Comment configurer correctement l'accès externe ?

[Francoporto]

Bonjour tout le monde, j'ai fais l'acquisition d'un nouveau NAS DS216Play dont je suis très content, il me permet aussi d'améliorer mes connaissances en réseau donc c'est cool. 
J'ai déjà fais des manipulations en regardant plusieurs tutos et guide de synology je trouvais tout ça super et sans faille (ou presque car rien n'est sans faille) jusqu'à que je tombe sur le topic d'une personne sur la sécurité du NAS en disant que QuickConnect ID était en fait pas si super que ça...

J'ai réinitialisé mon NAS et mis une adresse IP fixe: 192.168.1.250 

J'aimerais maintenant avoir de l'aide avec votre méthode à vous et vos pensées pour le configurer.

 

Mon premier but serait de rendre accessible mon NAS de n'importe où mais non pas avec une adresse IP mais avec un nom de domaine et le plus sécurisé possible, c'est surtout pour apprendre.

 

1) La première question est, est-ce-que les noms de domaine qu'offre Synology avec synology.me sont fiable par exemple ?

2) Est-il mieux d'utiliser un nom de domaine Synology ou un du style OVH est mieux et si oui pourquoi ?

3) On peut configurer l'accès externe par nom de domaine avec Ez-Internet je l'avais déjà fait pour test mais est-ce fiable ça aussi ? Comment ça fonctionne concrètement ?

 

 

Merci beaucoup si vous pouvez m'aider à configurer et surtout à comprendre bien correctement tout ça ! 

 

[Fenrir]

Bonjour,

Pour commencer, tu peux aller te présenter dans la section éponyme, ça fait toujours plaisir ;).

Pour ce qui est de quickconnect, ce n'est effectivement pas la panacée niveau sécurité => à couper selon moi

1. suffisamment pour un particulier
2. en utilisant ton propre domaine, tu peux faire bcp plus de choses qu'avec un simple dynsdns (synology.me est un dyndns), après tu as l'aspect "visuel" du nom, ça c'est juste une question de gouts
3. il ne faut pas utiliser EZ-Internet

Tu peux suivre le tuto présent en lien dans ma signature, ça te donnera pas mal d'informations sur ce qui est faisable pour sécuriser les accès à ton nas. En complément, si tu souhaites vraiment sécuriser les accès à ton nas, tu trouveras un tuto vpn dans la même section du forum.

ps : pense aussi à remplir ta signature, ça permet de voir en un coup d’œil le modèle du nas, sa version, ...

[Francoporto]

Salut !

Merci pour ta réponse rapide je venais justement de faire la présentation, on se croirait sur les forums de guilde sur WoW à l'époque 

Je vais re suivre ton tuto plus en profondeur merci à bientôt !

[Francoporto]

Re :)

 

J'ai relu ton tutoriel il est super j'ai même mis ton site perso en favori que je regarderai plus demain quand j'aurai dormi, le sujet sur l'IPv6 à l'air intéressant j'attends de maîtriser mon NAS pour ensuite maîtriser les bases solides de l'IPv6.

Du coup j'ai pas eu besoin de Ez-Internet c'est parfait j'arrive à me connecter à mon NAS avec mon nom de domaine synology.me, j'ai aussi supprimé le certificat de base et installé un certificat auprès de Let's Encrypt. Du coup est-ce que je peux activer l'HTTPS pour que tout passe par le port 5001 sans que mon navigateur me fasse chier avec un problème de sécurité à chaque fois ? Ou y a besoin d'une manipulation supplémentaire ?

 

Merci :)

[Fenrir]

Il vaut mieux ne pas ouvrir le port le port 5001 depuis Internet.

Pour tes questions, ça dépend de plein de choses, tu peux te servir du reverse proxy, mais aussi du serveur DNS et de plein d'autres trucs. Regarde par exemple le tuto DNS, ça te donneras des idées.

[Francoporto]

Pourquoi vaudrait mieux rester en 5000 http plutôt qu'en 5001 https ? ;( 

[Fenrir]

Je n'ai pas dit ça, je déconseille juste de rendre DSM (5000, 5001 what ever you set ...) accessible depuis Internet.

[Francoporto]

D'accord mais pourquoi ? 

[Fenrir]

Pour éviter de trop exposer ton nas à Internet ... question de sécurité

[Francoporto]

D'accord par quel procéder je dois faire pour que genre mon père puisse lire des films stocker chez moi quand il est en déplacement par exemple ? Je peux avoir des idées mais les tiennes sont surement meilleurs c'est pour ça que je préfère avoir ton avis tu aura surement la meilleur solution !

[Fenrir]

Tu peux utiliser le portail d'application pour faire écouter les différentes applis sur différents ports.

Par exemple pour videostation, tu peux lui demander d'écouter sur le port 12345, ainsi en faisant http://ton.adresse.ip.public:12345 tu tomberas sur videostation, est uniquement cette appli

Une autre manière de faire est le reverse proxy (cf fin du tuto sécurité)

[Francoporto]

Ok donc en gros je restreins l'accès au max par application, au lieu de rendre tout le DSM accessible je rend uniquement l'application ?

[Fenrir]

oui

[Francoporto]

Salut, 

J'aimerai savoir maintenant comment faire pour me connecter à mon NAS mais en externe cette fois si car quand je mets l'adresse IP publique de ma box + le port 7000 (file station par exemple) ça ne marche pas. Alors j'imagine que ce serait trop simple sinon, avec Ez-Internet ça marchait parce qu'on touchait à la partie "Configuration du routeur" ! Chose qui est un gros point noir niveau sécurité d'après ton tuto.

 

Alors du coup comment faire pour y accéder en externe, au moins dans un premier temps en mettant directement l'adresse IP + le port ? Faut-il faire une sorte de redirection de port en allant dans les paramètres de ma box ?

 

EDIT: Ou alors uniquement grâce au VPN ? :)

Modifié le 5 juillet 2017 par Francoporto

[Fenrir]

Il y a 2 heures, Francoporto a dit :

Faut-il faire une sorte de redirection de port en allant dans les paramètres de ma box ?

oui, il faut faire à la main ce que faisait ezmachin, mais comme tu la fais à la main, c'est plus propre et surtout "maitrisé"

nb : si tu souhaites réduire le nombre de ports à ouvrir, tu peux utiliser le reverse proxy du syno

[Francoporto]

D'accord je vais aller me documenter sur tes tutos et internet en ce qui concerne les proxy et reverse proxy parce que dessus j'y connais rien.

Au cas ou le VPN suffit-il sinon ?

Modifié le 5 juillet 2017 par Francoporto

[Fenrir]

Pour le reverse proxy j'en parle à la fin du tuto sécu.

Le VPN c'est autre chose, c'est très bien pour "l'administrateur" du nas, mais c'est moins pratique pour partager des trucs avec la famille ou des amis.

[Francoporto]

Salut, j'ai réussi à réalisé ton tuto VPN en L2TP/IPsec et une bonne partie du DNS merci encore à toi :)

j'aimerais cependant avoir quelques précisions parce que je suis perdu dès qu'on me parle de port, pourquoi ? Parce que je ne sais jamais où il faut faire les configurations, par moment il faut mettre des autorisations sur le NAS, et des fois uniquement sur le routeur...  Je risque de t'embêter un peu 

 

Sur ma Freebox j'ai 3 possibilités en ce qui concerne le paramétrage de ports:

• Redirection de port: Je peux définir une adresse IP source, une adresse IP destination et des ports, si c'était le le seul paramètre existant je comprendrais.
• Connexion entrante: Ici j'ai une petite liste ports où la moitié concerne le VPN du NAS, je pense qu'ils ont dut s'y mettre pendant la configuration. Cependant je ne peux pas en ajouter ni en supprimer, par contre je peux les désactiver ou non. Le problème ? C'est que je ne comprends pas à quoi cette partie sert étant donné que même lorsque je désactive les ports VPN de cette liste, sur mon téléphone je reste toujours connecté et j'ai accès au NAS et à Internet avec une IP¨10.x.x.x.
• UPnP: Bah alors lui j'en sais rien du tout.

 

De plus, sur le NAS il y a 2 trucs où j'aimerais connaitre la différence:

- Configuration routeur: Est ce que cette partie ouvre les ports choisit sur le NAS ou alors non seulement ça les ouvre mais en plus ça paramètre mon routeur pour faire une redirection de ports ? 

- Centre d'infos Service: On peut cocher des services sur la partie Transmission de port, est ce que c'est juste un raccourci pour Configuration routeur ? Ou alors c'est encore un autre truc ?...

 

Ca me freine beaucoup dans mon apprentissage tout ça ;(

 

Merci d'avance si tu peux m'aider à y voir plus claire !

 

 

[Fenrir]

Je n'ai pas ce modèle de freebox donc je ne connais pas les menu qu'il faut utiliser. Tout ce que je peux te dire c'est de désactiver l'UPnP.

Le principe général c'est de transférer/forwarder/nater les ports que tu utilises.

il y a 23 minutes, Francoporto a dit :

Configuration routeur:

Il ne faut pas utiliser cette fonction (cest lié à l'upnp)

[Francoporto]

Ok dommage, oui effectivement lorsqu'on passe par Configuration Routeur les ports en question sélectionné sont inscrit dans la liste UPnP de la Freebox, si j'en supprime le port video station sur cette liste par exemple je ne pourrais plus y accéder en externe.

J'ai cherché sur internet à propos de ce protocol grosso-modo la seule chose mentionné c'est que c'est un protocol qui analyse le réseau et peut récupérer beaucoup d'information, mais je ne vois ce que viens faire les ports ici... casse-tête...

Je viens de tester de mettre la redirection de port Video Station sur ma box à priori ça marche nickel. 

 

Du coup en faite sur mon NAS j'ai même pas à me prendre la tête ? A chaque fois que je veux faire en sorte qu'un service soit accessible depuis Internet j'ai juste à faire une redirection de port sur mon routeur ? Parce que franchement si c'est aussi simple que ça leur Configuration routeur est un véritable casse-tête, un labyrinthe !

 

Modifié le 7 juillet 2017 par Francoporto

[Fenrir]

L'UPnP c'est un ensemble de protocoles/normes qui doivent, en théorie, simplifier la vie des utilisateurs. Dans le cas présent ça permet à ton nas, mais aussi à n'importe quel machine de ton réseau, de demander une ouverture de port => du point de vue sécurité c'est très discutable.

il y a 17 minutes, Francoporto a dit :

j'ai juste à faire une redirection de port sur mon routeur ?

oui et éventuellement à l'autoriser dans le firewall du nas

[Francoporto]

Ok merci beaucoup pour ton aide !  

[Medaillon]

Le 19/06/2017 à 19:40, Fenrir a dit :

Tu peux utiliser le portail d'application pour faire écouter les différentes applis sur différents ports.

Par exemple pour videostation, tu peux lui demander d'écouter sur le port 12345, ainsi en faisant http://ton.adresse.ip.public:12345 tu tomberas sur videostation, est uniquement cette appli

Une autre manière de faire est le reverse proxy (cf fin du tuto sécurité)

Question bête : lorsqu'on restreint l'écoute d'une appli sur un port ainsi, on garde tout de même l'accès à celle-ci lorsqu'on se connecte au DSM non ?

Merci aussi, j'y vois un peu plus clair à force, 3 jours que j'ai mon Nas et tu m'aura pas mal aidé sans le savoir @Fenrir ! 😉

Suite à un soucis pour accéder à photo station depuis l'extérieur sans utiliser quickConnect (mon objectif est de le désactiver à terme....), je parcours petit à petit le forum pour trouver un moyen de :

- garder l'accès à mon DSM par internet en sécurisant au maximum son accès (même si c'est déconseillé, j'ai réussi à mettre en place la redirection DyDNS et le certificat SSL validé en plus ! ;))

- Virer le "non sécurisé" lorsque j'accède au DSM en local... (je ne sais pas si c'est possible avec une clé faite maison, en se connectant à l'IP/port...), je ne pense pas que ça serve à grand chose mais ça me stress ! 

- Accéder aux applis mobile (DS photo etc...) en me connectant de l'extérieur ET en utilisant mon nom de domaine... (j'utilise actuellement Quickconnect pour le faire)

C'est encore un peu fouillis vu que je suis un nouveau "Synologiste" ...

Modifié le 21 avril 2019 par Medaillon
Ajouts divers..

[Medaillon]

 

Le 18/06/2017 à 19:09, Fenrir a dit :

Je n'ai pas dit ça, je déconseille juste de rendre DSM (5000, 5001 what ever you set ...) accessible depuis Internet.

à ce sujet ça veut donc dire qu'il est préférable fermer les accès aux ports du DSM sur le routeur ? la redirection des ports router/nas (5000/5001 par défaut) ?