Remplacer Quick Connect !?

[Ridfa]

Salut à tous,

Je cherche à comprendre comment Synology peut permettre (techniquement) de nous fournir le service Quick connect pour le remplacer.

Il ne s'agit pas d'un simple reverse proxy !?

Est-ce faisable en utilisant son nom de domaine perso?

Si quelqu'un peut m'éclairer

Merci d'avance

[Mic13710]

Si vous avez une IP fixe ou un dns, vous pouvez vous passer de Quick Connect et éviter ainsi un intermédiaire plus ou moins fiable.

Il suffit de jouer avec les ports de votre routeur et de les définir pour chaque paquet dans votre NAS.

Pour Cloud Station par exemple, le 6690 est redirigé dans mon routeur, et sur mon PC je me connecte avec :

MonIPpubliquefixe:6690

Idem pourAudio, Photo, File, Surveillance etc..

Vous pouvez aussi limiter le nombre de ports ouverts et jouer avec les alias pour chaque application.

Par exemple, plutôt que d'ouvrir le 5001 pour le DSM et le 7001 pour File Station, vous n'ouvrez que le 5001 et donnez un alias "file" pour File Station.

Pour un accès standard de l'extérieur avec le 7001 ouvert, https:VotreDNS:7001

Avec uniquement le 5001 ouvert et un alias, https:VotreDNS:5001/file

Modifié le 17 février 2014 par Mic13710

[Ridfa]

Salut

Merci pour la suggestion mais je connais ce principe mais ce n'est pas là mon interrogation

En fait mon but c'est de n'ouvrir aucun port là ou est herbergé physiquement le syno si c'est possible (en plus de ne pas trop laisser trainer l'@ip de la maison partout ) moyennant la mise en place d'un serveur dédié ou en tout cas une machine louée ou non qq part "in the cloud" qui reprendrait le rôle du Quick connect de synology.

Mon Syno ouvre un "canal" vers ce "serveur dédié" (pseudo Quick Connect) et pour avoir accès aux différent services je vise ce serveur qui serait comme un reverse proxy.

Comme ça :

syno.mondomaine.tld pointe vers l'@ip du Quick connect maison qui renvoie les requêtes vers le bon syno

Voilà j'espère que c'est plus clair avec ces précsions

[Mic13710]

Désolé, je n'en sais rien.

[Ridfa]

Merci de s'y intéresser

[Ridfa]

Même si ça semble pourri comme "idée"

Je suis preneur de l'explication du pourquoi du comment aussi

[Ridfa]

Salut

ça n'inspire personne ?

[Fenrir]

une idée comme ça en passant, utilise ton dédié comme passerelle vers le nas

client-->cloud-->dédié

seule l'ip du dédiée sera "connue"

tu peux faire la même chose avec un ou deux vpn

ex : nas-->cloud et client-->cloud (ton client et ton nas se "rencontre" sur le cloud) avec 1 ou 2 liens vpn

Pour QuickConnect, je pense que c'est un pseudo vpn (type gre, mais je n'ai pas regardé, un petit tcpdump de donnera l'info) avec un serveur qui fait passerelle (nas--->serveur synology<--client)

[Ridfa]

Salut

C'est exactement ça Fenrir, "une passerelle pour nom de domaine" et mon dédié serait le "frontal"

J'avais pas pensé au VPN!

Je vais voir ça

Merci

Modifié le 18 février 2014 par Ridfa

[Vinky]

Attention dans ce cas. Le pare feu ne fonctionne plus. Fait comme ça, niveau sécurité c'est à mon sens pire car toute personne ayant accès à ton serveur à open bar sur ton NAS.

[Ridfa]

Ben c'est pareil pour les serveurs de synology, non?

Quand tu parles du pare-feu, on parle du pare feu chez moi en aval du syno ou celui sur le serveur "dédié" !?

Depuis je vois le truc comme ça :

Peu importe qu'il soit dédié, loué ou bien autre chose, il dispose de :

- son IP publique fixe, le serveur "relais"

- Il est équipé d'un VPN qui me permettrait de mettre en place un canal "secure" avec mon syno

- Un reverse proxy qui rediriges les requêtes vers le syno le cas échéant

- mon nom de domaine pointe vers lui

Je continue de réflechir...

[Vinky]

Pour les serveurs syno, je ne sais pas comment ça fonctionne, donc encore une fois, impossible de te répondre.

Je parle du pare feu sur ta box/routeur (je ne sais même pas si celui du syno fonctionne mais pas sur non plus car tout passe par le VPN)

Du coup, ton canal est bien sécurisé, mais qu'en est il de l'entrée dans canal ? T'as intérêt de la blinder de vraiment tous les côtés sinon c'est comme si tu avais mis ton NAS à l'air libre.

Le fait d'ouvrir les ports de ton routeur (et de ton NAS si, je l'espère pour toi, le pare feu est activé et fait une restriction de tout par défaut) te donne surtout le fait que certains ports sont fermés. Une fois sur ton serveur VPN (si pas bien sécurise) c'est tout ton NAS qui est accessible...

Perso j'ai plus confiance en la sécu sur le syno que sur mon serveur (pourtant je l'ai blindé avec iptable, Apache restrictif à l'ip + mdp crypté, FTP accessible qu'en local ( donc doit être en VPN pour y accéder, la NAS est comme ça mais configuré uniquement pour se connecter vers le serveur, pas d'accès serveur -> NAS possible), ssh possible uniquement par clé + passphrase + fail2ban qui ban tout ce qui fait un lof d'erreur dans pas mal de domaine. Mais il y a plus de chances que mon serveur est une faille dont je ne connais pas l'existence et dont je n'apprend pas l'existence d'un patch que la même chose avec mon syno

Édit : je ne comprend pas trop la comparaison avec quickconnect au final (sauf les ports ouvert)

Va te falloir faire un sacré parcours pour accéder à ton NAS côté client. Sans compter que quand tu seras en local avec ton NAS, faudra que tu passes par l'extérieur (ton serveur) j'espère que ta fibre en up est bonne

Modifié le 20 février 2014 par Vinky

[Ridfa]

Je comprends rien à ta réponse!

Si tu sais pas comment fonctionne Quick Connect?

Moi je parle de ça et de rien d'autre, ils ont inventé un système qu'il est impossible de reproduire à petite échelle!?

Comment l'affirmer quand on ne connait le truc?

[Vinky]

Mais je n'ai pas parler de quickconnect mais de ta solution...

Ce n'est pas la même chose tout simplement parce que quickconnect c'est pas juste "pas ouvrir de port" c'est aussi un système d'id qui fonctionne sur n'importe quelle client sans aucune configuration et ceux à partir de toutes les applications...

Ta solution n'apportera absolument pas ça, faudra que tu mettes (encore) une Ip comme adresse (correspondant à l'ip local du VPN) et que ton client soit connecté par VPN à ton serveur.

Modifié le 20 février 2014 par Vinky

[Ridfa]

Je voudrais que ça puisse le faire comme synology le peut

je cherche à comprendre comment ce système d'id et de NDD fonctionne pour l'imiter

edit : je me doute que c'est pas simple même que ça peut me couter des ronds lol

Modifié le 20 février 2014 par Ridfa

[Fenrir]

Le fait de passer par une passerelle ne remet pas en cause la sécurité, ça déporte juste le problème.

Si vous regardez la manière dont synology créé ses règles iptables (iptables -L -v -n), c'est assez permissif et peu optimisé.

Dans mon cas j'ai plus confiance dans la sécurité d'une passerelle que j'installe moi même que dans celle d'un syno, mais c'est aussi une partie de mon métier ..., pour quelqu'un qui ne connais pas, il vaut peut être mieux se contenter de ce que propose le syno.

C'est aussi pour ça que j'avai écrit

tu peux faire la même chose avec un ou deux vpn

je parlai d'un vpn entre le client et la passerelle et éventuellement un vpn entre la passerelle et le syno.

après si la passerelle est un gruyère, c'est presque pire que de laisser les ports de sa box ouverts aux quatres vents

mais si j'ai bien compris la demande initiale, il s'agit de ne pas exposer l'IP de la box

Donc je reformulle avec un peu plus de détails

1-passerelle installée et configurée pour n'accèpter QUE des connexions fiables (authentifiées par vpn et/ou clef ssh, si possible avec OTP sur pam)

2-syno configuré pour n'accèpter les connexions Internet que si elle proviennent de la passerelle et/ou du vpn

3-vpn entre le client et la passerelle

4-vpn entre la passerelle et le syno

[Ridfa]

Fenrir tu m'intéresses

attends je digères bien ton post je reviens je v fumer

[Vinky]

Je voudrais que ça puisse le faire comme synology le peut

je cherche à comprendre comment ce système d'id et de NDD fonctionne pour l'imiter

edit : je me doute que c'est pas simple même que ça peut me couter des ronds lol

Bah va falloir oublier l'idée du VPN coté client car en aucun cas, tu dois le faire avec quickconnect.

Il va falloir aussi coder toutes tes apps mobiles pour que comme elles le font actuellement, elles aillent chercher les infos sur le serveur syno (dans ton cas ton serveur). Enfin c'est ce que je suppose qu'elles font, je vois pas autrement, mais ça me semble logique.

Ensuite, je ne sais pas la manière utilisé pour passer du syno vers leur serveur (peut être VPN, mais pas sur).

Si c'est le cas, tu devrais pouvoir faire un système d'alias : id <=> Ip_local_VPN et donc te connecter comme ça. Après tu n'as toujours pas le cas ou au départ syno et client sont sur le même réseau. Faut pas oublier le but initial d'un NAS (accéder à ses données le plus rapidement/facilement possible où que l'on soit) si tu dois passer par le up Max de ta box à domicile, c'est très dommageable je trouve...

Mais tout ça marche dans le code des apps que tu dois donc réécrire ou alors faire un Man-in-the-middle entre le client et les serveurs syno pour rediriger vers ton serveur perso.

Ça n'empêche que tu dois avoir 100% confiance en ton serveur et ça sécu pour faire ça.

Modifié le 20 février 2014 par Vinky

[Fenrir]

Je voudrais que ça puisse le faire comme synology le peut

je cherche à comprendre comment ce système d'id et de NDD fonctionne pour l'imiter

edit : je me doute que c'est pas simple même que ça peut me couter des ronds lol

je viens de faire une petite capture, c'est simple :

client -> passerelle synology (dans mon cas c'est passé par un serveur en angleterre "ukr6.synology.com"), de là les données sont passées dans un tuyau openvpn monté entre cette passerelle et mon syno via le port 443

1-quand on active quickconnect, synology nous créé une entrée DNS (quickconnectID.payeleplusproche.quickconnect.to) ET monte un vpn (en utilisant le process synorelayd) entre le syno et une passerelle

2-quand le client utilise quickconnect pour joindre le syno, il passe simplement par cette passerelle

Donc par rapport à mon message précédent, entre avoir sa propre passerelle et savoir que son syno est accessible directement depuis un serveur tiers, mon choix est vite fait ...

[Vinky]

je viens de faire une petite capture, c'est simple :

client -> passerelle synology (dans mon cas c'est passé par un serveur en angleterre "ukr6.synology.com"), de là les données sont passées dans un tuyau openvpn monté entre cette passerelle et mon syno via le port 443

1-quand on active quickconnect, synology nous créé une entrée DNS (quickconnectID.payeleplusproche.quickconnect.to) ET monte un vpn (en utilisant le process synorelayd) entre le syno et une passerelle

2-quand le client utilise quickconnect pour joindre le syno, il passe simplement par cette passerelle

Donc par rapport à mon message précédent, entre avoir sa propre passerelle et savoir que son syno est accessible directement depuis un serveur tiers, mon choix est vite fait ...

Ok ça confirme donc ce que je pensais. Merci pour le test

Que se passe t'il si tu es sur le même réseau que ton NAS ? Tu passes en permanence par cette passerelle également et donc bridé où le rapprochement en local est fait ? (Sorte de loopback)

Le choix est effectivement vite fait ,Pour ta dernière remarque, mais perso j'aime pas choisir entre le vélo et la marche quand je peux me déplacer en avion (cf la connexion local) donc je choisi l'accès direct avec verrouillage de tout ce qui n'est pas utile/important du côté des ports. (Seuls les ports indispensable sont ouvert : web, sftp, accès VPN le tout en non par defaut. Et pour le ssh accessible via VPN et uniquement clé ssh+passphrase. )

[Ridfa]

J'ai loupé un truc

[Ridfa]

Fenrir t pas une femme? je peux pas me transformer mdr

Sinon sérieusement je voyais une passerelle sous PFSense ailleurs que chez moi on va dire pour ne pas entrer dans des problématique de sous argent, ou autre...

- Configurer le pare-feu pour n'autoriser que les ports qui m'intéresse 443 par exple

- Un reverse proxy sur cette même passerelle avec système de bannissement (mais faut que je creuse)

- OpenVPN server pour le lier au client VPN du syno

Modifié le 20 février 2014 par Ridfa

[Fenrir]

pour la connexion local, normalement le problème ne se pose pas

quand le client se connecte, s'il peut directement contacter le syno il ne passe pas par le net, mais par le lan

maintenant pour la méthode de détection, je ne sais pas exactement, mais comme il se connecte à la passerelle puis au syno juste après, je suppose que synology voit que le client et le nas ont la même ip publique et donne donc l'instruction au client de se connecter directement

edit : pour faire la même chose à la main, il suffit de ne pas lancer le vpn quand on est dans le lan, ou de bien régler le vpn pour ne l'utiliser que quand on veut aller sur l'ip de la passerelle.

Modifié le 20 février 2014 par Fenrir

[Vinky]

pour la connexion local, normalement le problème ne se pose pas

quand le client se connecte, s'il peut directement contacter le syno il ne passe pas par le net, mais par le lan

maintenant pour la méthode de détection, je ne sais pas exactement, mais comme il se connecte à la passerelle puis au syno juste après, je suppose que synology voit que le client et le nas ont la même ip publique et donne donc l'instruction au client de se connecter directement

Oui ok pour le lan. Donc ça implique de devoir jongler dans ses favoris... Pas des plus pratiques, mais ça fonctionne

@Ridfa : je crois comprendre notre incompréhension : dans quickconnect tu sous entends uniquement l'url quickconnect.to/ID ? Tu ne prends pas en considération les applications mobiles/tablette qui utilise également cet ID.

Si c'est le cas, c'est effectivement plus simple via une passerelle et un reverse proxy tout simplement. Puis une limitation d'accès qu'à la passerelle pour éviter tout accès extérieur. (Même pas certain que le VPN soit indispensable au fonctionnement, juste que ça t'assure le chiffrement)

[Ridfa]

Oui et ça rend le service d'autant plus sex !

Mais je possède mon nom de domaine donc le choix se fera par une bonne config DNS

Ou je peinais à avancer c'était ça comment faire le lien permanent entre syno et "pseudo serveur synology quick connect qui n'en est pas"

Le VPN c'est la piste ça me paraît clair

Que penses-tu de ça alors

une passerelle FW Reverse proxy comprenant le serveur VPN

Un lien VPN avec lcé SSH entre syno et passerelle

Les règles serait de rediriger le trafic qui pointe vers monsyno.mondomaine.tld vers mon syno

Je pourrais faire du "port translating" en toute transparence non !?

genre monsyno.mondomaine.tld/FS qui pointe vers le port de FiIeStation par exple?

Le système d'id doit être une astuce consistant à ajouter le NDD à la suite de l'id en question donc je m'en passe,

Et tout ça sans que jamais l'ip publique "abritant" mon syno ne soit divulgué au delà de ma passerelle ?

Faut que je retourne à la clope !

Merci Fenrir pour tes lumières