TuringFan

@oracle7 et @Kramlech Merci pour vos explications, c'est un peu plus clair pour moi maintenant. Si je comprends bien, dans mon cas c'est la fonctionnalité de serveur web de mon RT et de mon NAS qui demandent d'avoir un certifcat. Pas certain de comprendre, si mon smartphone est un simple client, il n'a pas à posséder de certificat mais juste lire celui de mon serveur non ?

C'est ce que j'ai fait : c'est bien l'interface web qui m'a demandée cette installation.

Merci pour ton retour @GrOoT64, Quel est justement le port par défaut pour le SSL VPN de Synology ? 4443 ? Non je fais bien ça depuis mon PC branché sur mon smartphone et ça fonctionne bien maintenant : accès à mon RT, mon NAS et ma Livebox entre autres. En revanche je crois que l'interface web Synology m'a demandé d'installer un certificat et/ou une exception : Pourquoi ? Je ne maitrise pas les potentiels impact d'un point de vue sécurité. Je croyais aussi que d'une façon générale les VPN qui se font par l’intermédiaire d'une interface web sur un navigateur sont moins sûre que ceux qui utilisent un client en lourd : qu'en est il ? Pour le moment je n'arrive toujours pas à me convaincre de la robustesse de ce protocole (probablement à tord, mais le client ad hoc Synology + l'interface web + le certificat / exception sont autant d'éléments qui ne m'aident pas à avoir la même confiance dans ce protocole qu'envers les standard), j'ai essayé le L2TP et/ou OpenVPN qui fonctionnaient jadis bien sur mon NAS avec le paquet VPN Server mais pas de succès pour le moment sur le RT avec VPN Server Plus.

C'est quoi un port privé ? Je pensais que le port 4443 du SSL VPN jouais le même rôle que le port 1194 pour OpenVPN : ce n'est pas pareil ?

C'est exactement comme cela que j'ai configuré mon accès pour le moment (en plus du fait que l'appli orange permette un accès a distance sans vraiment pouvoir le bloquer j'ai l'impression). Mon idée était donc de savoir si après avoir attribué un monAPPAREIL.ndd.tdl dans mon DNS et sur OVH je pouvais attribuer des certificats pour chacun de mes appareils (dont la Livebox) car autant je vois bien comment générer un certificat su le NAS puis le dupliquer sur le RT autant je n'ai aucune idée sur la possibilité de mettre un certificat sur d'autres appareils (Livebox, box domototique, tv, etc.). Preneur d'explications car je ne maîtrise pas ces concepts de certificats et je ne vois pas bien si cela se réfère à un domaine, un appareil ou les deux ?

Ce n'est pas justement le NAS ou RT (en fonction de ta configuration) qui "pousse" la nouvelle adresse IP externe à OVH pour maintenir la liaison entre ton ndd.tld et la nouvelle IP ? En effet dans le DDNS on te demande de mettre tes logins (OVH dans ton cas) pour la gestion de ton domaine. Je ne maîtrise pas ces sujets, ce que je dis peut être complètement faux ... Le danger n'est il pas de se faire blacklister de façon importante , dans ce cas l faut pouvoir industrialiser le déblacklistage non ? In fine la seule vraie question importante est : réussis tu à envoyer et recevoir des emails de façon fiable (même si difficile de voir que l'on a pas reçu un email) ?

Pas un gros intérêt puisque la livebox est accessible avec une IP relativement simple, c'est vraiment "juste pour savoir" car je ne maitrise pas du tout le concept de Certificat. je pensais que c'était un domaine qui était certifié par un tier et du cop je ne comprends pas trop pourquoi on doit avoir un appareil sur chaque machine (NAS + RT) et pourquoi un certificat "général" ne suffirait pas ? Pas contre pas compris ton point sur le DMZ, oui mon RT est en DMZ de ma livebox mais je souhaite parfois accéder la page d'administration de ma Livebox quand même.

L'installation du client windows Synology SSL VPN Client téléchargeable ici. Quel en est l'intérêt : de mon côté le certificat LE généré sur le NAS et dupliqué sur le RT semble faire le job y compris avec un client Android. Avec un smartphone Android le site apparaît bien en sécurisé. Je suis en accord sur les grandes lignes mais le fait d'être tributaire du Synology pour avoir le bon client me dérange un peu. Par ailleurs rien en dit qu'après septembre les licences seront encore gratuites ...

Je parle d'une Livebox, mais c'est franchement pour le sport ...

Je sais qu'en plus l'option de redirection du trafic sur le serveur VPN du NAs il y a de mémoire une option d'autorisation d'accès au LAn par les clients, il y a peu être un équivalent sur le soft de ton routeur ... *** Bonjour à tous, Je me permets également de vous écrire car en raison de différents problèmes rencontrés avec l'utilisation conjuguée du DNS server et du VPN Server sur le NAS j'ai passé ces deux serveur sur mon Routeur. Aujourd'hui cela fonctionne (presque) parfaitement grâce à l'aide de @oracle7 et @GrOoT64 : merci encore ! Presque parfaitement car j'utilise la solution SSL VPN du paquet VPN Plus or cela fonctionne sur tous mes clients iOS mais pas sur mon client Windows : en tapant l'URL https://ndd.tld:4443 j'arrive bien sur la page web de connexion SSL VPn, je me log avec mon user pour le routeur et ça fonctionne mais ensuite impossible de faire quoi que ce soit car on me dit que mon client SSL Synology n'est pas installé ! J'ai pourtant fait l'installation : désinstallation à plusieurs reprises. Pouvez-vous svp m'aider ? Par ailleurs que pensez vous de ce protocole SSL VPN Synology qui impose l'utilisation d'un client spécifique Synology et qui passe par un interface web : est-ce bien sécurisé ? Ne passe t on pas par des serveurs tiers ? Merci par avance, NB : @alan.dub tu pourrais être intéressé par ce post

Ok ça marche, merci déjà pour toute ton aide. Pour le DNS en local et en VPN. Concernant le SSL Synology ça fonctionne bien sauf sur mon client Windows, je vais investiguer. Merci,

Merci @Kramlech et @oracle7, certificat LE dupliqué sur RT et ça marche. Petite question théorique, bien que cela soit d'un intérêt pratique limité, si on souhaitait mettre un certificat sur monMACHINBOX.ndd.tld comment l'installer sur la machin Box ?

Je laisse @oracle7 te revenir sur le sujet : c'était justement la question ...

Et une bonne chose de faite (en plus de ma signature) : Ok je ferme. Mon DNS est sur mon RT Erreur : c'est maintenant fermé. Ok, le mieux est de fermer alors pour un accès en local uniquement ? Je pensais que comme bloqué par le RT, il n'y avait pas de risque. Je sais que c'est mentionné dans le tuto DNS au même titre que les IP locales ou VPN, je pensais donc qu'il fallait avoir le même comportement. Ok du coup pour la même raison, je peux faire sauter toutes les règles d'autorisation de mes IP locales / VPN dans mon pare-feu NAS alors ? Pourquoi certains tuto préconisent la création de ces dites règles justement ?

Bonjour à tous, J'ai la trentaine et vis en région parisienne, je suis suis un débutant (curieux) en informatique (et en participation sur des forums). J'ai fait l'acquisition d'un NAS et d'un Routeur il y a peu (détails dans ma signature). Mes ambitions sont dans un premier temps de pouvoir accéder de façon sécuriser aux appareils de mon LAN et concernant mon NAS, je souhaiterais l'utiliser : Comme un Cloud personnel Accès sécurisé à mes données depuis l’extérieur. Utilisation de connecteurs pour uploader automatiquement et centraliser des documents depuis différents fournisseurs (banques, énergié, téléphonie, etc.) - un peu en mode digipost pour ceux qui connaissent Partage sécurisé de fichiers / dossiers : durée limitée, monitoring des téléchargements, ajout automatique de filigrane lors d'un téléchargement, etc. Pour héberger mes emails, contacts et calendriers. En tant que client VPN pour conserver mon anonymat Pour héberger un outil de gestion des mots de passe A terme, je souhaiterais également : Effectuer une synchronisation en temps réel de mon NAS vers un second NAS sur un site distant Intégrer des fonctionnalités de domotique : je suis pour le moment client de ENKI, la solution Leroy Merlin clef en main pour débutant D'une façon générale tous ces sujets sont aussi un prétexte pour moi pour apprendre de nouvelles choses quant au monde du réseau que je ne connaissais pas du tout ...

Pare-Feu LiveBox 80 ouvert 443 ouvert DMZ vers le RT Pare-feu RT SSL VPN Server (port 4443) ouvert DNS Server (port 53) ouvert Port 50 ouvert Bloquer sinon Port forwarding 80 vers IP NAS uniquement 443 vers IP NAS uniquement Pare-feu NAS 80 ouvert depuis France, USA uniquement 443 ouvert depuis France, USA uniquement 22 ouvert depuis la France Tous le sports ouverts pour les IP en 10. / 192.168. / 172.16. Bloquer sinon Est-ce que c'est bon ? Questions d'un débutant mais faut il ouvrir les IPs en 127.0 sur le NAS ? Comment-cela se fait-il que je puisse accéder à mon RT avec son IP:8001 en local sann avoir de règle spécifique dans mon pare-feu RT ? Volontiers, en plus d'être novice en réseau je suis également débutant en forum. merci pour le conseil.

C'était justement une question ouverte, je me rends compte que j'ai tapé trop vite et que je voulais marquer "ne retombe t on pas dans", à laquelle tu viens de répondre parfaitement. Je n'ai pas les compétences techniques pour en juger. Mais est il possible d'utiliser le protocole SSL VPN sans utiliser le client de Synology ? Puis je le configurer avec un autre client voire en natif sur iOS et:ou Windows ? Peut-être à tord mais le fait de passer par un truc spécifique à Synology me faisait penser au fonctionnement de QuickConnect qui est clef en main mais te fait passer par des serveurs tiers.

Tu as raison. la dessus je suis largé ... De mon coté je n'ai pas fait (volontairement) de reverse proxy et d'ailleurs je ne sais même pas ce que c'est : j'ai créé des CNAME et A dans mon DNS sur le RT et j'ai ensuite appliquer le certificat LE sur ces deux SAN, rien de plus ! Mais ça marche de mon côté : je peux accéder à ces sous domaines et ils apparaissent comme sécurisés. Ai-je bien fait ce qu'il fallait du coup ou est-ce un coup de bol ? Autre questions (j'ai fait un edit dans mon pécédent post) : J'ai utilisé le port 4443 pour le SSL VPn car il était sur le screenshot du tuto Synology : est ce un coup de bol ou est-ce bien ce qu'il fallait faire ? Ce port est alloué sur rien de précis en dehors de cette application ? Je ne maîtrise pas la gestion des ports, comment faire en sorte qu'en tapant monRT.ndd.tld je n'ai pas besoin de préciser le port ? Je crois qu'il faut utilisé webstation mais je ne maitrise pas. merci beaucoup pour ton aide @GrOoT64

@oracle7 et @GrOoT64, Merci pour posts super instructifs. Comme @oracle7 j'ai désinstallé paquets VPN et DNS de mon NAS pour les installer sur mon RT. A priori c'est fonctionnel, j'ai également dupliqué le certificat LE édité sur le NAS directement sur le RT : je comprends que je dois le garder sur le RT et sur le NAS si je veux que monRT.ndd.tld et monNAS.ndd.tld soient tous les deux considérés comme des sites sécurisés. Est-ce exact ? Si oui il faut donc ouvrir les ports 80 et 443 tous les 3 mois sur les deux machines pour mettre à jour les deux certificats ? Enfin j'ai installé SSL VPN mais cela me fait beaucoup penser à quickconnect que j'essayais d'éviter ... ne retombe pas dans les travers de quickconnect avec cette solution qui semble ad hoc à Synology ? est-il possible d eparamétrer un client sans l'installation de SSL VPN Synology ? Enfin je n'ai rien fait de spécial dur la vue DNS à part filtrer les IP en autorisant que les locales, localhost et VPN : c'est en conjuguant ça avec le fait que j'ai selectionné une plage d'IP locale pour mon Serveur SSL VPN que monRT.ndd.tld et monNAS.ndd.tld sont uniquement accessible en locale et/ou VPn : est-ce bien cela ? Edit: J'ai utilisé le port 4443 pour le SSL VPn car il était sur le screenshot du tuto Synology : est ce un coup de bol ou est-ce bien ce qu'il fallait faire ? Ce port est alloué sur rien de précis en dehors de cette application ? Je ne maîtrise pas la gestion des ports, comment faire en sorte qu'en tapant monRT.ndd.tld je n'ai pas besoin de préciser le port ? Je crois qu'il faut utilisé webstation mais je ne maitrise pas.

Sur le papier ça peut être un problème si tu veux par exemple héberger ton serveur email mais je crois que @oracle7 a étudié la question et a trouvé une façon d'y parvenir quand même

C'est ce sur quoi j'étais justement parti : je vais regarder avec attention les échanges que tu mentionnes et m'en inspirer. Petite question, quel protocole VPN as tu choisi pour VPN Plus ? L2TP ? OpenVPN ? Autre ?

Bonjour, Je me permets de faire remonter ici un sujet d'incompatibilité potentiel et récent entre DNS et VPN évoqué à différents endroits du forums : Merci par avance pour toute aide,

Merci @Kramlechpour ton retour, tu as raison je vais peut-être ouvrir un sujet dédié après avoir ergardé le tuto sur le reverse proxy. J'ai une autre question bien dans le sujet cette-fois-ci. J'ai suivi les indications trouvé sur le forum pour obtenir un certificat LE pour ndd.tld et deux SAN pour monNAS.ndd.tld et monRT.ndd.tld : problème mon navigateur indique bien monNAS.ndd.tld comme sécurisé et monRT.ndd.tld comme non sécurisé ! Aurais tu une idée de ce qui cloche ?

@oracle7 et @Juan luis, j'ai l'impression qu'un problème de fonctionnement conjoint VPN (serveur et:ou client) + DNS est rencontré par d'autres membres du forum comme @Jalan : J'ai également remonté le point dans le sujet DNS, en espérant obtenir de l'aide ...

C'est exactement ce que nous avons fait, et tout roulait côté VPN avant d'attaquer le DNS puis les deux coexistait de façon parfaitement fonctionnelles mais depuis peu nous avons des problèmes sur le VPN. le plus étrange c'est que ce problème de VPN est intervenu en même temps chez @oracle7 et moi ! Sans modification significative de la configuration (de mon côté au moins). Bref cela fait penser à un changement côté NAS / Synology.