Aller au contenu

[TUTO] Pourquoi et comment utiliser un nom de domaine ?


Messages recommandés

Posté(e)

Non j'ai bien une IP fixe mais je voudrais utiliser mon sous domaine car plus pratique pour l'accès extérieur.

J'ai essayé en indiquant mon sous-domaine dans les paramètres du NAS et j'ai fait pointer mon sous-domaine vers mon IP mais sans succès, donc j'ai vu ce tuto et voulu le suivre mais comme mon fournisseur de domaine n'est pas dans la liste je suis coincé.

  • 3 semaines après...
Posté(e)

Attention, le dynhost s'apparente à un enregistrement A. Il doit donc être la tête du nom de domaine que vous renvoyez vers votre IP publique et celle que vous utiliserez dans la zone pour créer vos CNAME.

par exemple :

  • DynHost : toto.fr (son IP sera mise à jour par le DDNS du NAS)
  • CNAME xxx.toto.fr utilise le ndd du DynHost pour créer un ndd qui pointera sur l'IP enregistrée dans le DynHost.

Vous ne pouvez pas mettre un DynHost avec une adresse nom.toto.fr et créer des CNAME en xxx.toto.fr. Dans ce cas, vos CNAME devront être en xxx.nom.toto.fr

Posté(e)
il y a 2 minutes, tommyleedragonfly a dit :

Je suis chez Sosh, en fibre...

Pourtant, elle me semble fixe...

Bonsoir,

Chez Orange, seul les offres pro peuvent avoir une ip fixe en option.

Posté(e)

Ha oui ! Super ! Un peu plus facile a comprendre pour un novice 😉

J'ai réussi a configurer sous dsm.

Est ce que je dois aussi configurer les ports comme indiquer ? Car, d'après le tuto, il s'agit d'une adresse ip fixe ...

C'est très complexe pour les ports !!!

N'y a t il pas une solution plus simple pour ouvrir ces ports ?

Posté(e) (modifié)

@tommyleedragonfly

Malheureusement non, pas de solution plus simple.

Il te faut suivre le TUTO de Kawamashi sur le reverse proxy. Rien de bien compliqué tu verras il est bien fait.

Il suffit aussi de faire du NAT des ports 80 et 443 dans ta box vers ton NAS. Ensuite dans le parefeu du NAS tu ouvres les ports 80 et 443 tel que :

image.png.866e7f0b1a6c10c7a5c9b815ec431fca.png

Pour le port 80 on limite l'ouverture aux deux @IP des serveurs Let'sEncrypt pour le renouvellement auto de ton certificat. Certains ici disent qu'elles ne fonctionnent plus, pour ma part j'ai pas vu de différence après avoir renouvelé le mien depuis la révocation par Let's Encrypt de certains certificats à partir du 04/03/2020.

Cordialement

oracle7 😉

Modifié par oracle7
Posté(e) (modifié)

Hello la communauté,

En premier lieu, un grand merci pour ce tuto !

Néanmoins j'ai besoin de vos lumières, je vous explique le souci : J'ai accès de chez moi comme à "l'extérieur" depuis un navigateur.

En revanche, je n'arrive plus à configurer les applications mobile pour l'extérieur. J'ai tenté ça :

- mondomaine.truc

- www.mondomaine.truc

- mondomaine.truc/PORT

- mondomaine.truc/video (ou audio...)

- video.mondomaine.truc

- 192.168.X.XX

- 192.168.X.XX:PORT

Sachant que je viens de découvrir, en local, que les ports 7770 ou 7771 en SSL, etaient utilisés, ce qui correspond à DSM. Donc l'équivalent du 443 (mais je ne comprend pas pourquoi celui-ci ne fonctionne pas).

Je ne sais plus comment faire... est ce que quelqu'un aurait une idée ? Un grand merci d'avance 

Modifié par Manuel Garcia
Choix du port
Posté(e)

video.mondomaine.truc:443 Il est important de spécifier le port car sans cela l'application prend le port par défaut.

il y a 46 minutes, Manuel Garcia a dit :

Sachant que je viens de découvrir, en local, que les ports 7770 ou 7771 en SSL, etaient utilisés, ce qui correspond à DSM. Donc l'équivalent du 443 (mais je ne comprend pas pourquoi celui-ci ne fonctionne pas).

Moi non plus je ne comprends pas votre explication. Les ports DSM par défaut sont 5000 et 5001. Vous les avez changés pour 7770 et 7771 ? Ca n'a aucune utilité mais pourquoi pas.

Ensuite un port est unique. Le 443 est et reste le 443, il n'a pas d'équivalent. Vous pouvez faire une translation de port mais chaque port garde ses caractéristiques propres sur l'équipement hôte. Si vous avez dirigé le 443 vers le NAS, toute requête du WAN sur ce port sera dirigée vers le NAS. C'est ensuite le reverse proxy qui fera la distribution vers les différents services du nas ou de votre réseau en fonction du nom de domaine : file.ndd, video.ndd, audio.ndd, autredemonréseau.ndd etc...

Posté(e) (modifié)
Il y a 1 heure, Mic13710 a dit :

video.mondomaine.truc:443 Il est important de spécifier le port car sans cela l'application prend le port par défaut.

Moi non plus je ne comprends pas votre explication. Les ports DSM par défaut sont 5000 et 5001. Vous les avez changés pour 7770 et 7771 ? Ca n'a aucune utilité mais pourquoi pas.

Ensuite un port est unique. Le 443 est et reste le 443, il n'a pas d'équivalent. Vous pouvez faire une translation de port mais chaque port garde ses caractéristiques propres sur l'équipement hôte. Si vous avez dirigé le 443 vers le NAS, toute requête du WAN sur ce port sera dirigée vers le NAS. C'est ensuite le reverse proxy qui fera la distribution vers les différents services du nas ou de votre réseau en fonction du nom de domaine : file.ndd, video.ndd, audio.ndd, autredemonréseau.ndd etc...

Merci pour votre réponse,

Alors en faite sur chaque sous domaine j'ai attribué des ports, je sais que pour DSM ce n'est pas conseillé en accès extérieur, mais je l'ai quand même fait. Donc les 7770 et 7771 correspondent à ce que j'ai ouvert dans le parfeu pour le sous domaine DSM.

J'ai changé les ports par défauts car c'est un conseil de sécurité retrouvé sur plusieurs tutos (infomaniak...)

Pour le port 443 je me suis mal exprimé, je parlais de la distribution vers les sous domaine.

J'en déduis que j'ai dû mal faire ma redirection 443 vers le NAS... J'avoue que j'ai fait tellement de manipulations, que je suis perdu.

Au delà de ça, je ne comprend pas pourquoi j'ai accès en extérieur par un navigateur et pas par une application ?

 

firewall.jpg.f9877d95e03f866b43518b51977fa40f.jpg

661177840_Capturedecran2020-03-26a09_31_47.jpg.c8a7d2e0e3f0079bca9ec40c144ad878.jpg

revers.jpg.d93ff775023afc168a3812bb77c697af.jpgapplication.jpg.927067b2608b6a436b9c6d6f61a4b6db.jpg

 

 

Modifié par Manuel Garcia
Posté(e)

Merci de ne pas citer inutilement le message précédent. Je viens de la supprimer.

Un sous domaine n'existe pas. C'est une erreur de langage commune. Un .fr est un domaine, ndd.fr et un domaine, toto.ndd.fr et un autre domaine. Mais je vous l'accorde, c'est peut-être plus compréhensible de parler de sous domaine.

Plusieurs problèmes dans ce que je vois.

Tout d'abord vos règles de parefeu sont à corriger.

La première et l'avant-dernière sont inutiles. C'est la dernière qui fait le boulot de refuser. La logique du fonctionnement est le suivante : le parefeu lit les règles dans l'ordre. Tant qu'une règle n'est pas applicable, il passe à la suivante. Donc, si aucune des règles en dessous de votre première règle ne passe, la dernière ligne bloquera.

Vous pouvez aussi supprimer les règles concernant le port 80, elle ne sont plus applicables, Let's Encrypt ayant changé leurs IP. Je ne connais pas les nouvelles, mais lorsque votre certificat devra être renouvelé, il faudra ouvrir le port 80, au moins pour les US. Vous pouvez modifier une des deux règles pour une ouverture plus large (Tous ou les US uniquement) que vous ne validerez que pour le temps de la mise à jour des certificats.

Je ne comprends rien à votre deuxième capture. Ca correspond à quoi ?

Vos règles de proxy sont erronées. Vous donnez des adresse localhost en http, mais les ports que vous utilisez sont en https. Modifiez les ports de vos localhost par ceux en http que vous avez programmés dans les applications. Bien que ça fonctionne, il n'est pas utile de repasser par le https sur le localhost puisque la connexion a été sécurisée par le https du 443 jusqu'au NAS. Faire du https en interne n'a pas de sens.

Les applications DS ne se connectent pas de la même manière que votre navigateur. Elles utilisent les ports par défaut de DSM. Si vous les changez, il faut alors l'indiquer dans l'adresse de connexion en la faisant suivre de ":le port à utiliser". Et comme vous passez par le reverse proxy, vous utilisez le 443 pour atteindre le NAS.

Posté(e) (modifié)

Un grand merci Mic13710 pour les explications.

J'ai donc supprimé les règles inutiles du parefeu. J'ai créé un profil temporaire qui me servira pour la mise à jour du certificat.

La seconde capture correspond aux ouvertures de ports sur la livebox.

J'ai corrigé les règles proxy, effectivement ça ne servait pas à grand chose, hormis ralentir potentiellement la page.

Encore merci car les modifications que vous m'avez conseillé  ont débloqué la situation.

J'ai ouvert un port précis sur ma livebox, ça a fonctionné avec l'adresse IP publique 90.44.XXX.XX:port modifié

Ma dernière question sera la suivante, étant donné que c'est une IP dynamique, elle va changer. N'est il pas possible de se connecter avec mon domaine ? Comme je le faisais avec xxxxxx.synology.me ?

Merci encore 🙂

Modifié par Manuel Garcia
correction orthographe
Posté(e)

Vous avez une IP dynamique. Il faut donc passer par le ddns pour que l'adresse soit actualisée à chaque changement. Si votre ndd est chez ovh, vous devez supprimer votre enregistrement A de la zone DNS et le remplacer par le DynHost. Il faut aussi paramétrer le ddns du NAS pour qu'il mettent à jour le DynHost. Mais il me semble que tout ceci est expliqué dans le tuto.

Sauf à avoir un routeur qui sait gérer le loopback ce qui n'est pas le cas des livebox, vous ne pouvez pas résoudre une adresse ndd en local. Pour cela, il faut avoir un serveur DNS local. Celui du NAS fonctionne très bien. Vous trouverez un tuto de Fenrir dans la section Tutoriels traitant du sujet.

Concernant vos ports sur le routeur, je ne les comprends pas. Le 443 est le service https. Il n'est pas dédié uniquement à photostation. Pourquoi le port 9 est ouvert ? Pour les port Plex, je ne peux rien dire, je ne connais pas les besoins de cette application. C'est quoi ce port pour un service DS ? Si vous ouvrez le port ftp 21, il faudrait aussi ouvrir la plage des ports passifs.

Posté(e)

Pour mes ports sur le routeur, le nom Photostation n'est que celui que j'ai donné à cette entrée. C'est juste que la première fois que j'ai eu besoin d'ouvrir ce port, c'était pour Photostation.

Le port 9 est ouvert pour le WOW.

Enfin le service DS (pour Download Station), c'est lié au partage de torrent.

Le port 21 est ouvert pour la prochaine étape, quand je vais mettre mon site sur le nas et gérer la mise à jour automatique des fichiers de celui-ci avec mes logiciels.

Que voulez-vous dire par "il faudrait aussi ouvrir la plage des ports passifs" ? Je n'ai pas compris cette partie

Posté(e)

Si vous faites du ftp actif, tout passe par le port 21. En ftp passif vous transmettez par le port 21 le numéro de port qui sera utilisé pour la communication. Ce port est pris dans la plage de ports définie dans vos paramètres du service de fichiers FTP.

Posté(e) (modifié)

Clair et précis, merci encore 🙂

En revanche, je n'ai toujours pas compris pourquoi avec identifiant.synology.me les applications mobile acceptaient de se connecter avec et non avec mon domaine perso... Si ça fonctionne avec celui de synology et le certificat généré pour l'occasion, alors ça devrait être possible aussi avec mon domaine et son certificat ?

Modifié par Manuel Garcia

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.