Aller au contenu

Param


Messages recommandés

Bonjour,

Ca fait quelque temps que je cherches à sécuriser toutes mes connections en n'accédant au DSM plus qu'en HTTPS, et j'ai un soucis pour le paramétrage.

Mon serveur NAS est un Synology 212+ avec DSM4.3 à jour. Il est derrière le NAT d'une Livebox avec une adresse IP fixe sur 192.168.1.39/24.

J'ai correctement paramétré le DynDNS et les requètes DNS sont toujours OK, d'où que je sois.

Le NAT de ma box est également paramétré pour ouvrir vers le NAS les ports 5000. 5001

Il y a plusieurs cas de figures que j'observe et n'arrive pas à comprendre.

1) L'ordinateur client est sur le réseau local (à l'adresse 192.168.1.50 par exemple)

1/ Quand j'essaie d'accéder à l'adresse http://192.168.1.39 ou http://192.168.1.39:5000 ou https://192.168.1.39:5001 :

La redirection automatique marche et j'obtient une connection HTTPS avec mon DSM à l'URL https://192.168.1.39:5001. PARFAIT.

Donc le service HTTPS sur le Syno fonctionne.

2/ Quand j'essaie d'y acceder par l'adresse http://mon.nomdedomaine.tld ou :5000

La redirection marche, et m'envoie sur l'URL https://mon.nomdedomaine.tld:5001 (ce que je veux).

Mais la page ne se charge pas (Firefox dit "Firefox can't establish a connection to the server at ..."

3/ Quand j'essaie directement https://mon.nomdedomaine.tld:5001

Pas de redirection à faire, et ça ne marche pas non plus

2) L'ordinateur est à l'extérieur :

Les cas 2 et 3 sont les mêmes.

Je suppose que le problème vient du paramétrage du NAT, puisqu'en local les adresses ne sont pas traduites, mais j'ai tenté d'ouvrir tous les ports et je n'ai pas trouvé de solution.

Pour le moment, le paramétrage que j'ai et qui me semble le plus logique est une redirection (TCP uniquement) des ports 5000->5000 & 5001->5001 vers 192.168.1.39

Y'a t'il quelquechose sur les NAT ou sur le protocole HTTPS que je ne pige pas?

Merci d'avance à tous.

BOUSSON Valentin

EDIT :

Pour précisions, je n'ai aucunes règles dans le pare-feu Syno (par défaut : accepter), le pare-feu de ma box est coupé et n'est régi que par les règles NAT.

J'ai également désactivé toutes les options de sécurités (par dépit ^^) concernant les connection HTTPS.

Modifié par 7nat7
Lien vers le commentaire
Partager sur d’autres sites

Ah, je savais pas. Quelle sont les raisons qui motivent à bloquer le loopback ?

Depuis l'extérieur, sur FF ça mouline à l'infini. Et sur chrome, "Page web inaccessible"

J'ai aussi tenté en passant par un proxy (Hidemyass) et il me répond que "le port est invalide"

Le NAT n'a pas envie de forward mon port 5001 ?

(Je déteste le NAT des BOX, j'ai l'impression qu'il y a de la magie noire à l'intérieur. (cf les problèmes que posent les 2-sided NAT pour FTP) ^^)

Lien vers le commentaire
Partager sur d’autres sites

Pour le HTTP 5000, qui marche (puisque redirection) (et puisque ca merchait bien avant).

port externe 5000

port interne 5000

adresse ip 192.168.1.39

protocole TCP

Pour le HTTPS 5001, qui ne marche visiblement pas

port externe 5001

port interne 5001

adresse ip 192.168.1.39

protocole TCP + UDP

Pourtant, c'est du SSL qui passe par là, donc je vois pas le problème, le TCP devrait même suffir, non ?

Ca parait tout bête comme config, je vois pas où ça pourrait pécher.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Alors, à propos des certificats, quand j'accède au DSM depuis chez moi, j'ai un certificat non signé, mais je le passe en exception sans problème. J'ai cherché si un problème pouvait venir de ce coté là, mais je n'en suis pas convaincu.

--

Bon alors, en fait, je viens de faire quelquechose que j'aurai du faire en premier. J'ai supprimé puis rerentré la règle NAT HTTPS, redémarré ma box, et ça fonctionne.

Je ne saurais dire pourquoi, mais j'avais une règle NAT fantome. Foutues Box.

Désolé de vous avoir embété avec ce faux-problème et merci pour votre écoute.

Moralité (toujours bonne à réapprendre) : Toujours tester un redémarrage !


Au passage, nonon, la livebox (dumoins la mienne : Livebox FTTH v2)

ne bloque pas le loopback. J'arrive à accéder depuis chez moi à l'adresse https://mon_ip_publique:5001

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.