Jules Perrelet Posté(e) le 6 juin 2019 Posté(e) le 6 juin 2019 Effectivement, mais même quand je retire la règle pour la Suisse, ça reste pas visible 😞 Pareil si je désactive complètement le pare-feu ! 0 Citer
unPixel Posté(e) le 6 juin 2019 Posté(e) le 6 juin 2019 Alors souciz côté routeur ou carrément du FAI.Redémarre ta box routeur déjà pour commencer. Envoyé de mon LYA-L29 en utilisant Tapatalk 0 Citer
Jules Perrelet Posté(e) le 6 juin 2019 Posté(e) le 6 juin 2019 J'avais déjà redémarré mais rien de changé ! Serait-t-il possible que le problème vienne du fait que mon routeur est en fait un répétiteur d'un routeur situé un étage plus haut ? 0 Citer
unPixel Posté(e) le 6 juin 2019 Posté(e) le 6 juin 2019 🙄 Euhhh comment dire. Si tu as 10 routeurs sur ton réseau entre ta connexion internet et ton NAS alors il te faut ouvrir les même règles sur les 10 routeurs. Pourquoi as-tu mit un autre routeur comme répétiteur ? Autant le laisser en DMZ et laisser le premier tout gérer. 0 Citer
Jules Perrelet Posté(e) le 6 juin 2019 Posté(e) le 6 juin 2019 Plus je te lis, plus j'en apprends (j'ignorais tout du DMZ 😄 ) ! Je partage la connexion internet de mon voisin, qui vit en-dessus. D'entente avec lui, j'ai mis à jour les paramètres de son routeur comme suit (yc le 32400) : Pour l'instant, je ne vois toujours pas les ports sur ton site... 0 Citer
unPixel Posté(e) le 6 juin 2019 Posté(e) le 6 juin 2019 Ton voisin utilise Plex aussi de son côté ? Les ports 80 et 443 sont aussi ouverts pour lui ? 0 Citer
Jules Perrelet Posté(e) le 6 juin 2019 Posté(e) le 6 juin 2019 Pour l'instant non mais je vais lui faire un profil afin qu'il puisse avoir accès à ma bibliothèque de films et de séries. N'aurais-je pas du ouvrir les ports sur son routeur ? 0 Citer
unPixel Posté(e) le 6 juin 2019 Posté(e) le 6 juin 2019 Si si, partout ou ça filtre au niveau firewall il faut ouvrir comme je le disais juste avant. 0 Citer
Jules Perrelet Posté(e) le 7 juin 2019 Posté(e) le 7 juin 2019 C'est fait, pour le flux entrant et sortant. Sur le routeur et le répétiteur. Mais je ne vois toujours pas les ports visibles sur le site https://www.canyouseeme.org/ Y a-t-il un lien avec le fait que c'est du IPV6 sur le routeur principal ? Désolé pour la naïveté des questions, mais je n'y connais pas grand chose ! 0 Citer
unPixel Posté(e) le 7 juin 2019 Posté(e) le 7 juin 2019 Possible mais je ne m'intéresse pas à IPv6 pour le moment, je ne saurais donc t'en dire plus si ça concernait ce dernier 😉 0 Citer
Jules Perrelet Posté(e) le 7 juin 2019 Posté(e) le 7 juin 2019 Merci pour ta réponse ! Je vais continuer d'investiguer ! Envoyé de mon ONEPLUS A6003 en utilisant Tapatalk 0 Citer
dd5992 Posté(e) le 7 juin 2019 Posté(e) le 7 juin 2019 La différence ici entre IPV4 et IPV6 est qu'en IPV4, tu as une seule adresse et c'est la box qui dispatche l'accès aux équipements du réseau local avec les redirections de ports du NAT. En IPV6, les machines du réseau local sont accessibles de l'extérieur (sauf si un firewall est actif dans la box) et les redirections de port de la box sont inopérantes, celles des routeurs intermédiaires éventuels également. Pour les règles du pare-feu, il faut parfois faire des règles spécifiques pour IPV6. Par exemple pour dire qu'on accepte telles connexions à l'intérieur du réseau local, on définit le réseau local comme les machines accessibles par des adresses IPV4 locales non routables. Avec IPV6, il faut ajouter le préfixe IPV6 du réseau local (par ex 2a01:xxxx:yyyy:zzzz::/64). 0 Citer
Jules Perrelet Posté(e) le 7 juin 2019 Posté(e) le 7 juin 2019 Salut DD5992, Merci pour les précisions. Pour le moment, je suis un peu perdu car le routeur principal tourne apparemment en IPV6, et je lui ai ouvert les ports 80, 443 et 32400 (pour Plex). J'ai fait pareil sur mon répétiteur un étage plus bas, qui constitue en fait ma borne WiFi. A partir de la, je ne sais plus trop quoi bidouiller pour enfin espérer avoir une chance d'accéder à mon contenu de partout 😄 0 Citer
dd5992 Posté(e) le 8 juin 2019 Posté(e) le 8 juin 2019 (modifié) Même si le routeur principal ouvre à IPV6, il doit sûrement encore permettre à ton réseau local d'être en IPV4. Ton réseau local doit être en "Double Stack" et faire co-exister les deux. De plus, tu peux choisir de n'utiliser que IPV4 en mettant dans les parties cible des règles de ton reverse-proxy des adresses IPV4 (ou des noms qui ne se résolvent qu'en IPV4. Tu peux aussi désactiver l'IPV6 sur les routeurs et les machines de ton réseau qui le permettent (syno, PC, ...). Tu pourras alors ignorer la problématique IPV6 pour régler ton problème. Modifié le 8 juin 2019 par dd5992 0 Citer
Jules Perrelet Posté(e) le 17 juin 2019 Posté(e) le 17 juin 2019 @dd5992 Merci pour la réponse (et navré pour la mienne, tardive). J'ai finalement opté pour brancher le NAS directement sur le routeur principal. Résultat : il est accessible sur tout le réseau (donc tous les répétiteurs), mais toujours pas depuis l'externe 😞 Je continue d'y croire 🙂 0 Citer
Jules Perrelet Posté(e) le 17 juin 2019 Posté(e) le 17 juin 2019 Un petit point de situation pour vous expliquer que depuis ma dernière tentative, j'ai branché le NAS directement sur le routeur principal. Désormais, j'ai accès à mon NAS n'importe où sur mon réseau local (donc depuis n'importe lequel autre point d'accès WiFi). J'ai cependant deux problèmes, dont l'un concerne directement le reverse-proxy ! En effet : - impossible de paramétrer le reverse-proxy, n'importe quel nom qui précède mon .monnomdedomaine.ch renvoie directement à mon serveur. Par exemple, le filestation qui est sur le port 7000 ne s'ouvre pas avec une règle. Ca marche par contre en "activant un domaine personnalisé" directement sous "application" dans le "portail d'applications". - toujours impossible de se connecter depuis l'extérieur à mon NAS 😞 Si vous avez des idées pour ces deux problématiques, je suis preneur ! 0 Citer
JB76 Posté(e) le 11 juillet 2019 Posté(e) le 11 juillet 2019 Bonjour et merci pour ce tuto! Je suis allé jusqu'au bout, mais les choses ne fonctionnent pas parfaitement pour moi. La redirection vers https ne fonctionne pas, alors que quand je vérifie les étapes, j'ai tout paramétré comme indiqué dans les captures d'écran. Lorsque j'essaie de me connecter depuis l'extérieur, j'ai immanquablement un avertissement de sécurité. Lorsque je demande de me connecter quand même, je tombe sur la capture d'écran jointe. Même en me connectant de chez moi, ma connexion n'est pas sécurisée. Merci de vos lumières... 0 Citer
unPixel Posté(e) le 11 juillet 2019 Posté(e) le 11 juillet 2019 Bonsoir, As-tu créé un certificat SSL ? Si oui, alors : est-ce que ton certificat Let's Encrypt a été mit par défaut ? Pour la redirection auto, tu es passé par quoi exactement ? Le fichier .htaccess ou .php ? Si .php, il faut renommer l'index.html dans le dossier "web". 0 Citer
JB76 Posté(e) le 11 juillet 2019 Posté(e) le 11 juillet 2019 Bonsoir, Merci de ta réponse. J'ai créé un certificat ssl avec Let's Encrypt. Il n'apparait pas comme certificat par défaut. J'ai un certificat autosigné par défaut qu'il m'est impossible de supprimer. Je n'ai pas trouvé non plus comment mettre le certificat Lets Encrypt par défaut. Pour la redirection, je passe par .htaccess : j'ai fait un copier-coller du code dans le tuto vers un fichier texte et je lai enregistré à la racine du dossier web de mon NAS. 0 Citer
JB76 Posté(e) le 11 juillet 2019 Posté(e) le 11 juillet 2019 Je viens de refaire une demande de certificat Let's Encrypt et j'ai maintenant ce cetificat comme certificat par défaut. C'est mieux, mais cela ne résout aucun de mes problèmes cité précédemment... 0 Citer
D34 Angel Posté(e) le 11 juillet 2019 Posté(e) le 11 juillet 2019 Bonjour J'ai lu ce topic avec grand intérêt. Merci à @Kawamashi pour ce tuto plutôt bien fait (et bien détaillé). J'ai décidé de le mettre en œuvre (sur une seule appli) et, même si j'ai encore des questions, ça a l'air de fonctionner. J'ai une IP fixe et un nom de domaine ... je partais, donc, dans un contexte privilégié (cf. les difficultés de certains avec dyndns). J'ai créé le CNAME qui va bien chez mon registrar. J'ai mis en place mon certificat "Wildcard" en suivant le tuto dédié (merci @Zeus) Sur mon routeur (box), j'ai dirigé le port 443 vers mon nas Je n'ai rien fait avec le port 80 car, d'abord, j'ai lu, ailleurs sur ce forum, qu'il fallait être très prudent avec ce port 80, ensuite, je n'ai pas trop capté ce qui traitait de htaccess et, enfin et comme je l'ai lu dans ce topic, ce n'est pas la mer à boire que de rajouter "https://" devant l'adresse. J'ai mis à jour mes règles de pare-feu Dans le portail des applications, j'ai fait ce qui est indiqué dans ce tuto (appli "Audio station" seulement) Et, enfin, j'ai fait un test en tapant dans la barre d'adresse https://music.ndd.tld et suis bien arrivé sur Audio Station J'en viens donc aux questions : L'utilisation du reverse proxi est-elle une bonne alternative à une connexion VPN (que je ne suis pas arrivé à mettre en place) ? La connexion est-elle autant sécurisée ? Quel est l'intérêt de définir plusieurs sous-domaines quand un seul sous-domaine (nas.ndd.tld) peut aiguiller vers DSM (port 5000) et que, de là, on peut accéder à toutes les applis ? Le portail des applis ne présente pas toutes les applis. Comment rajouter une entrée ? (la question a été posée par @Hitman_11 mais la réponse de @Zeus, faisant référence à un dépannage, ne m'a pas beaucoup aidé) => Si je veux accéder à Mail Station (qui n’apparaît pas dans liste des applis), puis-je me contenter de créer une règle de proxi inversé en indiquant comme destination localhost:993 ? (993 étant le port utilisé pour IMAP-SSL/TLS) ==> Si oui, le port 993 étant chiffré, dois-je indiquer le protocole httpS en destination ? Voilà, j'aurai certainement d'autres questions ... ça dépendra des réponses à celles-ci. Merci d'avance pour vos réponses 0 Citer
Mic13710 Posté(e) le 11 juillet 2019 Posté(e) le 11 juillet 2019 C''est justement le rôle du reverse proxy de pouvoir diriger vers chaque application sans avoir à passer par DSM. Si on veut uniquement accéder à video station, pourquoi passer par DSM pour lancer le paquet alors qu'il est infiniment plus simple de déclarer un ndd du genre video.ndd pour ouvrir directement video station. Ceci dit, vous êtes tout à fait en droit de faire compliqué alors qu'une solution simple existe. A vous de voir où se situe la simplicité d'usage ! 😊 0 Citer
unPixel Posté(e) le 12 juillet 2019 Posté(e) le 12 juillet 2019 @Jeanbagnès : Quels soucis as-tu encore à ce moment précis ? Si tu as créé correctement le .htaccess alors tu devrais avoir la redirection auto 80 => 443 de fonctionnelle. Pour le certificat, si comme tu le dis il est par défaut alors tu ne devrais plus avoir d'avertissement de sécurité par ton navigateur en te connectant à ton domaine. @D34 Angel : Citation L'utilisation du reverse proxi est-elle une bonne alternative à une connexion VPN (que je ne suis pas arrivé à mettre en place) ? La connexion est-elle autant sécurisée ? Bonne alternative, je dirais pas vraiment. Disons que pour ceux ne pouvant avoir un serveur VPN, c'est le meilleur qu'il y ai car tu n'ouvres plus qu'un ou deux ports (443 ou 80 et 443 avec redirection auto vers le 443). Le mieux restera toujours la connexion VPN mais tout le monde ne peut pas le faire. Petite connexion par exemple... Citation Quel est l'intérêt de définir plusieurs sous-domaines quand un seul sous-domaine (nas.ndd.tld) peut aiguiller vers DSM (port 5000) et que, de là, on peut accéder à toutes les applis ? L'intérêt est justement d'éviter au maximum d'aller sur DSM sans compter que toi, tu t'arrêtes certainement aux services de base de Synology mais il existe d'autres variantes de services ou tu n'as pas le choix que de mettre en place le reverse proxy pour atteindre ses dis services à moins d'en apprendre par cœur tous les ports... Ex avec des dossiers dans Webstation, des applications installées avec Docker, un DDSM, d'autres VM etc... Citation Si je veux accéder à Mail Station (qui n’apparaît pas dans liste des applis), puis-je me contenter de créer une règle de proxi inversé en indiquant comme destination localhost:993 ? Pas vraiment non. Tu peux en effet te contenter de créer une règle dans le proxy inversé mais il ne faudra pas indiquer le port 993... Ce port sert simplement à ton application pour récupérer les mails. Tout comme le 587 sert à ton application à les envoyer. Pour l'utilisateur, ça sera sur le port 443 qui aura été redirigé avec le domaine (mail.ndd.tld) sur le port de ce dernier. 0 Citer
dd5992 Posté(e) le 12 juillet 2019 Posté(e) le 12 juillet 2019 (modifié) @D34 Angel: Il y a 10 heures, D34 Angel a dit : L'utilisation du reverse proxi est-elle une bonne alternative à une connexion VPN (que je ne suis pas arrivé à mettre en place) ? En fait les deux ont des utilisations différentes : Si l'objectif est de donner un accès sécurisé aux services de ton réseau pour un petit nombre pré-déterminé de personnes, alors le VPN est fait pour toi. Si tu souhaites ouvrir à un nombre indéterminé de personnes quelques services http et/ou https de ton réseau en n'utilisant que le port 443 et/ou le 80 ou que tes utilisateurs ont une contrainte de port utilisables de là où ils souhaitent se connecter (certains employeurs limitent volontairement l'utilisation d'Internet de chez eux à certains ports, dont le 443, et certains protocoles, dont le https, ce qui exclue de se connecter à un VPN), utilises plutôt le reverse-proxy. Il y a 10 heures, D34 Angel a dit : Le portail des applis ne présente pas toutes les applis. Comment rajouter une entrée ? Pas besoin que l'application soit décrite dans le portail des applications. En fait, l'appli peut même être hébergée par une autre machine du réseau local et même encore plus large être accessible sur Internet. Ce qu'il te faut : que l'application soit accessible par le protocole http ou https. Par exemple, pas question d'accéder comme ça à un serveur FTP ou un serveur mail imap, mais OK pour un webmail. que tu connaisses l'adresse à utiliser et le port d'accès pour cette application. Si la machine qui héberge l'application est celle où est implanté le reverse-proxy, tu peux utiliser l'adresse "localhost". Cet éléments sont à renseigner dans les champs "Destination" de la règle du reverse-proxy. que de l'extérieur le port 443 renvoie dans ta box vers le port d'entrée du reverse-proxy Modifié le 12 juillet 2019 par dd5992 1 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.