Norbert231 Posté(e) le 9 mars 2015 Posté(e) le 9 mars 2015 Bonjour, J'aimerais autoriser l'accès de mon syno a un particulier dont l'ip est dynamique (son FAI change son ip régulièrement)... comment faire ? Je lui créé une adresse dyndns fixe mais je ne peux pas l'insérer dans les réglages du firewall Est-ce impossible de créer une règle de firewall avec un nom de domaine dyndns au lieu d'une ip ? 0 Citer
domlas Posté(e) le 9 mars 2015 Posté(e) le 9 mars 2015 Si je comprends bien ton firewall filtre les entrées par les adresses IP avec celles autorisées placées sur une "liste blanche" ? Dans le cas d eton ami il n'y a pas de solution facile, ni même possible peut-être. En effet son IP lui est fournie eclusivement par son FAI et personne d'autre n'y peut quelque chose. Si son FAI lui change tous les jours elle changera tous les jours, tu n'y peux rien. Un DDNS (genre dyndns) ne rend pas cette IP "fixe" mais se charge seulement d'organiser un lien, une sorte d'alias qui lui est toujours le même (comme toto.dyndns.org par exemple) qui va être en permanence redirigé vers l'IP dynamique du moment. Ainsi aujourd'hui toto.dyndns.org dirigera vers 90.56.45.215 (ta vraie IP de connexion) et demain vers une autre comme 75.152.25.68 qui sera celle que te fournira ton FAI pour demain. 0 Citer
gaetan.cambier Posté(e) le 9 mars 2015 Posté(e) le 9 mars 2015 c'est pas impossible de faire cela en script il suffit de : monitorer le changement d'ip dans le dns, et inserer une regle iptable des que cela se produit rien de + 0 Citer
loli71 Posté(e) le 9 mars 2015 Posté(e) le 9 mars 2015 La seule chance de pouvoir faire cela n'est pas "natif" au firewall du synology .... mais comme en informatique tout est possible, voici une possibilité (parmi d'autres très certainement) de pouvoir contourner le problème. utilisation d'un script schédulé à ton bon vouloir qui récupère l'adresse IP de ami en utilisant l'adresse dyndns (par exemple en faisant un simple "ping machine.nomdedomaine.dyndns" comparaison de cette adresse IP avec celle stockée par ton script dans un fichier texte (par exemple lastip.txt) lors de son dernier lancement 1) l'adresse ip est la meme : rien a faire, on sort du script 2) l'adresse ip est différente : - suppression de l'entrée existante (ancienne ip de ton ami) dans le firewall synology - ajout de la nouvelle adresse ip dans le firewall dy syno avec les bonnes autorisations - remplacer l'adresse ip dans le fichier lastip.txt Et voilà le tour est joué. Je te l'accord, la solution est loin d'être évidente, mais comme il est possible d'ajouter/supprimer/lister les règles de firewall du synology en ligne de commande, cela rend la création d'un script possible. http://blog.gauss-it.net/2014/08/synology-du-dsm-au-terminal/ => III) Gérer votre Firewall depuis votre Syno La ligne de commande pour récupérer l'adresse IP en fonction du nom est simple elle aussi : ping -q -c 1 nom.complet.dyndsn | grep PING | sed -e "s/).*//" | sed -e "s/.*(//" 0 Citer
PiwiLAbruti Posté(e) le 9 mars 2015 Posté(e) le 9 mars 2015 Et si on n'a pas encore atteint un niveau de paranoïa trop élevé, il est possible d'autoriser les sous-réseaux de l'opérateur auquel l'adresse IP appartient. Liste des sous-réseaux IP : ftp://ftp.ripe.net/ripe/stats/membership/alloclist.txt Exemple avec un client Orange dont l'adresse appartient nécessairement à l'un des sous-réseaux ci-dessous : fr.telecom Orange S.A. 19930901 193.248.0.0/14 ALLOCATED UNSPECIFIED 19930901 193.252.0.0/15 ALLOCATED UNSPECIFIED 19930927 194.2.0.0/16 ALLOCATED UNSPECIFIED 19950111 194.51.0.0/18 ALLOCATED PA 19950711 194.3.0.0/16 ALLOCATED UNSPECIFIED 19951019 194.51.64.0/18 ALLOCATED PA 19951019 194.51.128.0/17 ALLOCATED PA 19951019 194.206.0.0/16 ALLOCATED PA 19960304 194.250.0.0/16 ALLOCATED PA 19960730 195.6.0.0/16 ALLOCATED PA 19961101 195.25.0.0/16 ALLOCATED PA 19970307 195.101.0.0/16 ALLOCATED PA 19970501 62.160.0.0/16 ALLOCATED PA 19980416 212.234.0.0/16 ALLOCATED PA 19980729 62.161.0.0/16 ALLOCATED PA 19990802 213.56.0.0/16 ALLOCATED PA 20001222 217.108.0.0/15 ALLOCATED PA 20010115 217.128.0.0/16 ALLOCATED PA 20010406 217.167.0.0/16 ALLOCATED PA 20010503 .8.0.0/13 ALLOCATED PA 20020325 81.48.0.0/13 ALLOCATED PA 20020326 81..0.0/16 ALLOCATED PA 20030213 81.248.0.0/13 ALLOCATED PA 20031021 82.120.0.0/13 ALLOCATED PA 20031212 83.112.0.0/14 ALLOCATED PA 20031212 83.192.0.0/12 ALLOCATED PA 20050302 86.192.0.0/10 ALLOCATED PA 20060302 90.0.0.0/9 ALLOCATED PA 20070712 92.128.0.0/10 ALLOCATED PA 20091007 109.208.0.0/12 ALLOCATED PA 20100712 2.0.0.0/12 ALLOCATED PA 20000623 2001:688::/32 20051230 2a01:c000::/19 0 Citer
gaetan.cambier Posté(e) le 9 mars 2015 Posté(e) le 9 mars 2015 (modifié) cette solution ci à l'avantage de pas faire de ping pour recupérer l'ip : nslookup domain.dyndns.com | awk '/^Address 1: / { print $3 }' | sed -n 2p Modifié le 9 mars 2015 par Gaetan Cambier 0 Citer
loli71 Posté(e) le 9 mars 2015 Posté(e) le 9 mars 2015 Norbert231, voici un script que tu pourrais utiliser pour faire ce que tu souhaites, il suffira de le schéduler à ta guise : #!/bin/sh # ******************************************* # Script permettant d'autoriser une ip dynamique # dans les regles de firewall du synology # ******************************************* # ******************************************* # v1.0 - 01/03/15 - Version initiale # ******************************************* # ******************************************* # Renseigner le nom FQDN du host a autoriser (dyndns ou autre) # ******************************************* FQDNhost=monhost.dyndns.org # ******************************************* # Renseigner le chemin complet ou sauvegarder la derniere adresse IP # ******************************************* ArchiveIpFile=/volume1/homes/admin/store_managed_ip_dynamic.txt # ******************************************* # Renseigner le nom de l'interface reseau du syno # ******************************************* INTERF=eth0 # ******************************************* # Ne pas modifier la suite du fichier # ******************************************* IPDYN=`nslookup $FQDNhost 2> /dev/null | awk '/^Address 1: / { print $3 }' | sed -n 2p` ACTVAL="" if [ -z "$IPDYN" ];then echo "Erreur nslookup" exit 1 fi echo "$FQDNhost: $IPDYN" if [ -f $ArchiveIpFile ]; then . $ArchiveIpFile fi if [ "$IPDYN" != "$ACTVAL" ]; then # Mise a jour des regles de firewall # Suppression de l'ancienne regle IDRULE=`synofirewall --list $INTERF | grep "$(printf 't')ALL$(printf 't')(all)$(printf 't')$ACTVAL$(printf 't')allow" | sed 's/^([0-9]*)t.*$/1/'` if [ -z "$IPDYN" ];then echo "ID regle a supprimer: $IDRULE" synofirewall --delete $INTERF $IDRULE 2>&1 else echo "Pas de regle a supprimer" fi # Ajout de la nouvelle regle echo "Ajout de la nouvelle regle:" synofirewall --insert $INTERF 500 2>&1 << EOF 0 1 $IPDYN 0 1 EOF # enregistrement de la nouvelle adresse echo "ACTVAL=$IPDYN" >$ArchiveIpFile else echo "Aucun changement d'adresse IP" fi 0 Citer
gaetan.cambier Posté(e) le 10 mars 2015 Posté(e) le 10 mars 2015 ou meme mieux que un shedule, le faire tourne en boucle (avec un sleep qd meme ) pour modifié le firewall au + vite ps : loli tu as été motivé pour le script 0 Citer
loli71 Posté(e) le 10 mars 2015 Posté(e) le 10 mars 2015 ps : loli tu as été motivé pour le script Ouep, je ne sais pas pourquoi, ca m'a botté de tester un script qui gère les règles de firewall 0 Citer
Norbert231 Posté(e) le 10 mars 2015 Auteur Posté(e) le 10 mars 2015 Waouw ! Merci pour toutes ces aides et réponses (je suis assez noobs et) je pensais qu'il y avait juste une case à cocher qui m'avait échappé qelque part dans l'interface du DSM ou quelque chose de simple de ce genre... je n'imaginais pas avoir enclenché une demande de script personnalisé sur mesure pour mon cas ! Merci loli71 pour cet effort héroique, je vais essayer de le mettre en place 0 Citer
skyrick Posté(e) le 23 mars 2015 Posté(e) le 23 mars 2015 Par contre du coup je comprend pas un truc, comment le DynDNS lui, sait que l'IP du FAI a changé ? oO 0 Citer
gaetan.cambier Posté(e) le 23 mars 2015 Posté(e) le 23 mars 2015 Car pour gérer un dyndns, il y a toujours un programme sur le nas/PC/routeur pour surveiller l'IP et mettre a jour le dyndns 0 Citer
skyrick Posté(e) le 23 mars 2015 Posté(e) le 23 mars 2015 Merci pour ta réponse, c'est la que je capte pas trop (dans mon cas, NAS sous dernier DSM 5 et Routeur Orange ... Je vois pas trop ou sont ces programmes ... help 0 Citer
gaetan.cambier Posté(e) le 23 mars 2015 Posté(e) le 23 mars 2015 Dans le nas, il y a la gestion des adresse dynamique http://trantor.synology.me/ruthpozuelo/configure-ddns-synology-nas-ds713/ De mon GSM, j'ai pas trouvé mieux comme lien 0 Citer
domlas Posté(e) le 24 mars 2015 Posté(e) le 24 mars 2015 Routeur Orange ? Livebox play par exemple ? Elle dispose de trois services DDNS : dtdns.net, no-ip.com et dyndns.org. Ce dernier pour mémoire car il est devenu payant. On va prendre l'exemple de dtdns qui est gratuit et très fiable. D'abord aller sur le site www.dtdns.net S'enregistrer comme nouvel utilisateur. Renseignements importants demandés: définir un nom d'hôte (il faut qu'il soit libre, pas déjà utilisé par quelqu'un d'autre) par exemple toto définir un mot de passe (pour toto) donner une adresse mail fonctionnelle (il faudra confirmer l'inscription) les autres renseignements sont sans intérêt on peut mettre n'importe quoi. Dès lors (une fois le mail d'acceptation validé) tu auras un "nom de connexion" comme ça : toto.dtdns.net Tu peux quitter c'est fini. Tu vas maintenant dans ta box en tant qu'administrateur >>> configuration avancée >>> onglet DynDns Dans la fenêtre en dessous tu auras Nom d'hôte = tu y mets celui obtenu précédemment = toto.dtdns.net Nom utilisateur mail = toto (tout seul il ne faut pas mettre l'adresse mail, la dénomination de la fenêtre est trompeuse) Mot de passe = le mot de passe défini ci-dessus pour toto) Enfin bien faire "ajouter". Je ne sais pas pourquoi mais on oublie souvent. La première mise en route peut prendre de quelques minutes jusqu'à 72 heures ! (il parait) Le principe de fonctionnement : Ce petit logiciel installé dans la box que tu viens de paramétrer va en permanence vérifier ton adresse IP publique. Celle fournie par ton FAI et qui change régulièrement. Dès qu'il note un changement d'IP il transmet la nouvelle IP vers ton compte chez dtdns. Dès lors dtdns va associer ton nom de connexion (toto.dtdns.net) avec ton IP publique du moment. A chaque changement d'IP la redirection sera remise à jour dans les instants qui suivent. Ce qui fait que quiconque tapera http://toto.dtdns.netdans un navigateur atteindra ta livebox. Et restera bloqué là. (sécurité du parefeu et des ports d'entrée fermés) Il te faudra alors paramétrer l'onglet NAT/PAT de la box pour "ouvrir" c'est à dire rediriger les ports nécessaires aux applications voulues vers le nom du syno ou son IP privée. Il faudrait aussi créer un bail c'est à dire dans l'onglet DHCP inscrire le syno, son numéro MAC et l'IP voulue dans le cadre IP statiques. De ce fait ton syno aura toujours la même adresse IP quoi qu'il arrive et le routeur (box) ne l'attribuera jamais à personne d'autre. Enfin bien activer et paramétrer (et peut être installer aussi) les applications voulues dans le syno. Par contre et bien que cela soit très tentant NE JAMAIS LANCER EZinternet dans le syno qui est théoriquement indiqué pouvoir tout paramétrer automatiquement. SAUF NOS BOX françaises trop élaborées. En tout cas EZinternet ne marche pas sur Liviebox, dérègle plein de choses ce qui nécessite la plupart du temps un reset "usine" de la box. Rassure toi : ça parait hardu comme ça mais quand on l'a fait deux ou trois fois ca rentre tout seul. 0 Citer
k750 Posté(e) le 24 mars 2015 Posté(e) le 24 mars 2015 Bonjour Domlas, Bon ne sachant pas que DtDNS était gratuit je suis tombé sur ton post De ce pas vite fait bien fait je me suis crée un compte chez DtDNS Compte accepter et confirmer via mon émail et le code d'activation. J'ai été dans la Livebox ajouter un service DynDNS en choisissant bien DtDNS Dans nom d’hôte complet j'ai mis toto.dtdns.net, toto a été remplacer par mon propre User Name Le reste avait deja été fait comme les ports le bail de l'IP serveur Un truc me chiffone, les 2 premières lettres du User Name sont passer en majuscule alors que moi je n'avais mis que des minuscules La déclaration dans la box doit-elle faite avec des majuscule ou des minuscules ? Dans la box colonne "dernière mise à jour' pour l'instant il y a "unknown" Je suppose que l'on doit attendre la mise a jour 0 Citer
skyrick Posté(e) le 24 mars 2015 Posté(e) le 24 mars 2015 (modifié) Ok c'est parti, Sur dtDNS : J'ai créé un username dans Hostnames, j’espère que c'est bien ca, donc j'ai bien un truc genre : username.dtdns.net qui a detecté mon IP et m'as mis en "Active Dynamic" ... et la mise à jour fonctionne dans la liveBox ! Parfait ! Question 1 : Différence entre Hostnames et Manage Domains sur DtDNS ? Question 2 : Comment changer le mot de passe / login admin par defaut sur la liveBox ? (un peu dangereux la ^^) (Edit1 : j'ai changé le mot de passe pour un mdp fort, à prioris le login : pas possible de le changer) Ok par contre c'est chaud non ? je pense qu'on voit toute mon installation sans que je me log en tapant : username.dtdns.net ? (Edit2: hmm je pense que y'a une redirection automatique quand je tape username.dtdns.net en local, car si je test en 3G par mon téléphone, j'ai une erreur pour l'instant). Question 3 : Est ce que le FireWall LiveBox Orange paramétré en "moyen" suffit ? Modifié le 24 mars 2015 par skyrick 0 Citer
k750 Posté(e) le 24 mars 2015 Posté(e) le 24 mars 2015 Ok c'est parti, Sur dtDNS : J'ai créé un username dans Hostnames, j’espère que c'est bien ca, donc j'ai bien un truc genre : username.dtdns.net qui a detecté mon IP et m'as mis en "Active Dynamic" ... et la mise à jour fonctionne dans la liveBox ! Parfait ! Bonjour Tu a bien de la chance car sur ma Livebox Play c'est encore marqué "unknown" Moi je pense avoir fait exactement comme domlas l'a expliquer 0 Citer
k750 Posté(e) le 24 mars 2015 Posté(e) le 24 mars 2015 Dans "Configuration avancée" tout en bas tu a "Administration" C'est ici que tu modifie la passe de l'administrateur de la Livebox 0 Citer
skyrick Posté(e) le 24 mars 2015 Posté(e) le 24 mars 2015 Dans "Configuration avancée" tout en bas tu a "Administration" C'est ici que tu modifie la passe de l'administrateur de la Livebox Yep, j'ai demandé pour changer le login, crééer autre chose que "admin" pour le mdp j'avais trouvé. ----- Question 4 : Pour tester : meme en local j'arrive pas à acceder au DiskStation en tappant : - username.DtDNS.net/DiskStation ou :5000 - 192.168.1.1/DiskStation:5000 Normal ? 0 Citer
domlas Posté(e) le 24 mars 2015 Posté(e) le 24 mars 2015 (modifié) Non 192.168.1.1/photo (pour atteindre photo station par exemple) depuis le réseau interne ou usernameDTDNS/photo depuis l'extérieur ou 192.168.1.1:5000 pour l'accès par un port. Par ailleurs je n'ai jamais trouvé le moyen de changer l'identifiant "admin" sur la LB. Si quelqu'un connait la procédure ? Modifié le 24 mars 2015 par domlas 0 Citer
skyrick Posté(e) le 24 mars 2015 Posté(e) le 24 mars 2015 (modifié) Hmm cella ne fonctionne pas mais j'imagine que je dois ouvrir des ports avec NAT/PAT, genre 5000 ? mais ne vaut'il mieux pas, par sécurité changer le port par defaut du DiskStation ? J'utilise aussi BitSync et CloudSync, j'imagine qu'il faut aussi ouvrir ces ports ? edit : J'ai un peu tout testé, et je n'arrive à rien afficher avec 192.168.1.1:5000/photo en ouvrant 5000 sur NAT/PAT Modifié le 24 mars 2015 par skyrick 0 Citer
k750 Posté(e) le 25 mars 2015 Posté(e) le 25 mars 2015 Non ca c'est l'IP de ta Livebox Tu dois tapé l'IP du serveur sans le numéro de port La tu arrive dans l'interface du serveur Synology, tu rentre le pseudo et mot de passe du compte Ca chez moi ca marche nickel Par contre de l'extérieure je n'arrive a rien avec le service DtDNS 0 Citer
k750 Posté(e) le 25 mars 2015 Posté(e) le 25 mars 2015 (modifié) De cette facon tu arrive sur le syno : "http://ip-du-serveur:5000/webman/index.cgi" Ou le lien sécurisé : "https://ip-du-serveur:5001/webman/index.cgi" Voici les règles que j'ai mis (clic sur l'image) Modifié le 25 mars 2015 par k750 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.