Accès DSM via NDD impossible

[KevM]

Bonjour à tous, ça fait un moment que j'ai mon nas et que j'arrive à faire ce que je veux avec lui, mais aujourd'hui je reviens vers vous car je suis bloqué.

Je n'ai plus accès à DSM via mon ndd, cependant le ndd semble fonctionner correctement car mon vpn fonctionne, ainsi que mon drive. La dernière fois que je me suis connecté via mon ndd remonte à environ 1 ou 2 mois pour configurer des droits utilisateurs sur certains dossiers via file station (+création groupe), se rajoute l'installation de synology office. Ce week end j'ai voulu me connecter pour faire une maj et c'est là que je n'arrivai plus à accéder à dsm via mon ndd. J'ai regardé partout box / DSM / j'ai même repri le tuto fenrir sécuriser son nas et  revoir mes configs, mais je ne vois pas d'où ça peut venir. J'ai désinstallé synology office, python et php en me disant que c'était la dernière installation réalisé avant que ça ne fonctionne plus mais rien.

 

Voici la page d'erreur (avant de l'afficher il tourne environ 30 secondes comme ci il avait une pseudo réponse)

 

Voici la config de ma box : (J'utilise des redirection de port pour des app syno, mais je n'ai rien changé et je ne pense pas que ça vienne de là ?!)

 

 

NDD et certificats (j'ai essayé de recréer un ndd + certificat mais ça n'a rien donné voici l'actuelle)

 

Le certificat ssl est bon, j'arrive à le mettre à jour, il est par défaut et appliquer !

 

 

Je vous met aussi les règles de mon par feu, mais là non plus un moment que je n'ai pas touché !

 

 

En relisant le tuto fenrir sécuriser son nas j'ai été rejeté un coup d'oeil, dans les paramètres avancées ! J'ai rebidouillé en mettant le port 5000 et 5001 plus mon ndd mais ça n'a pas marché, du fait que je n'utilise gg doc ou l'autre.

 

 

Pour finir voici des captures prouvant que le ndd fonctionne bien (accès a synology drive et vpn + DS file)

 

             

 

 

Merci d'avance pour votre aide ! Je ne vois plus quoi faire pour accéder de nouveau à DSM via mon ndd.

Bonne après midi.

 

 

Modifié le 18 février 2020 par KevM

[pluton212+]

bonjour,

pour accéder au dsm il faut lui attribuer un port: 5001 en https ou 5000 en http (capture 8 )

ensuite il faut ouvrir ces ports dans le routeur (box nat/pat) pour les rediriger vers le nas

puis dans le parefeu du nas ne pas limiter les entrées au seul port 10003 pour la France

Modifié le 18 février 2020 par pluton212+

[KevM]

Bonsoir, merci beaucoup pour ta réponse ! Bizare, de mémoire je n'avais jamais configuré comme ça ma box et / ou le par feu du syno, pour que ça marche ! Synology a modifié un truc ? ou j'ai la mémoire qui flanche 🤕 et j'ai supprimé une règle par inadvertance !

J'ai suivi ce que tu m'as conseillé et j'en ai profiter pour bidouiller et tester un peu plus tous ça histoire de voir sur quoi ça agissait !

J'ai donc essayé pleins de combinaisons sur les 3 éléments que tu m'as donné (sans redirection de port mais avec par feu ouvert sur 5001 depuis france / redirection de port avec par feu ouvert sur mon ip publique / ...) Je me suis rendu compte que je n’avais pas forcément besoin d'utiliser les champs dans la capture 8 et que cela fonctionnait avec et sans !

Suite à mes bidouillages, j'ai sorti cette configuration qui me semble valable et qui fonctionne :

                   - Nat pat 5001 vers 5001 (que j’avais essayé en désespoir mais n'avais pas fonctionné du au par feu syno)

                    - Par feu syno "Port 5001 / Protocole: tous / Mon IP publique / Autoriser"

Vois tu une anomalie ou une remarque ou un conseil ? Après effectivement je ne suis pas à l'abri que mon ip publique change ! en réalité ça m'embête de mettre un emplacement France car ce n'est pas des plus sécure !? Quelle est ton avis !

Cependant, je n'ai donc plus accès à DSM via mon vpn à cause de cette config, il faut que je mette france si je veux que ça marche ! Bon je vais voir ce que je vais faire. Mais ça m'amène à une question connexe au vpn y a t'il moyen de bloqué l'accès à dsm via vpn autrement si jamais je me met le port 5001 ouvert emplacement france ?

Merci pour tes lumières

Modifié le 18 février 2020 par KevM

[Jeff777]

Il y a 14 heures, KevM a dit :

je n’avais pas forcément besoin d'utiliser les champs dans la capture 8 et que cela fonctionnait avec et sans !

Je ne sais pas si c'était le cas mais quant tu fais des essais n'oublie pas de vider le cache DNS ainsi que le cache de ton navigateur. Il est possible que le résultat précédent soit conservé.

 

Il y a 14 heures, KevM a dit :

Par feu syno "Port 5001 / Protocole: tous / Mon IP publique / Autoriser"

C'est un paramétrage un peu borderline. Pourquoi ne pas te connecter avec VPN serveur et tu n'as plus besoin d'autoriser le port 5001 dans le pare-feu de l'extérieur (et depuis le LAN non plus, même sans VPN....)

 

Il y a 14 heures, KevM a dit :

Cependant, je n'ai donc plus accès à DSM via mon vpn à cause de cette config

Je pense que  si à condition de garder la règle 4.

Il y a 14 heures, KevM a dit :

y a t'il moyen de bloqué l'accès à dsm via vpn autrement si jamais je me met le port 5001 ouvert emplacement france ?

Tu ne mets pas le port 5001 dans le pare feu. Voir ci-dessus

Modifié le 19 février 2020 par Jeff777

[KevM]

Bonjour, merci pour ta réponse Jeff

Il y a 12 heures, Jeff777 a dit :

Je ne sais pas si c'était le cas mais quant tu fais des essais n'oublie pas de vider le cache DNS ainsi que le cache de ton navigateur. Il est possible que le résultat précédent soit conservé.

Oui j'ai effectivement nettoyé l'historique des mes navigateurs et essayé avec chrome et Edge.

Il y a 12 heures, Jeff777 a dit :

C'est un paramétrage un peu borderline. Pourquoi ne pas te connecter avec VPN serveur et tu n'as plus besoin d'autoriser le port 5001 dans le pare-feu de l'extérieur (et depuis le LAN non plus, même sans VPN....)

grâce lesaux

Ensuite, je t’avoue que je n'ai pas tout compris ! Au par avant je n’avais pas paramétré mon routeur comme ça. Le fait de rediriger le port 5001 dans ma box ça me plaît pas trop (ça voudrais dire que dsm serait accessible depuis l'extérieur de mon réseau par n'importe qui ?! (je n'ai pas eu le temps d'essayer)).

Je comprend pas, ce que tu veux dire, quand je suis dans mon réseau à la maison pas besoin de vpn pour accéder à DSM ! J'ai peut être mélanger 2 questions ! si tu peux me réexpliquer plus en détail se serait super !

 

Il y a 12 heures, Jeff777 a dit :

Je pense que  si à condition de garder la règle 4.

Du par feu du nas ?

 

Merci pour ta réponse, ça permet d'avancer dans mon problème et d'arriver à quelque chose qui me convient et propre !

[Jeff777]

il y a 32 minutes, KevM a dit :

Je comprend pas, ce que tu veux dire, quand je suis dans mon réseau à la maison pas besoin de vpn pour accéder à DSM ! J'ai peut être mélanger 2 questions ! si tu peux me réexpliquer plus en détail se serait super !

Oui j'avoue ne pas avoir été clair et en plus j'ai laissé un "grâce lesaux" qui ne veut rien dire. 😄

1/ Si de l'extérieur tu accèdes à ton NAS avec VPN serveur tu n'as pas besoin d'autoriser le port 5000 ou 5001 dans le pare feu puisque la règle 4 de ce même pare feu (vpn serveur UDP france autorisé) te permet de te connecter au NAS.

Le port 5000 ou 5001 sera alors utilisé sur le LAN pour ta connexion au DSM.

2/ Si tu es sur le LAN lorsque tu souhaites te connecter sur le DSM ça ne devrait pas poser de problème puisque les premières règles du pare feu t'autorise et ceci sans nécessiter d'être en VPN.

il y a 42 minutes, KevM a dit :

Du par feu du nas ?

Oui la règle dont je parle juste au dessus.

[KevM]

Rebonsoir, je viens de me remettre sur le nas.

Donc si je suis bien et comprend tes explications : Pour un accès depuis chez moi ou mon nas se situe pas besoin de faire un nat pat 5001 vers 5001 et pas non plus besoin de faire une règle par feu car j'ai cette règle déjà active (ça me semble logique):

J'ai aussi remis dans les paramètres dans accès externe avancé les ports http : 5000 et https : 5001 + mon ndd

 

Mais du coup  ça ne fonctionne pas, alors qu'avant effectivement ça fonctionnait de cette manière et même sans rentrer la ligne du dessus.

J'ai aussi revérifier les ports pour DSM mais ils sont bon !

 

 

Je comprend pas d'où viens le problème !

 

[Jeff777]

Ahhh!  Déjà à première vue : décoche la case "Rediriger automatiquement les connexions http vers https".

 

il y a 39 minutes, KevM a dit :

J'ai aussi remis dans les paramètres dans accès externe avancé les ports http : 5000 et https : 5001 + mon ndd

ça c'est pour les liens partagés que tu pourrais créer donc rien à voir avec ton problème

 

[KevM]

Merci pour ton retour éclair,

J'ai donc essayé de le décocher, mais pas d'accès via http://XXX.synology.me:5000 ou https://XXX.synology.me:5001

il y a 22 minutes, Jeff777 a dit :

Ahhh!  Déjà à première vue : décoche la case "Rediriger automatiquement les connexions http vers https".

Mais pourquoi le désactiver ? Cela me semble mieux de rediriger le http vers https comme ça toutes les connexion sont cryptées ! Ou je dis vraiment n'importe quoi ? 

EDIT + relecture tuto fenrir effectivement si je n'expose pas DSM sur le net comme je l'avais fait dans la config d'avant dans ce message si: pas besoin de rediriger

Le 18/02/2020 à 20:44, KevM a dit :

Suite à mes bidouillages, j'ai sorti cette configuration qui me semble valable et qui fonctionne :

                   - Nat pat 5001 vers 5001 (que j’avais essayé en désespoir mais n'avais pas fonctionné du au par feu syno)

                    - Par feu syno "Port 5001 / Protocole: tous / Mon IP publique / Autoriser"

 

J'ai été jeter un coup d'oeil aussi du côté du par feu de ma box, mais rien a changé, j'ai même essayé de le mettre au plus faible / en mode personnalisé avec port 5001 ou non (ça me semble pas la bonne solution mais j'ai essayé) ça n'a rien changé.

Il y a 11 heures, Jeff777 a dit :

Le port 5000 ou 5001 sera alors utilisé sur le LAN pour ta connexion au DSM.

Je relis tes messages voir si je n'ai rien raté, celui-ci m'intrigue ! Oui, il sont configurés par défaut dans DSM et je ne les ai pas changé.

 

Raaahhh j'aime bien me casser la tête sur des problèmes informatiques d'hab, mais cette énigme de ça fonctionnait et hop ça fonctionne plus, me rend fou MDR.

Merci encore pour votre aide, en espérant que l'on trouve

🙂

Modifié le 19 février 2020 par KevM

[Jeff777]

Salut, 

Il y a 9 heures, KevM a dit :

Cela me semble mieux de rediriger le http vers https comme ça toutes les connexion sont cryptées ! Ou je dis vraiment n'importe quoi ? 

Oui c'est mieux mais pas de cette façon là. Cette option crée parfois des problèmes. Il faut préférer l'usage d'un fichier .htaccess ou .php à la racine du répertoire web.

Ce sera la prochaine étape.

 

Bon pour le reste de tes remarques je me suis peut-être planté 🙃. 

Suite à mes bidouillages, j'ai sorti cette configuration qui me semble valable et qui fonctionne :

                   - Nat pat 5001 vers 5001 (que j’avais essayé en désespoir mais n'avais pas fonctionné du au par feu syno)

                    - Par feu syno "Port 5001 / Protocole: tous / Mon IP publique / Autoriser" 

Si cela  fonctionne c'est que ta requête passe peut-être par l'extérieur en loop back. 

 Qu'est-ce que tu as mis en DNS dans ta box et/ou dans le NAS ?  

Vérifie aussi ce que retourne : nslookup  xxx.synology.me   IP de la box    en ligne de commande  ??

 

[KevM]

Salut, 🙂

Alors de retour, 

J'ai donc mis mon ndd dans ma box : ici

   ->  Zone DNS     

    ->  Zone Dyn DNS     

 

 

 

Et dans le nas ici :

    ->  Accès externe / Avancé  (j'ai essayé en le mettant et en l'enlevant mais ça n'a pas changé)

 

 

    ->  Accès externe 

 

    ->  Et je l'utilise pour le certificat

 

 

J'ai regardé dans les autres menus, mais je n'ai rien vu et je ne me vois pas trop mettre mon ndd sans raison.

 

Mais en reparcourant les menus se serait peut être un problème dans le menu réseau ? Voici les captures si ça peu aider !

 

 

 

Pas de contrôle du trafic ni de route statique

 

 

 

En tout cas en grand merci pour le temps que tu passe à me conseiller 🙂

 

Modifié le 20 février 2020 par KevM

[Jeff777]

Donc il n'y a pas de raison que tu sortes du LAN.

Tu as  vérifié ce que donne nslookup  xxx.synology.me   192.168.x.x       ?              

192.168.x.x  c'est l' IP de ta box

Modifié le 20 février 2020 par Jeff777

[KevM]

Je viens de compléter le message du dessus ça a posté trop rapidement !

 

NB : Je  n'ai plus ces règles, je les ai supprimées par rapport à ton premier message

Suite à mes bidouillages, j'ai sorti cette configuration qui me semble valable et qui fonctionne :

                   - Nat pat 5001 vers 5001 (que j’avais essayé en désespoir mais n'avais pas fonctionné du au par feu syno)

                    - Par feu syno "Port 5001 / Protocole: tous / Mon IP publique / Autoriser" 

Le nslookup a été donc fait sans ces para

J'en ai profité pour le pinguer voir si ça répondait ! [Edit] mais je me rend compte que ça va pas aidé le problème !

il y a 23 minutes, Jeff777 a dit :

Tu as  vérifié ce que donne nslookup  xxx.synology.me   192.168.x.x       ?              

Modifié le 20 février 2020 par KevM

[Jeff777]

Donc c'est normal que tu sois obligé d'ouvrir le port 5001 pour ton IP publique puisque xx.synology.me est résolu vers ton IP publique et non l'IP privée.

Il faut donc mettre les deux règles que tu avais trouvées.

Par contre tout ceci n'est pas très clean. Je te proposerais bien d'utiliser dns serveur à la place de ton DNS de la box.

Modifié le 20 février 2020 par Jeff777

[KevM]

il y a 7 minutes, Jeff777 a dit :

Donc c'est normal que tu sois obligé d'ouvrir le port 5001 pour ton IP publique puisque xx.synology.me est résolu vers ton IP publique et non l'IP privée.

Il faut donc mettre les deux règles que tu avais trouvées.

Oui, mais n'avons nous pas dit que c'était border line et que finalement ça ouvre DSM au monde du net (enfin plus ou moins). Raaaahhh je comprend pas ce que j'ai pu faire sauter pour ça ne marche plus, mon cerveau me perdra !

 

il y a 13 minutes, Jeff777 a dit :

Par contre tout ceci n'est pas très clean. Je te proposerais bien d'utiliser dns serveur à la place de ton DNS de la box.

C'est fait ! L'app a ouvert le port 53 du par feu  syno pour qu'elle fonctionne.

Faut que je me penche sur DNS serveur alors. Pense tu qu'avec DNS serveur je puisse éviter les deux règles border line ? si je comprend bien au lieu de mettre mon ndd dans le DNS et le dynDNS de ma box je le met dans dns serveur.

Je vais regarder un peu ça et voir.

Merci

[Jeff777]

Attends j'ai une autre idée. 

Imaginons que ton DDNS soit tartanpion.synology.me

Il faudrait que tes DNS internes soit nas.tartanpion.synology.me   machine1.tartanpion.synology.me etc... est-ce que c'est le cas ??

Modifié le 20 février 2020 par Jeff777

[KevM]

Re : j'étai entrain de lire le tuto DNS serveur sur le site synology quand j'ai vu ton message.

 

Je suis vraiment désolé j'ai l'impression d'être un nul et de ne rien piger.

Mais ce n'est pas le cas, je t'envoi en mp deux captures en mp sans censure, car ça complexifie la chose.

[Jeff777]

C'est moi qui suis nul j'ai pas encore réussi à te dépanner 🤣

Ok envoie.

[maxou56]

Il y a 2 heures, KevM a dit :

Faut que je me penche sur DNS serveur alors. Pense tu qu'avec DNS serveur je puisse éviter les deux règles border line ? si je comprend bien au lieu de mettre mon ndd dans le DNS et le dynDNS de ma box je le met dans dns serveur.

Bonsoir,

Il faut quand même laisser le DDNS dans le NAS.

Par contre même actuellement le DDNS dans la Livebox ne sert pas (la Livebox n'est pas compatible avec synology.me et seul suffit)

 

 

Pour en revenir au problème, il semble que pour activer le loopback sur la Livebox il faut faire du NAT/PAT 🤕.

https://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/le-parametrage-avance-reseau-nat-pat-ip/dns/livebox-4-le-loopback_243342-785338

 

DNS serveur (juste la partie local) semble être/est la solution.

Mais si le décodeur TV est utilisé alors ce n'est pas possible, car il ne faut pas toucher au DHCP serveur ni au DNS serveur pour qu'il fonctionne.

Modifié le 20 février 2020 par maxou56

[Jeff777]

Merci de ton aide Maxou,

Il y a 7 heures, maxou56 a dit :

Il faut quand même laisser le DDNS dans le NAS.

oui c'est sûr. En fait je pensais remplacer la partie DNS locale de la box par la partie DNS serveur locale simplement et continuer avec VPN serveur pour les accès externes.

Il y a 7 heures, maxou56 a dit :

il semble que pour activer le loopback sur la Livebox il faut faire du NAT/PAT 🤕.

Quand KevM utilise la redirection du port 5001 et l'autorise dans le pare feu du NAS pour son IP publique ça fonctionne. De plus un nslookup sur xxx.synology.me (nom du nas) lui retourne son IP publique.

J'en ai déduit que le loopback fonctionnait. Je me trompe ?

 

En MP j'ai pu voir que le nom attribué à Diskstation était le même que son ddns. J'ai pensé que c'était le pb mais en changeant ce nom pour un autre ça ne fonctionne toujours pas. A suivre