Aller au contenu

[SOS] Accès externe NAS sans passer par Quickconnect + Livebox Orange


Messages recommandés

Bonsoir à tous,

Je suis plutôt du genre à chercher un peu partout au lieu de demander de l'aide, mais il va falloir que je me fasse une raison je galère depuis bientôt 10 jours après avoir épluché énormément de pages, sites, forum.

Je me permets donc de solliciter un peu d'aide.

Je détiens un DS718+ relié à une livebox.

L'accès QuickConnect fonctionne parfaitement, mais je souhaite aujourd'hui le désactiver, notamment après parcouru les tuto de Fenrir sur ce forum.

J'ai d'ailleurs suivi à la lettre (en espérant ne pas avoir fait de bêtises) celui qui traitait de la sécurité de nos NAS.

Mes besoins :

  • Pouvoir accéder à ma base de données Ubooquity (port 2022) depuis l'extérieur,
  • Pouvoir décharger des photos entre deux shooting sur un dossier partagé dédié (et qui ne contiendrait donc que les fichiers récemment déchargés) depuis l'extérieur.

J'utilise par ailleurs les applications DS file, DS get (ce qui est une bonne chose ?) et Plex pour mes autres besoins de connexions externes et rien d'autres.

Pour le moment, j'ai donc :

1/ Côté NAS

  • Ajouté un DDNS en xxxx.synology.me au statut normal
  • Dans Réseau - Interface réseau - LAN : je suis bien en DHCP
  • Paramétrer le parefeu en suivant les conseils de ce fil

 

2/ Côté Libebox

  • réservé un bail IP via la livebox pour le NAS
  • Dans la partie DynDNS, j'ai ajouté le service de No-IP après m'y être enregistré, ce qui je pense fait doublon avec le ***.synology.me, mais en désespoir de cause, j'ai testé
  • Dans la section NAT/PAT, testé un certains nombre de redirections de ports vers le NAS, comme par exemple :image.png.7a492faf405c16d27a7dacc55486d8bb.png
  • Réglé le parefeu sur Moyen

 

Mais rien n'y fait...

Lorsque je tente de ping mon nom de domaine ou l'adresse ip publique, j'ai bien la réponse attendue par contre...

Un grand merci par avance pour votre aide sur ce sujet !

 

 

Modifié par Rohdan
Lien vers le commentaire
Partager sur d’autres sites

J'ai testé une dernière chose :

1/ Désactiver le parefeu du NAS tout en laissant celui d'Orange

2/ Rediriger le port EXTERNE 80 vers INTERNE 5000 sur l'appareil "NAS", puis le port 2022 externe vers le 2022 externe et j'ai eu accès à Ubooquity en externe !

Ce qui signifie que les configurations Livebox - Nas seraient bonnes mais pas celui du parefeu NAS 😞 

Mes règles sont actuellement les suivantes :

image.png.87436fc785b7679f773830e19dccd62a.png

Reste également le sujet du paramétrage d'un dossier dédié pour décharger les photos, mais ca avance un peu 🙂 

EDIT : Quand on est bête ! J'ai supprimé le "Tous / Tous / Refuser" et autorisé le "2022 / TCP / France" et j'ai bien accès à Ubooquity depuis l'extérieur !

Le reste vous parait correct ?

Quid du dossier dédié photo ?

En espérant ne pas flooder 🙂 

Modifié par Rohdan
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Merci beaucoup de prendre le temps de me répondre.

Voici ce que ca donne après vos deux messages :

image.png.81423a9ae7e1bfcd0739eee49d54c393.png

Je n'avais pas pris en compte la notion "d'ordre"...

Je peux toujours accéder à Ubooquity depuis l'extérieur, c'est top !

 

EDIT 10h45 :

Je viens de maj à nouveau les règles pour quelque chose qui me parait plus sécurisé (mon utilisation externe étant limitée à deux ou trois usages seulement)

image.png.13326705a7565a551bbab06bb39909f8.png

Ca a l'air d'aller ? (tout fonctionne a priori)

En ce qui concerne la création d'un espace partagé pour décharger des photos depuis mon macbook, je suppose que je devrais aller faire un tour du côté des tuto vpn ?

 

Modifié par Rohdan
Lien vers le commentaire
Partager sur d’autres sites

 Edit 20h32 !

J'ai suivi à la lettre le tuto sur le serveur VPN  et tout fonctionne nickel, je peux accéder au répertoire dédié pour décharger les photos via un vpn, au top 🙂 

Dernière étape qui clôture cette journée d'apprentissage : la désactivation de QuickConnect ! Missions accomplie 🙂 

Si quelqu'un passe sur ce fil, j'ai une dernière question plus générale : j'ai une adresse en ***.synology.me et une autre en ****.ddns.net créée pendant mes nombreux tests avant que tout fonctionne. Qu'apporte en plus un nom de domaine comme ceux proposé par ovh ?

Bonne soirée à tous 🙂 

Modifié par Rohdan
Lien vers le commentaire
Partager sur d’autres sites

L'intérêt d'un vrai NDD c'est de pouvoir ajouter des sous-domaines.

Utilisés avec le reverse proxy, tu peux ouvrir uniquement le port 443 et rediriger le trafic vers l'application Synology adéquate.

Exemple : un accès à https://audio.ndd.fr renverra sur le port XXXX du NAS, qui exploite Audio Station.

Au final tu n'ouvres qu'un seul port à l'extérieur pour tout. 

Lien vers le commentaire
Partager sur d’autres sites

J'avais testé pour un ami, ça marchait bien.
Après pourquoi ça marchait, aucune idée. 😛
Disons toto.synology.me, j'ai créé un certificat LE via DSM pour ce nom de domaine, ainsi que audio.toto.synology.me, cam.toto.synology.me, etc... pour chacun de ses services que j'avais configurés dans le proxy inversé.
Aucun message d'erreur durant la création de certificat, et j'étais bien en https quand j'accédais aux sous-domaines.
Je soupçonne Synology de créer les CNAME nécessaires dans la zone DNS relative au nom de domaine qu'ils mettent à notre disposition quand on ajoute des entrées dans le proxy inversé ou dans le portail des applications de manière plus générale.

J'avais testé ça dans l'update 3 de DSM 6.2.2, à vérifier si ça fonctionne avec la version actuelle.

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonjour,

pour confirmer les propos de @.Shad. oui cela est parfaitement opérationnel y compris sous DSM actuel DSM 6.2.2-24922 Update 4

  • Le fait de choisir un NDD chez Synology en gratuit, (panneau de configuration accès à distance)
  • si on précise les sous.domaines dans la création du certificat via Let's Encrypt  (panneau de configuration sécurité, certificat)
    Et
  • qu'on spécifie les sous domaines en question en tant que portail d’accès, ça fonctionne très bien. (panneau de configuration portails des applications)

A noter : on peut se passer de certificat SSL... et passer directement à la saisie des noms des sous domaines dans la partie portail, ça fonctionne itou.

Merci encore @.shad. j'ignorais que cela fusse possible avec un dyndns gratuit. (enfin merci Synology de bien gérer ce genre de possibilité et cela toujours à titrez gracieux).

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, daffy a dit :

pour confirmer les propos de @.Shad. oui cela est parfaitement opérationnel y compris sous DSM actuel DSM 6.2.2-24922 Update 4

  • Le fait de choisir un NDD chez Synology en gratuit, (panneau de configuration accès à distance)
  • si on précise les sous.domaines dans la création du certificat via Let's Encrypt  (panneau de configuration sécurité, certificat)
    Et
  • qu'on spécifie les sous domaines en question en tant que portail d’accès, ça fonctionne très bien. (panneau de configuration portails des applications)

Et si on ne l'avait pas fait historiquement, que faut-il faire ? Supprimer le certificat existant et en créer un autre, sur le Même NDD, mais en indiquant *.<nom>.myds.me dans le champ autre ?

L’impact de la suppression du certificat initial, quel est-il ?

  • Les App iOS vont afficher une alerte sur le certificat
  • les clients du serveur VPN doivent être reparamétrés avec le nouveau certificat ?
  • ??? quoi d'autre ?
Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous, 

Echanges très intéressants qui du coup m'intéressent 😉

Outre répondre à un problème que j'ai posté sur le forum, ce topic me fait poser une autre question.

Je sais que c'est mal, mais lorsque je suis à distance de mon réseau, j'utilise quickconnect pour accéder à mon NAS. Outre le fait que ce n'est pas bien sécurisé, je n'ai pas réussi à configurer la connexion à distance via ftp (j'ai quelques lacune en réseau, ...), c'est également absolument pas pratique pour accéder ou visionner le contenu du NAS, ou y insérer des éléments.

Du coup passer en reverse proxy avec ce qui va bien pour se connecter à une application du NAS, exemple "file station" permet-il de compenser l'utilisation d'un ftp et pouvoir faire du copier/coller, insertion de fichiers depuis l'ordinateur distant sur le NAS en toute faciliter ?

Si ça fonctionne, ça me permettrai alors de ne plus utiliser quickconnect comme le conseille @Fenrir

Merci pour vos éclaircissements

Lien vers le commentaire
Partager sur d’autres sites

@StéphanH Il faut redemander un certificat, donc certaines choses sont à refaire oui.
Normalement depuis une ou deux mises à jour il est possible de demander un certificat wildcard avec le nom de domaine fourni pas Synology.
Donc ajouter comme sous-domaine *.user.synology.me

Si quelqu'un a déjà testé et avait un retour d'expérience à donner. 🙂

@damstopper En toute facilité je ne dirai pas ça, c'est toujours moins pratique que d'avoir ça dans son explorateur, pour ça je te conseillerais plutôt le VPN ou WebDAV qui sont sûrement les plus pratiques.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

REX pour @stephanH, oui j'ai été confronté à cette problématique (recréation de certificat).

  • Il a fallut bien sur, remettre un autre certificat par défaut le temps de la manipulation (pour pouvoir supprimer celui qui était justement par défaut cqfd)
  • Puis recréation. J'avoue j'ai pas tenté le joker et j'ai précisé les sous domaines requis (y'en a pas des tonnes non plus) - je savais que cela fonctionnerait.
  • Côté application IOS il a fallut re-signer pour que les choses se passent au mieux (en clair à la connexion pb certificat mentionné, je me suis déconnecté, j'ai supprimé l'historique, cache et pour certains devices j'y suis allé carrément à la suppression de l'app)🙃

 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 23 minutes, StéphanH a dit :

Pour OpenVPN, idem => il faut remettre le nouveau certificat dans chacun des clients ?

Oui, et c'est un problème de mon point de vue lorsqu'on utilise un VPN sur un NAS "très" distant. Raison pour laquelle j'utilise le certificat Synology par défaut que je garde uniquement pour ça. Sinon, il y a aussi la possibilité d'utiliser un certificat autosigné. Comme ça, le VPN n'est pas affecté par le changement de certificat LE.

Le fait qu'on puisse créer plusieurs domaines à partir du user.synology.me n'a rien de surprenant car il y a certainement un wildcard associé au domaine. Dès lors, n'importe quel nom renverra vers le NAS. Il suffit de paramétrer le reverse proxy et le tour est joué. Synology ne fait rien de plus que de mettre un wildcard à disposition.

Lien vers le commentaire
Partager sur d’autres sites

Le fait qu'on puisse créer plusieurs domaines à partir du user.synology.me n'a rien de surprenant car il y a certainement un wildcard associé au domaine. Dès lors, n'importe quel nom renverra vers le NAS. Il suffit de paramétrer le reverse proxy et le tour est joué. Synology ne fait rien de plus que de mettre un wildcard à disposition.

Bonjour,

Certes, mais synology le fait... Et, j’ajoute que, sans tous les connaître, je n’ai rarement, pour ne pas dire jamais, vu cela chez un autre fournisseur de DYNDNS.
Enfin, cette largesse n’est pas documentée non plus.
2 raisons qui justifient à mes yeux, cette petite disgression dans ce post.....





Envoyé de mon iPad en utilisant Tapatalk
Lien vers le commentaire
Partager sur d’autres sites

Il y a 16 heures, Mic13710 a dit :

Sinon, il y a aussi la possibilité d'utiliser un certificat autosigné. Comme ça, le VPN n'est pas affecté par le changement de certificat LE.

C'est sûrement le plus pratique pour le serveur OpenVPN, pour ne pas avoir à mettre à jour le certificat sur les clients.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.