLAbruti

En effet, @oracle7, j'ai corrigé le firewall le temps que tu rédiges ton message en limitant bien au 2 sous réseaux. Mon message précédent a été modifié. Par contre, je n'ai pas besoin faire un transfert de port 5000 et 5001 puisque je passe soit par mon réseau local ou par le VPN. Il n'y a donc rien de publique. Le seul port transféré est le port d'OpenVPN. J’accède parfaitement à mon Nas par mon VPN en étant passant par mon smartphone connecté en 4G. Le seul problème c'est que j'ai du rajouter une entrée de type A avec l'adresse IP d’accès au VPN, celle en 172.x.y.z. Donc je me retrouve avec 2 adresses pour accéder au Nas : nas.monsite.synology.me --> via VPN ns.monsite.synology.me --> via réseau local et moi je voudrai juste ns.monsite.synology.me --> pour le VPN et le réseau local

C'est bien ce que je pensais, car le lisais bien que c'était quelque chose qui fonctionnait chez les autres. En plus, il me semble que ca a fonctionné quelque instant puis plus d’accès. Je vais creuser ... Non, car je n'ai rien de public. Tout est fermé hors-mis le port ouvert pour le VPN. Le reverse proxy ne met pas utile car j'utilise les applications synology sur les PC et sur les mobiles Android. Je viens de faire une correction et d'ajouter 192.168.1.x, mais comme ce réseau ne ne peux pas voir le 192.168.2.x. C'est bien 172.x.y.z. On a beau se relire, des coquilles persistent. Le VPN n'est pas en mode full, c'est a dire que je ne laisser passer que les requêtes qui son destiné au réseau local. Merci @oracle7 pour ton expertise 😀

Bonjours à tout les courageux qui liront mon sujet et a ceux qui viendront y trouver des informations. Avec persévérance et apprentissage les très nombreux sujets et tutos m'ont permis de bien avancer et de mieux comprendre des paramétrages qui m'étaient encore obscures. Pourtant je bute encore sur un problème que je ne sais pas résoudre. Je souhaiterai accéder à mon DS920+ avec le même nom de domaine (nom canonique) autant à travers le réseau local que par Internet via VPN : monsite.synology.me:port (du domicile, par VPN) Mais avant d’être bloquer sur ce point, j’en suis arrivé là grâce a tous les tutos et explications sur ce forum. Alors, encore merci à tous les contributeurs. Pour que vous compreniez ou j’en suis, je vous présente ma configuration réseau : A) J’ai le modem/routeur de ma box internet qui est connecté sur la fibre par l’entrée WAN. Plage réseau : 192.168.1.x Je n’utilise aucun service de la box internet (Wifi, DHCP, IPV6), tout est coupé. La box ne me sert que pour la TV B) J’ai un routeur Asus connecté sur la box internet par l’entrée WAN. Le firewall est activé Plage réseau : 192.168.2.x Configuration du routeur Asus : Paramètres IP du réseau étendu : Adresse IP : 192.168.1.11 (adresse statique du routeur Asus) Masque de sous-réseau : 255.255.255.0 Passerelle par défaut : 192.168.1.1 (box internet) Configuration DNS WAN : Serveur DNS : Primaire : 192.168.2.3 (Nas) Secondaire : 9.9.9.9 (Quad9), car le Nas n’est pas toujours allumé Adresse IP du réseau Local : Adresse IP : 192.168.2.1 Masque : 255.255.255.0 Dans cette configuration les 2 réseaux sont séparés et je ne peux accéder aux équipements autant dans un sens que dans l’autre. Ce qui est sécurisant mais pas toujours pratique pour configurer la box, car je suis obligé de débrancher le câble réseau de mon ordi d’un routeur a l’autre pour les configurer. C) Configuration NAS Synology Le firewall est activé suivant le tuto pour sécuriser son NAS Adresse IP : 192.168.2.3 Masque : 255.255.255.0 Redirection de http vers https Passerelle par défaut : 192.168.2.1 (Routeur Asus) DDNS : monsite.synology.me (certificat SSL Let’s Encrypt mis à jour par Synology, pas de port à ouvrir) Serveur DNS sur le Syno : C’est lui qui gère le domaine monsite.synology.me (https://www.nas-forum.com/forum/topic/55206-tuto-dns-server/). Il me permet ainsi de valider le certificat sur le bon nom de domaine. Il me permet de rediriger le nom de domaine monsite.synology.me vers l’adresse IP local pour les ordinateurs connecté au LAN. C’est utile pour les portables qui utilisent "Synology Drive" sans avoir à changer le nom de leur connexion lorsqu’ils se connectent au LAN ou à distance. J’ai suivi en particulier le tuto (https://www.nas-forum.com/forum/topic/55206-tuto-dns-server/) pour le monter correctement. D) OpenVPN sur le Syno : Adresse IP dynamique : 172. x.y.z Port : 6215 (par exemple) Dans le fichier VPNConfig.opvm, j’ai ajouté mon serveur DNS avec dhcp-option DNS 172.x.y.z Je ne souhaite pas activer l’accès au LAN via le VPN. Conclusion : Tout ça fonctionne mais avec des noms différents pour le « sous domaine » ns.monsite.synology.me en local et nas.monsite.synology.me par le VPN car j’ai du ajouter dans mon DNS une entrée de type A avec l’adresse vu par le VPN en 176.x.y.z. C’est sur ce point qui me fait appel à mes connaissances car je voudrai donc pouvoir accéder toujours au même domaine qu’importe la méthode d’accès à mon NAS (local ou VPN). Je pense qu'il ne manque pas grand chose mais ... merci par avance pour vos coups de mains.

C'est bien pour cela que je n'avais pas parlé de Photo Station dans mon poste car je savais que c'était une autre paire de manche. J'ai passé déjà beaucoup de temps sur la configuration alors je vais laissé tomber pour Photo Station. J'ai appris pas mal de chose et il y en a encore beaucoup à faire lorsque l'on ne maîtrise pas les configurations réseau, cela est très consommateur de temps mais intéressant. Une autre petite question si tu veux bien. Y a t-il un intérêt au niveau sécurité a modifier les ports d'entrée par défaut 80 et 443 sur le routeur et de les router sur des par différents eux aussi sur le NAS ?

Merci, je le sais parfaitement, je l'ai lu 200 fois .... et pourtant ... le port 80 de la box est bien ouverts mais n'est pas redirigé vers le port 80 du syno. Donc j'ai corrigé et tout est rentré dans l'ordre. Je touche le fond Tout fonctionne sur ces applis. Un GRAND MERCI pour ton aide. Maintenant je m'attaque au problème de Photo Station.

Effectivement, Mic13710 a mis en place des certificats sur la même problématique que je rencontre. Bien vu J'ai bien pris note de la limite de 256 caractères pour les "sous domaines" à remplir dans le champ "Autre nom de l'objet" et je suis bien en deça. J'ai commencé par remplir les règles des Applications dans le "portail des applications" pour chaque application, à savoir : Audio, File et Video avec les ports Http et Https Ensuite j'ai configurer le proxy inversé pour redirigé les applications vers les bons ports. Ca donne : audio.mondomaine.synology.me:portsDSM (source) et localhost:portApplication (destination) Après avoir testé uniquement en Http, tout est bien accessible (Audio, File, video) par les navigateurs. Il ne devrait donc plus cas tester avec le certificat que je vais créer. Direction Panneau de configuration/Sécurité/Certificat, j'ajoute un nouveau certificat Let's Encrypt avec dans "Autre nom de l'objet" les 4 sous domaines audio.mondomaine.synology.me, file.mondomaine.synology.me, video.mondomaine.synology.me et media.mondomaine.synology.me. Chacun étant bien sur séparé par des points virgule (;) Je me dit que c'est parce que media.mondomaine.synology.me n'existe pas et que la vérification n'a pas pu se faire sur ce nom. Cas cela ne tienne, je refait la demande de certificat avec les 3 noms accessible :audio.mondomaine.synology.me, file.mondomaine.synology.me, video.mondomaine.synology.me Et bing, le même message. J'ai vérifié, le nouveau certificat pointe bien vers les bons services. Est-ce une limitation dû au domaine synology.me ? C'est pénible d'être mauvais, on n'avance pas.

Fenrir, je ne vois pas le rapport avec le reverse proxy. Je ne suis pas en train de créer des sous domaines. Ce qui je peux dire c'est quand faisant : et en tapant http://audio.mondomaine.synology.me dans mon navigateur, j’accède bien a mon serveur Syno Audio directement. Cependant cela ne fonctionne pas en https. Pb de reconnaissance de certificat car pour lui je suis sur le domaine audio.mondomaine.synology.me et nom celui du certificat mondomaine.synology.me. D’après ce que tu expliques dans ton "[TUTO] Sécuriser les accès à son nas" au niveau portial des applications/Proxy inversé, tu ne parles pas de problème particulier en https.

Par défaut il tourne sur les port du DSM, mais je les ai modifié (cf post précédent) : Bref, mauvaise explication de ma part certainement. Audio Station est bien en 7220 et 7221. Je n'ai pas accès en SSL car le certificat n'est pas reconnu et en http (port 80) j’accède au login DSM et non Audio Station !

Merci PiwiLAbruti pour ta réponse. Comme audio Station utilise les ports du DSM, je les aient modifé en 8198 (http) et 8199 (https). Le port sécurisé SSL par défaut étant 443, mon navigateur va dés que je passe en https sur ce port 443. C'est pour cela qu'il est transmis par le routeur sur le port 8199 (DSM).La dessus on est d'accord. Je comprends, je me suis trompé dans le numéro de la capture. Je corrige : A partir de ce point le port 443 on s'enfiche puisque nous sommes sur le NAS sur le port 8199.C'est ce port que je veux intercepter avec le proxy inversé par l'adresse audio.mondomaine.synology.me:8199 et là la renvoyer sur le port de Audio Station en 7220 --> 7221. Et c'est là que ca ne fonctionne pas.

J'avoue qu'a force d'être dedans je ne voyais pas mes erreurs de configuration comme de frappe. Pour le Proxy c'est réglé (du moins je pense). Maintenant je vais tout effacer pour mettre en place du reverse proxy. J'explique ce que j'ai fait : Je suis toujours pour mes tests sur un domaine synology avec mondomaine.synology.me et le Dyn DNS de Synology. Le certificat Let's Encrypt est le seul (donc par défaut) et affecté sur tous les services. Sur ma box : J'ai ouvert les ports : 80 (Ext) --> 8198 (Int DSM) ------ TCP 443 (Ext) --> 8199 (Int DSM) ------ TCP Paramètres DSM : Le Pare-feu est configuré comme ça : Pour le moment les ports DSM sont ouverts avant que j'installe un VPN Portail des Applications : Audio Station : HTTP (7220 Je saisi l'adresse https://audio.mondomaine.synology.me/ Au résultat sur mon navigateur en local ou 4G j'obtiens : Echec de la connexion sécurisée Q'est ce que j'ai encore fait de travers ?

Merci Fenrir pour ta réponse, J'avais déjà lu ton tuto sur la sécurisation. Pour le moment j'ai défini 3 redirections de port sur mon routeur Orange pour tester le fonctionnement avec le firewall par-feu. J'ai bien compris que je devais faire du Revers Proxy. Lorsque je lis ceci : il me semble que tout doit être bloqué s'il n'y a pas de règle et donc il n'y aura que les paquets autorisés au niveau des règles qui pourront passer ! ? Il me semblait aussi que le par-feu fonctionne comme un entonnoir, c'est à dire que plus on descend plus on referme les entrées c'est à dire que les règles s'additionnent. Mais apparemment ce n'est pas cela. Ma question est simple, comment remplir le par-feu pour autoriser par exemple PhotoStation en accès local et internet tout en bloquant tous les autre accès au autres services et ports ? Sur internet on trouve des recettes mais pas d'explication. En commençant par un accès en local en HTTPS je dois établir les règles suivantes : PLUS (port 443) PLUS OU BIEN : (port 443) PLUS Ca fait une semaine que je suis la dessus et que je tourne en rond sur ce par-feu. Je ne veux pas laisser la porte ouverte à tout le monde c'est pour ça que je me pose des questions, mais là j'en ai raz le bol. Merci de vos contributions

Bonjour à tous et par avance je vous remercie du temps que vous aurez passez pour me renseigné, Je suis en train de mettre en ligne mon NAS Synology DS215J afin de partager des photos via Photo Station et souhaite par la suite tester un petit site internet. Actuellement mon NAS est dans un réseau domestique Windows 10 / Android accouplé à une liveBox 4 fibrée. Le NAS est utilisé pour : - Service Cloud Station (Drive et Backup sur PC Windows) - Partage multimédia (Kodi sur Box android) - Partage photo (Photo Station) - Accès DSM pour configuration du NAS Je souhaite que tous ces services soient accessibles par le réseau local comme par Internet. Pour cela j’ai procédé de la sorte : Sur Synology : - Paramètres de DSM : HTTP 5000 modifié en AAAA et HTTPS 5001 modifié en AAAAs - Rediriger automatiquement les connexions HTTP vers HTTPS - Créé un certificat Let’s encript pour le domaine synology.me avant de passer sur le vrai nom de domaine Sur LiveBox : - IP fixe pour le Synology - Redirection des ports : o Port 80 --> 80 o Port DSM (5001) aaaas --> AAAAs o Port PhotoStation pppps --> 443 (sécurisé) Je dois activer le par-feu de Synology et c’est là que je suis coincé et que je ne comprends pas ce qui se passe ou plutôt ce que je dois faire. J’ai activé dans les profils réseau (LAN, PPPoE, VPN) : « Si aucune règle n’est remplie : Refuser accès » Pour l’accès au DSM je sais que je devrais mettre en place un VPN, mais on verra cela par la suite. Voici mes questions : Qu’elle est l’ordre à utiliser pour placer les règles d’ouverture des ports ? Est-ce que je peux accéder localement (192.168.1.x) en HTTPS a mon Syno sans passer par le nom de domaine synology.me ?

Bonjour au curieux(e), J'utilise un NAS Synology DS215J avec 2 gros 4To. Pour la sauvegarde il faut bien ça. Tous mes disques audio sont au format flac, ce qui me permet d'écouter de la musique de qualité sur ma chaine. J'aime la technologie mais le réseau n'est pas mon fort et le Larsac me fait rêver de temps en temps . Mais je ne vais pas tout vous dire maintenant ... ça ne se fait pas FullRacer