NAS et IP Dynamique

[geoff42000]

Bonjour à tous,

J'ai fait hier l'acquisition d'une 4GBox de chez Bouygues Télécom, alors que j'utilisais anciennement une Freebox Revolution. Je passes donc d'une IP fixe à une IP Dynamique. Et autant vous dire que je ne suis vraiment pas calé en matière de réseau...

Lorsque j'utilise Video Station sur ma Shield TV, je suis régulièrement déconnecté, je pense que ça provient de cette histoire de changement d'adresse.

J'utilisais jusqu'à maintenant Quickconnect pour accéder à mon NAS, mais j'ai cru lire qu'utiliser un DDNS est à priori mieux. J'ai donc mis en place ceci, et ça semble fonctionner pour les accès distants (Accès DSM et DS file via mon téléphone Android, mais pas encore essayé Video Station, je ne suis pas chez moi pour le moment). Cependant DS Photo, qui fonctionne sans soucis avec mon Quickconnect ne veut pas se connecter avec le DDNS. J'ai ouvert les ports 80 et 443 sur mon NAS pour information, et j'ai cru comprendre que tout le paramétrage se fait via le NAS, et non par ma 4GBox.

Avez-vous des suggestions ?

 

Au passage, je profite de mon message pour un léger HS afin de profiter de votre expertise réseau... J'ai également chez moi un système de domotique (IPX800 V4), et j'ai le même genre de soucis, accès interne ok, mais pas d'accès externe. Je suppose que c'est pareil, c'est un soucis d'IP dynamique ? Il faudra que je passe par un service DDNS ? J'avais vu No-ip en gratuit, c'est un bon service ou vous en suggérez d'autres ?

 

Merci d'avance,

Geoffrey

[.Shad.]

Salut,

Plusieurs questions dans ton post :

il y a 48 minutes, geoff42000 a dit :

J'ai fait hier l'acquisition d'une 4GBox de chez Bouygues Télécom, alors que j'utilisais anciennement une Freebox Revolution. Je passes donc d'une IP fixe à une IP Dynamique. Et autant vous dire que je ne suis vraiment pas calé en matière de réseau...

Lorsque j'utilise Video Station sur ma Shield TV, je suis régulièrement déconnecté, je pense que ça provient de cette histoire de changement d'adresse.

Si ta Shield TV est sur le même réseau local que ta 4GBox, l'IP fixe ou dynamique n'intervient pas car on parle ici d'une adresse WAN, l'adresse fournie par ton ISP, dans ton cas il suffit de mettre l'IP locale de ton NAS dans DS Video.
Si elle n'est pas sur le même réseau, alors dans DS Video il te faut passer par ton DynHost (le nom de domaine qui renvoie vers ton IP dynamique) chez ton registrar suivi du port sur lequel tu exposes Video Station (ex : nas.domain.tld:port).

il y a 48 minutes, geoff42000 a dit :

Au passage, je profite de mon message pour un léger HS afin de profiter de votre expertise réseau... J'ai également chez moi un système de domotique (IPX800 V4), et j'ai le même genre de soucis, accès interne ok, mais pas d'accès externe. Je suppose que c'est pareil, c'est un soucis d'IP dynamique ? Il faudra que je passe par un service DDNS ? J'avais vu No-ip en gratuit, c'est un bon service ou vous en suggérez d'autres ?

Pour la gestion d'un nom de domaine, voir le tutoriel de @Zeus :

J'utilise OVH aussi et j'en suis très content, pour quasi rien (3€/an) de surcroît...

il y a 48 minutes, geoff42000 a dit :

Cependant DS Photo, qui fonctionne sans soucis avec mon Quickconnect ne veut pas se connecter avec le DDNS. J'ai ouvert les ports 80 et 443 sur mon NAS pour information, et j'ai cru comprendre que tout le paramétrage se fait via le NAS, et non par ma 4GBox.

Je me connecte à DS photo en utilisant les mêmes sous-domaine et port que pour DSM.

Modifié le 14 août 2019 par shadowking

[geoff42000]

Merci pour ton retour.

il y a 41 minutes, shadowking a dit :

Si ta Shield TV est sur le même réseau local que ta 4GBox, l'IP fixe ou dynamique n'intervient pas car on parle ici d'une adresse WAN, l'adresse fournie par ton ISP, dans ton cas il suffit de mettre l'IP locale de ton NAS dans DS Video.
Si elle n'est pas sur le même réseau, alors dans DS Video il te faut passer par ton DynHost (le nom de domaine qui renvoie vers ton IP dynamique) chez ton registrar suivi du port sur lequel tu exposes Video Station (ex : nas.domain.tld:port).

J'ai testé pour video station tout simplement avec mon IP locale, ça fonctionne en effet, et du coup c'est même plus rapide (forcément). C'est donc réglé pour ça.

 

il y a 46 minutes, shadowking a dit :

Je me connecte à DS photo en utilisant les mêmes sous-domaine et port que pour DSM.

Pour DS photo, je me connecte sur l'appli avec :

****.synology.me

compte

mot de passe

HTTPS décoché

 

Et, après un long chargement : "éched de connexion. Assurez-vous que l'IP du Synology NAS est correcte et que la version de DSM est plus récente que la version 6.0."

Les mêmes paramètres de connexion fonctionnent avec DS file et DSM.

 

il y a 52 minutes, shadowking a dit :

Pour la gestion d'un nom de domaine, voir le tutoriel de @Zeus :

J'utilise OVH aussi et j'en suis très content, pour quasi rien (3€/an) de surcroît..

Merci beaucoup pour ce tuto, je vais me pencher dessus.

Un intérêt à utiliser ovh plutôt que le DDNS Synology pour mon NAS ?

[.Shad.]

il y a 29 minutes, geoff42000 a dit :

Un intérêt à utiliser ovh plutôt que le DDNS Synology pour mon NAS ?

Si tu comptes mettre en place un proxy inversé oui.
Au lieu de taper coucou.synology.me:port pour te connecter à un service en particulier, tu vas simplement taper par exemple video.domaine.tld
Plusieurs avantages à cela :
- Tu n'as plus à ouvrir les ports sur ton routeur, tout passe par le proxy inversé sur le port 443 (HTTPS) qui redirige en coulisse vers le service demandé (grâce au préfixe "video")
- Vu que ça passe par le port 443, les données sont chiffrées, un MITM (man in the middle) ne peut pas intercepter ton mdp.

A ma connaissance, Synology ne permet pas de créer des sous-domaines propres à chaque service.
Et sur OVH tu peux totalement personnaliser tes enregistrements DNS.

Modifié le 14 août 2019 par shadowking

[Kramlech]

il y a 13 minutes, geoff42000 a dit :

Un intérêt à utiliser ovh plutôt que le DDNS Synology pour mon NAS ?

• DDNS Synology : gratuit, mais pas de domaine personnel
• OVH : payant (pas cher), et tu as ton propre nom de domaine

edit : doublé par shadowking !!!!

Modifié le 14 août 2019 par Kramlech

[.Shad.]

il y a 15 minutes, Kramlech a dit :

• DDNS Synology : gratuit, mais pas de domaine personnel
• OVH : payant (pas cher), et tu as ton propre nom de domaine

edit : doublé par shadowking !!!!

Au moins toi c'est plus concis. 😛 

[geoff42000]

Je suis en effet tombé sur un autre tuto cité dans celui présent plus haut qui explique cette histoire de proxy inversé.

Pour faire simple, un nom de domaine permet de sécuriser mon NAS (via les proxy inversés), et de contourner le problème d'IP dynamique ?

Et ça fonctionne de la même manière avec les applis android (en utilisant mon NDD au lieu du Quickconnect) ?

 

Et de la même manière , ça peut résoudre les soucis pour ma domotique ?

 

Il me faudra 2 NDD (un domotique et un NAS), ou je peux avoir 1 NDD avec des sous domaines ?

 

Je suis vraiment débutant en la matière, donc je voulais m'assurer que ça soit la bonne solution. Si oui j'en prends un pour tester, et j'essaye de me dépatouiller avec les tutos.

 

Une explication quand même par rapport au fait que tout fonctionne avec le DDNS synology sauf DS photo ?

Modifié le 14 août 2019 par geoff42000

[Thierry94]

Le nom de domaine t'amène à la porte de ta box.
Ensuite tu fais un routage vers le proxy inversé du NAS (port 443).
Dans le reverse proxy tu peux orienter vers une application du NAS en fonction du sous-domaine, mais tu peux également orienter la requête vers un autre équipement de ton réseau local, par exemple le serveur qui gère la domotique !

Donc tu peux n'avoir qu'un seul nom de domaine

Mais le plus important et à faire en premier est que tu lises le tuto de Fenrir sur "Sécuriser les accès au NAS", car accéder depuis l'extérieur en http c'est faire circuler son login et mot de passe en clair sur internet … et ça ce n'est pas terrible' 

Modifié le 14 août 2019 par Thierry94

[geoff42000]

Donc, pour résumer :

Je suis à la lettre le tuto sécurité suivant :

J'enchaine avec lui pour contourner le système d'IP dynamique :

Et je termine avec lui pour paramétrer mes accès aux différentes applications :

Pour le coup, j'ai l'impression que je peux utiliser le module reverse proxy de mon NAS pour accéder à ma domotique, comme ce qui semble fait dans l'exemple pour le système Somfy.

 

Sur le principe, j'ai bon ? Vivement l'application pour voir si tout fonctionne !

[.Shad.]

Exactement 😉 

[Kramlech]

Pense à faire des tests après chaque étape pour voir si c'est OK.

Et ne passe à l'étape suivante que si l'étape précédente te donne satisfaction ....

[geoff42000]

Encore une question (désolé, je suis vraiment débutant !) car je ne suis pas certain d'avoir le temps de faire ça en une seule fois... Si je m'arrête en cours, globalement ça ne change rien concernant mon accès local ?

[geoff42000]

Du coup, j'ai avancé, j'en suis au troisième et dernier tuto.

J'en suis juste avant la création du certificat.

Pour le moment je n'arrive pas à accéder à mon NAS via mon NDD. J'ai le message avertissement de sécurité (normal donc pour le moment), puis un chargement sans fin, puis site inaccessible.

Edit : maintenant j'ai directement page inaccessible. 

Je ne sais pas si mon ouverture des ports est bonne sur ma 4gBox... Je suis allé dans port virtuel (je ne sais pas si c'est ce qu'il faut déjà), puis :

Port WAN : 80-80

Adresse IP LAN : 192.168.X.XXX (IP local de mon NAS)

Port LAN : 80-80

Protocole : TCP

Etat : activé

Puis la même chose pour le port 443. Ca semble bon ?

 

Autre soucis, lorsque je veux créer le certificat comme indiqué dans le tuto, j'ai un message "échec de la connexion à Let's Encrypt. Assurez-vous que le port 80 est ouvert sur le Diskstation et le routeur, blabla".

Modifié le 14 août 2019 par geoff42000

[Thierry94]

Pour le certificat il faut, le temps de la création, autoriser les 2 adresses IP spécifiques de let's Encrypt dans le firewall du NS et mettre un routage du port 80 Box-Nas

Pour le reste il ne faut dans la box que le routage que du port 443 car tous passera par là.

Tant qu'il n'y a rien dans le reverse proxy l'accès aux fonction du Nas seront impossible car pas d'accès direct !
Idem pour l'interface du NAS qu'il ne faut pas ouvrir sur l'extérieur
Donc c'est normal que ton accès n'aboutisse pas

[geoff42000]

J'ai suivi le tuto, donc les 2 adresses IP sont autorisées. La ou j'ai un gros doute c'est sur le routage du port 80 Box-Nas, je ne sais pas si j'ai bien fait, c'est pour a que j'ai bien décrit ma démarche. Je ne sais même pas si "serveur virtuel" est le bon endroit, mais a semble correspondre (description : Configurez un serveur virtuel afin de permettre aux ordinateurs externes d'accéder aux services WWW, FTP et aux autres services assurés par le réseau local.)

 

J'ai ajouté quelque-chose (file station) dans le reverse proxy pour tester, rien non plus.

Pourquoi ne faut-il pas ouvrir l'interface du NAS sur l'extérieur ? Sécurité, c'est ça ?

 

L'erreur vient peut-être d'ici : sur OVH, j'ai mon NDD. J'ai créé un DynHost (dsm.ndd) avec pour cible l'adresse IP celle donnée par ce lien : https://ip.netysl.fr/, et "dsm" comme sous-domaine. Donc sur l'accès externe de mon NAS, j'ai autorisé l'hôte "dsm.ndd", en nom d'utilisateur ndd-truc (truc étant rentré sur ovh dans les accès de mon DynHost), et l'IP est celle provenant du site. J'ai bon ?

Modifié le 14 août 2019 par geoff42000

[Thierry94]

Le routage est bien à faire dans serveur virtuel. Il faut mettre le routage du port Wan 443 vers le port Lan 443 et l'IP du local NAS

Pour le reverse proxy de file station, par exemple il faut source https://file.ndd.fr cible http://localhost:7000 (activer le port http sur l'application file station)

Pas d'accès dsm depuis l'extérieur … oui pour la sécurité … si tu veux tout de même pouvoir y accéder il vaut mieux passer par un VPN (voir le tuto correspondant, quand tout ce que tu mets en places actuellement fonctionnera bien)

Pour le dynhost :
Chez ovh inutile de mettre un sous-domaine. Pour l'adresse IP c'est celle que tu vois dans l'interface d'administration de la box (ou par mon-ip.com).
  - Dans gérer les accès créer un identifiant Dynhost : Suffix ce que tu veux (-ident par exemple), sous-domaine rien (cf. au dessus), mot de passe
Sur le NAS dans Accès externe, DDNS  
 -  Fournisseur de service OVH,
 -  Nom d'hôte : ndd.fr
 -  Nom utilisateur : identifiant dynbhost d'OVH (ndd.fr-ident)
 -  Mot de passe
 

Pour l'instant laisse tomber le certificat, tu le créera quand le reste marchera !

Modifié le 14 août 2019 par Thierry94

[geoff42000]

Merci en tout cas pour ton aide !

J'ai exactement comme ce que tu dis, à l'exception que j'ai un sous-domaine, mais il est bien présent sur mon NAS (statut du DDNS normal dans le NAS, donc c'est good je pense). Je bloque vraiment là. Et pour le port, sur ma box, j'ai un tiret, je suppose que c'est pour autoriser une plage de port ? Donc 443-443 pour le port 443 seulement.

Modifié le 14 août 2019 par geoff42000

[Thierry94]

Oui le tiret est pour une plage de port.

Le DDNS du Nas affiche bien la bonne adresse IP ? Idem pour OVH ?

Comment est paramétré ton reverse proxy ?

As tu autorisé le port 443 sur le firewall du Nas ?

[geoff42000]

il y a 11 minutes, Thierry94 a dit :

Le DDNS du Nas affiche bien la bonne adresse IP ? Idem pour OVH ?

Il affiche l'adresse donnée par le site mon-ip. Après j'ai une adresse dynamique avec ma box, mais je crois que ovh gère a tout seul.

il y a 13 minutes, Thierry94 a dit :

Comment est paramétré ton reverse proxy ?

J'ai dans Application : File Station avec le port 7000 en HTTP

Dans proxy inversé source : protocole HTTPS,  nom d'hôte : file.NDD.ovh, port 443, j'ai activé HTTP/2, et destination : HTTP, nom d'hôte localhost, port 7000

il y a 15 minutes, Thierry94 a dit :

As tu autorisé le port 443 sur le firewall du Nas ?

J'ai autoricé : Port 443 (et 80 pour le moment), TCP, Il situé en France

[Thierry94]

Fonctionnement de l'IP variable avec le nom de domaine :
 - Bouygues t'attribut une IP variable et peut la changer quand il veut.
 - La fonction DDNS du NAS vérifie régulièrement que cette adresse IP n'a pas changée et si c'est la cas elle se connecte au service OVH avec l'identifiant DYnhost OVH pour lui indiquer le changement l'identifiant.
 - OVH met à jour l'association nom de domaine - adresse IP avec la nouvelle adresse

Dans portail des applications pour file station tu n'as bien activer que le port http ? (ne pas activer de domaine particulier)

Modifié le 14 août 2019 par Thierry94

[geoff42000]

J'ai juste la colonne HTTP remplie pour File station (7000)

Et si je fais Modifier dessus, l'option "Activer le port personnalisé HTTP) est cochée avec 7000 en port. Si je rentre mon ip locale suivie de ":7000" ça fonctionne bien... Mais en local seulement donc.

[Thierry94]

Normal que ca ne fonctionne qu'en local puisqu'il n'y a pas de routage dans la box sur le port 7000. (à ne pas faire car tu passes par le reverse proxy)

Si tu tapes en local https://file.ndd.ovh en local il se passe quoi ?

 

[geoff42000]

J'ai ça :

 

Ce site est inaccessible

Impossible de trouver l'adresse IP du serveur de file.NDD.ovh. 

DNS_PROBE_FINISHED_NXDOMAIN

Modifié le 14 août 2019 par geoff42000

[Thierry94]

Normal tu n'as pas autorisé les sous-domaines (qui sont en fait des domaines à part entière) dans la Zone DNS chez OVH

il faut ajouter un enregistrement CNAME avec :
 - sous-domaines : *
 - TTL : par defaut
 - cible :  ndd.ovh. (ne pas oublier le point à la fin de ovh)

[geoff42000]

Ah, d'accord, je ne savais pas qu'il fallait faire ça. Je viens de l'ajouter, il y a un délai, c'est ça ? Ils annoncent 24h max chez ovh. En réel c'est autant ? 

Modifié le 14 août 2019 par geoff42000