TuringFan

@oracle7 Pardon pour mon retour très tardif et merci pour toutes tes explications et réponses jusque là. Cci-dessous un petit topo de mon histoire et quelques nouvelles questions (en bleu). Très longue histoire mais voyant que certaines choses n'allaient pas j'ai recommencé intégralement en refaisant des reset usine de ma LiveBox et mon routeur. Problème, après le reset usine de mon routeur j'ai eu des "fatal error" ou "vous n’êtes pas autorisé à accéder" pendant le démarrage et avant même de pouvoir créer un compte, un wifi, choisir le mode de fonctionnement. Bref après probablement une trentaine de resets usines de la livebox et/ou du routeur je pense avoir un truc qui tient la route grace à tes explications et le tuto de unPixel. Toujours pas de message de recouvrement WAN / LAN car j'ai commencé par une IP automatique lors du démarrage du routeur puis fait le paramétrage manuel ensuite. Aujourd'hui j'ai donc : Une IP Privée LiveBox en 192.168.1.1 Une IP privée de la DMZ livebox pour le routeur synology en 192.168.1.N Une IP internet du routeur synology en 192.168.X.Y (avec X <>1) : je ne comprends pas bien à quoi correspond cette adresse, IP privée mais internet ? Un sous réseau local géré par le routeur synology en 192.168.Z.y (avec Z <>1 et Z<>X) Un sous réseau invité géré par le routeur synology en 192.168.Z'.y' (avec Z' <>1 et Z'<>X et Z'<>Z ) Paramétrage actuel de ma Livebox : WIFI désactivé Pare-feu en mode moyen (par défaut) DHCP activé (pour le décodeur TV) et avec un bail fixe pour l'IP du routeur synology Une DMZ dont l'IP est celle du routeur synology Deux règles NAT historiques (pré routeur Synology) pour un accès au NAS en VPN. Vers quelle IP locale dois-je pointer : celle du routeur synology ou celle du NAS ? Trois uniques périphériques branchés en direct en filaire sur ma Livebox (Routeur Synology, Décodeur TV, Téléphone fixe) Paramétrage du routeur synology Idem au préconisations du tuto de unPixel Un DNS préférentiel qui pointe vers l'IP locale du NAS en 192.168.Z.a Des règles pare-feu + transmission de ports identiques aux NAT de la livebox pour permettre un accès VPN au NAS et qui pointent vers l'IP locale du NAS en 192.168.Z.a Il faut maintenant que j'adapte ma configuration "de bout en bout" : Sur le NAS, j'imagine que je dois couper mon serveur DHCP ? Que dois-je faire sur la configuration de ndd.eu (domaine OVH), vers quelle IP doit il maintenant pointer pour que mon accès VPN (utilisant ce ndd.eu comme adresse) soient fonctionnels ? Comment dois-je faire pour que ce même ndd.eu pointe vers mon NAS en externe (via mon tunnel VPN) et en local sur mon sous-réseau routeur synology ? J'oublie encore des choses ? Je suis preneur de tes éventuelles remarques. En tout cas un TRÈS GRAND MERCI pour toutes tes explications ! Cordialement,

Pardon, tu as déjà répondu ici je pense.

MERCI @oracle7 pour ce message si complet : un véritable tuto que je suis en train de suivre ! De mon côté pas de message sur le recouvrement de WAN / LAN. Pas certain de comprendre non plus la partie sur la réattribution d IP dans le réseau local : à quoi cela sert-il ? In fine ça a l'air de fonctionner (je touche du bois) et j'accède maintenant à mon NAS avec une adresse en 10.x.y.z quand je suis sur le wifi du routeur. J'ai également l'impression que je peux accéder à la page d’administration de ma LiveBox depuis le réseau de mon routeur mais que l'inverse n'est pas possible : est-ce bien logique ? Niveau VPN et domaine comment dois-je donc maintenant adapter ça ? Je vais maintenant suivre le tuto de sécurisation. Merci encore en tous cas pour toutes ces explications.

Merci, dès que j'ai terminé le set de ma DMZ je repasse sur ce sujet.

@oracle7 Pourrais tu stp m'aider pour le démarrage. J'ai mon NAS (accessible en local et en VPN) derrière une Livebox. Pour différentes raisons, dont la robustesse l'amélioration du WIFI et la meilleure gestion DNS / DHCP je viens de mettre un routeur Synology derrière ma Livebox : aujourd'hui j'ai donc internet > livebox (avec décodeur TV branché en direct dessus) > routeur synology > NAS Problème : mon NAS n'est plus accessible mais tous mes équipement sont toujours affichés dans la page de gestion de ma BOX. Peut-êtr un problème de pare-feu avec le sports 8000 pour le routeur ? Je ne sais pas vraiment par où commencer ...

Merci @Thierry94 Très clair pour l'explication sur le trafic internet dans le VPN : est -il possible de modifier ce paramétrage en OpenVPn ? Je n'ai aucun problème pour l'accès via OpenVPN en 10. mais impossible avec l'adresse IP locale en 192. avez vous une idée de la raison de ce problème ? Merci d'avance,

@oracle7 très content de pouvoir aider ! En parlant d'Open VPN justement, comment fais tu pour accéder à ton NAS via ton ndd qui pointe sur ton IP locale (à la façon d'un L2TP/IPSec) : je comprends que c'est une histoire de redirection complète ou non du traffic dans le VPN mais je ne maitrise pas le sujet. Idéalement je souhaiterais utiliser le même nom de domaine avec tous mes clients VPN (en L2TTP/IPSec ou OpenVPN) et locaux pour accéder à mon NAS : j'ai posté un message là dessus dans le post dur le tuto VPN. J'ai essayé de créer dans la zone de mon DNS (sur le NAS) un nasopenvpn.ndd.eu qui pointe vers mon IP OpenVPN en 10.x.y.z mais ça ne fonctionne pas, le plus étrange est qu'apparement mon DNS par défaut est une IP locale en 172.20.x.y qui ne me dit rien du tout. Preneur de conseils si tu en as.

Bonjour, J'ai configuré un serveur L2TP/IPSec qui est fonctionnel sur au moins un client. J'ai ensuite essayé de paramétrer un second client pour le même accès mais j'obtiens systématiquement une erreur 806 (erreur pare-feu, routeur, NAT, etc.) Puisque le premier client fonctionne j'en déduis que c'est un problème de pare-feu de mon second client. Après vérification les ports 50, 500 et 4500 en UDP sont bien autorisés à l'entrée sur ce client. Peut-être donc un problème de registre : si c'est le cas n'ayant pas tous les droits sur ma machine, je suis dans l'incapacité de les modifier. Bref, j'ai donc également configuré un OpenVPN qui fonctionne sur mon second client. En revanche je crois comprendre que via OpenVPN je ne peux accéder à mon NAS qu'en utilisant l'IP 10.x.y.c car tout le traffic n'est pas redirigé sur le VPN, plusieurs questions donc : Quels sont les avantages / inconvéniant d'un traffic entièrement redirigé par le VPN ? Est-il possible d'accéder à mon NAS avec son IP locale en OpenVPN ? Si ce n'est pas possible comment puis-je utiliser un nom de domaine pur pointer sur le NAS. A l'heure actuelle j'utilise un domaine ndd.eu (loué chez OVH) qui pointe sur l'IP publique de mon NAS, j'ai également un DNS sur mon NAS qui fait pointer ndd.eu vers l'IP privée de mon NAS. Ce que je ne comprends pas bien avec l'OpenVPN c'est que l'IP du DNS par défaut (nslookup dans le terminal) est une IP locale en 172.20.x.y mais qui ne me parle pas du tout ... Je ne sais pas trop dans quel tuto poster (VPN ou DNS), pardon si ce n'est pas le bon. Merci d'avance,

@oracle7 J'ai maintenant mon routeur et je vais commencer la DMZ. Avant cela, par simple acquis de conscience j'ai revérifié que mon DNS fonctionnait correctement et surprise : non plus en VPN ! Après de très très nombreux essais et beaucoup de chance je me suis rendu compte que la coche de la seconde option (passerelles multiples) créait un dysfonctionnement. Bref en la décochant le DNS fonctionne en local et en VPN. Un article traite cependant du besoin de cette option quand le NAS est client VPN ce que je souhaite dans le futur. En sais tu plus sur cette option ? Cordialement,

@oracle7 Je suis bien d'accord ! Je suis donc en train de regarder les autres FAI mais difficile de voir clairement ceux qui proposent une IP fixe et encore plus difficile de trouver des comparatifs de débits effectifs moyens au niveau de sa géographie (ville, département, etc.) : bref difficile de lire le menu avant de faire son choix je trouve. Aurais tu des conseils sur ces sujets ? Connaitrais tu des métriques qui aident à classer la qualité des offres ? Cordialement,

@oracle7 qu’est ce qui coupe court pour l’implémentation d’un serveur Mail ? La DMZ ? Si c’est le manque d’IP fixe, je l’ai bien en tête. J’ai déjà appelé Orange : c’est toujours 18€/mois. Sinon ce sera changement de FAI... D’ailleurs difficile d’avoir une vision claire sur un comparatif des débits effectifs entre les FAI.

Très juste

@oracle7, @PiwiLAbruti, @PPJP, Merci pour vos retours, je vois que mes questions permettent l'échange, c'est tout l'intérêt des forums. Je me permets de proposer une synthèse pour aider les prochains lecteurs. Je comprends donc qu'en configuration par défaut des clients (sans DNS spécifique renseigné), c'est le DHCP de la passerelle (chez moi la Livebox) qui distribue les IP des DNS à utiliser. Plusieurs options alors pour modifier les DNS : 1 - Changer les IPs des DNS sur le DHCP de la passerelle (pas possible sur la Livebox car volontairement bloqué par Orange) 2 - Changer les IPs des DNS dans la configuration des cartes réseaux des clients 3 - Désactiver le DHCP de la box et utiliser à la place celui du NAS 4 - Installer un routeur en DMZ derière le passerelle dont le DHCP est configurable qui pourra ainsi distribuer les IP des DNS que l'on souhaite : cette option peut apportee des avantages tels qu'une plus grande flexibilité/fiabilité de la configuration du réseau (notamment du DHCP, du WIFI, etc.) mais en contrepartie elle complexifie l'installation (DMZ, assurer que le décodeur TV réponde bien au DHCP de la box soit par un switch administrable soit en le branchent directement dans la box et en "court-circuitant" donc la DMZ) Enfin dans le cas qui nous intéresse plus particulièrement dans ce tuto : à savoir accéder à son NAS via un domaine je présume en local et VPN voire en externe je présume que l'on peut aller jusqu’à la fin du tuto et créer une zone externe (beaucoup plus complexe à faire qu'en local) ? Tous ces points sont ils corrects ? A titre personnel je ne souhaite pas permettre (pour le moment) d'accès à mon NAS depuis l’extérieur (autre que par un VPN) et la dernière partie du tuto n'est donc pas pour moi. Je pense opter pour l'installation d'un routeur pour plusieurs raisons : 1 - Cela devrait me permettre de répondre à ce sujet de DNS, 2 - Cela devrait me permettre d’apporter à priori une plus grande flexibilité et fiabilité de mon réseau local 3 - Grandement améliorer mon WIFI : actuellement ma Livebox est dans une armoire fermée (qui laisse quand même circuler l'air via des fentes dédiées) diminuant donc fortement la qualité de mon signal or j'ai la possibilité de connecter ailleurs mon routeur en filaire. J'avais historiquement pensé mon installation pour y mettre un point d'accès, je vais donc faire d'une pierre deux coups. 4 - Ce sera également l'occasion d'apprendre des choses sur la DMZ tout en limitant la complexité car je peux également laisser le décodeur TV directement branché à la Livebox NB : pour ceux qui réfléchissent à l'acquisition d'un routeur je partage ma modeste expérience. Bien vérifier que cela est nécessaire (notamment en posant des questions sur ce forum). A titre personnel j'ai fait le choix du Synology MR2200ac un routeur de gamme intermédiaire qui devrait me permettre une certaine souplesse dans la configuration tout en conservant un environnement Synology (plus familier pour moi) et un certain esthétisme (qui m'est imposé par mademoiselle si je veux continuer à installer mes jouets...). En revanche j'ai cru comprendre que certains pouvait faire le même job pour moins cher. Cordialement,

@cpc44 je n'ai clairement pas les compétences pour me prononcer sur l’interprétation de l'alerte de sécu mais je sais que Fenrir mentionne ce point dans son tuto.

@oracle7, Je suis encore largé sur ce sujet donc ... dsl. Tu as raison c'est exactement ce que j'ai fait pour tester mon DNS depuis un client spécifique en locale et en VPN. Je croyais comprendre de ce commentaire que le routeur pouvait utiliser son serveur DHCP pour indiquer le DNS au client. Je comprends maintenant que c'est une mauvaise interprétation de ma part, j'ai donc deux questions pour mieux comprendre et avancer : Q1 - Est-il possible d'indiquer aux clients locaux un DNS à utiliser par défaut, sans configuration spécifique du client, par exemple quelqu'un vient chez moi et il tombe sur mon DSM en se connectant sur mon wifi et en tapant htts://nas/ndd.eu ? J'imagine qu'il doit y avoir une possibilité avec une zone publique qui permettrait de résoudre nas.ndd.eu même en dehors de mon réseau local, mais en plus d'ajouter de la complexité je ne vois pas pour moi l'intérêt puisque je me connecte de l’extérieur exclusivement en VPN. peut-être serais néanmoins obliger de le faire plus tard pour d'autres applications (hebergement d'un serveur email, etc.) ? NB : en réalité je vais surement configurer un WIFI invité pour éviter que quelqu'un se connecte sur mon réseau local. Q2 - Comment un client configuré par défaut sait quel DNS utiliser ? J'imagine que c'est la Livebox qui indique l'adresse non ? C'est vraiment ce point que je ne comprends pas je crois. Une fois ce point conceptuel mieux digérer je vais m'atteler au chantier DM en lisant notamment ton post : à ce propos j'ai facilement la possibilité de connecter en RJ45 mon décodeur TV à ma Livebox (c'est déjà le cas) sans passer par un switch et/ou le routeur que je souhaite installer. Je comprends que ca va fortement me simplifier la vie ? Dans ce cas je n'aurai pas besoin d'un switch administrable ? Est-ce que cette configuration pourrait créer des problèmes que je ne vois pas encore (notamment provenant du fait que mon décodeur TV sera sur un sous réseau différent de mes autres appareils qui seront eux sur la DMZ) ? Merci d'avance,

Hello @cpc44, Je suis novice donc toutes mes propositions sont à vérifier avec des personnes plus expérimentées. Tu peux éditer des règles dans le pare-feu : tu peux par exemple choisir d'ouvrir les ports des services que tu souhaites utiliser (SSH pour toi) et limiter l'ouverture à certains IPs et/ou certaines géographie. Il te faut alors choisir les IPs locales : - 172.16.0.0 avec un masque 255.240.0.0 soit des IP allant de 172.16.0.0. à 172.31.255.255 - 192.168.0.0 avec masque 255.255.0.0 soit des IP de 192.168.0.0 à 192.168.255.255 - voire, si tu utilises un VPN, 10.0.0.0 avec un masque 255.0.0.0 soit les IP allant de 10.0.0.0 à 10.255.255.255 Il ne faut pas oublier de créer une règle en bas de liste (intervenant donc après la réalisation des autres règles) qui bloque tous les IPs (en fait tous ceux que tu n'as donc pas explicitement autorisées grâce à tes précédentes règles). Concrètement sur ton DSM tu vas dans Panneau de Configuration > Sécurité > Pare Feu > Modifier les règles > Créer En espérant t'aider

@Jeff777 ça me parait bizarre d'avoir dépassé 5 demandes dans les 7 derniers jours ... Je vais ressayer tous les jours pendants 7 jours et voir ... Merci, @oracle7, Effectivement je ne maitrise pas bien ces sujets. Donc si je comprends bien, si je laisse les configurations par défaut de mes clients locaux et que j'installe un routeur en DMZ derrière ma Livebox, mes clients locaux s'adresseront bien à mon routeur pour les DNS à utiliser pour faire les résolutions. Moi je n'aurai qu'à choisir le DNS de mon NAS comme DNS préférentiel du routeur. Est-ce bien cela ? Pour info j'ai commandé un routeur Synology MR2200ac, de ce que je lis il devrait très bien faire le job pour le DMZ, les DNS et le Wifi : c'est mon prochain chantier. Merci d'avance,

@PiwiLAbruti Ok très clair. Merci, mais si je peux distribuer le DNS à utiliser par défaut à tous mes clients locaux je trouve ça sympa. Hello @Jeff777, Je ne sais pas pourquoi mais j'ai un message d'erreur lors de la créatiuon de mon certificat, je l'avais fait sans problème pour ndd.synology.me mais là ca bloque ... J'ai bien els ports 80 et 443 ouverts sur le NAS et la Box. As tu une idée ?

Bonjour, Est il possible d'utiliser un planificateur de tache pour automatiser cette démarche ? Au passage, si ce n'est pas abuser, je suis également preneur d'une explication avec les mains sur la dangerosité de l'utilisation de certificats auto signés et/ou l'acceptation d’exceptions dans le navigateurs. Merci d'avance,

@oracle7 merci pur cette réponse super précise et complète. Pour le point 1 c'est maintenant coché, et j'imagine que la réponse à ta question est : la même chose car mon NAS utiliserait alors le DNS indiqué par la Livebox. C'est bien ça ? Pour le point 2 j'ai bien maintenant en IP préféré celle de mon NAS et en IP secondaire celle de ma Livebox. Point 3 : toujours pas de troisième case chez moi concernant les conflits d'IP, peux être la conséquence chez toi de paramétrages plus sophistiqués ? Concernant l'accès à mon NAS sur le client local paramétré avec le DNS de mon NAS, il est bien fonctionnel sans préciser le 5001. Un simple nas.ndd.eu permet l'accès ! Enfin concernant la Livebox : Je croyais comprendre que l'intérêt de mettre un routeur en DMS derrière était multiuple : (i) avoir une gestion plus fiable et plus robuste du DHCP, (i) avoir un meilleur wifi mais surtout (iii) pouvoir imposer les DNS par défaut à utiliser par les clients locaux (sans avoir besoin de configurer le DNS chez eux. Ce n'est pas ça ? Merci dans tous les cas,

@.Shad. merci pour ta réponse. Dans cette configuration mes échanges de données entre mon NAS et mon appareil (prenons le cas par exemple d'un download ou d'un upload d'un PDF) seront ils aussi bien sécurisés qu'avec un VPN. N'ya t il aucun transit par des serveurs tiers par exemple ? L'amateur que je suis, associe (peut-être à tord) le VPN à une sécurité supérieure aux autres types de connexions. Cordialement,

Donc si je récapitule. 1- J'ai maintenant vérifié l'accès fonctionnel depuis un client spécifique à mon NAS en local ou en VPN en utilisant nas.ndd.eu:5001. MERCI à vous ! 2- Ma livebox ne me permettant pas de modifier les serveurs DNS utilisés par mes machines locale je dois maintenant mettre un routeur en DMZ derrière, qui lui le fera. C'est ma nouvelle mission ... 3 - En revanche petite question liée : je vois toujours le https barré sur mon navigateur, j'avais pourtant créé un certificat Let's Encrypt sur ndd.eu. Comment régler ça ?

C'est exactement ça, en cherchant sur le web j'ai vu qu'on recommandait souvent cette manip ... En revanche je sui preneur des explications qualitatives la dessus @oracle7 sans vouloir abuser ...

@oracle7 oui merci beaucoup pour ton ade à toi, @Jeff777 et @PiwiLAbruti Ça marche aussi coté VPN ! Top merci !

1 - Non je n'ai pas coché la case "configurer manuellement le serveur DNS". 2 - J'ai l'IP en grisé de ma box pour le DNS préféré et rien pour le second. 3 - Quant aux paramètre avancés ma version ne propose pas la deuxième case et je n'ai que la première de cochée. Je vais le faire mais je suis preneur de la bonne interprétation des point 1, 2 et 3 si tu veux bien me l'expliquer stp. Mais j'ai désactivé puis réactivé tous les système de sécu de mon client (pare-feu et windows defender) et maintenant ça fonctionne en local ! Je vais essayer avec le VPN. Pour info j'ai aussi désactiver le ndd.eu A IPlocale dans les ressources "pour voir". J'ai fait un flushdns sur mon client et ça tourne toujours en local.