_DR64_ Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 (modifié) il y a 22 minutes, TuringFan a dit : Enfin j'ai installé SSL VPN mais cela me fait beaucoup penser à quickconnect que j'essayais d'éviter ... ne retombe pas dans les travers de quickconnect avec cette solution qui semble ad hoc à Synology ? est-il possible d eparamétrer un client sans l'installation de SSL VPN Synology ? Là je suis pas d'accord, QuickConnect, grâce à un MONNAS.synology.ME te connecte à tout (c'est la porte ouverte à toutes les fenêtres j'ai envie de dire.) Sur PC, quand tu connectes ton VPN, soit tu as forcément un client OpenVPN. J'ai testé avec Windows seul (En bas à droite/VPN/ etc...) ça ne fonctionne pas en natif (et j'ai W10 Pro) tu es obligé d'aller bidouiller des lignes de registre pour que ça marche! Là avec SSL VPN tu te connecte, tu télécharges les paramètres réseau (car c'est ça en gros) et ça marche. Simple / rapide / efficace. Avant tout, pour joindre ton NAS depuis l'extérieur, tu rentres un domaine ou un sous domaine ? nas.mondomaine.fr ou mondomaine.fr ? Modifié le 17 mai 2020 par GrOoT64 0 Citer
TuringFan Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 il y a 1 minute, GrOoT64 a dit : Là je suis pas d'accord, QuickConnect, grâce à un MONNAS.synology.ME te connecte à tout (c'est la porte ouverte à toutes les fenêtres j'ai envie de dire.) Sur PC, quand tu connectes ton VPN, soit tu as forcément un client OpenVPN. J'ai testé avec Windows seul (En bas à droite/VPN/ etc...) ça ne fonctionne pas en natif (et j'ai W10 Pro) tu es obligé d'aller bidouiller des lignes de registre pour que ça marche! Là avec SSL VPN tu te connecte, tu télécharges les paramètres réseau (car c'est ça en gros) et ça marche. Simple / rapide / efficace. C'était justement une question ouverte, je me rends compte que j'ai tapé trop vite et que je voulais marquer "ne retombe t on pas dans", à laquelle tu viens de répondre parfaitement. Je n'ai pas les compétences techniques pour en juger. Mais est il possible d'utiliser le protocole SSL VPN sans utiliser le client de Synology ? Puis je le configurer avec un autre client voire en natif sur iOS et:ou Windows ? Peut-être à tord mais le fait de passer par un truc spécifique à Synology me faisait penser au fonctionnement de QuickConnect qui est clef en main mais te fait passer par des serveurs tiers. 0 Citer
_DR64_ Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 (modifié) il y a 6 minutes, TuringFan a dit : Mais est il possible d'utiliser le protocole SSL VPN sans utiliser le client de Synology ? Puis je le configurer avec un autre client voire en natif sur iOS et:ou Windows ? A ma connaissance non. Mais je ne travaille pas chez Synology 😛 Pour tes ports : si tu veux être au plus simple on va dire : tu devrais avoir ouvert le port 80 et 443 vers le NAS ET C'EST TOUT <<- mais pour ça c'est reverse proxy obligé ! Si je comprend bien ce que tu me dis, toi tu as ouvert : 80 (let's encrypt) 5000 et 5001 vers le NAS c'est ça ? Modifié le 17 mai 2020 par GrOoT64 0 Citer
_DR64_ Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 Au passage @TuringFan, il serait bien d'aller faire un petit tour dans la section "présentation" du forum avec de nous faire la tienne (comme ça on pourra un peu mieux t'aiguiller) 0 Citer
TuringFan Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 (modifié) il y a 29 minutes, GrOoT64 a dit : A ma connaissance non. Mais je ne travaille pas chez Synology 😛 Pour tes ports : si tu veux être au plus simple on va dire : tu devrais avoir ouvert le port 80 et 443 vers le NAS ET C'EST TOUT <<- mais pour ça c'est reverse proxy obligé ! Si je comprend bien ce que tu me dis, toi tu as ouvert : 80 (let's encrypt) 5000 et 5001 vers le NAS c'est ça ? Pare-Feu LiveBox 80 ouvert 443 ouvert DMZ vers le RT Pare-feu RT SSL VPN Server (port 4443) ouvert DNS Server (port 53) ouvert Port 50 ouvert Bloquer sinon Port forwarding 80 vers IP NAS uniquement 443 vers IP NAS uniquement Pare-feu NAS 80 ouvert depuis France, USA uniquement 443 ouvert depuis France, USA uniquement 22 ouvert depuis la France Tous le sports ouverts pour les IP en 10. / 192.168. / 172.16. Bloquer sinon Est-ce que c'est bon ? Questions d'un débutant mais faut il ouvrir les IPs en 127.0 sur le NAS ? Comment-cela se fait-il que je puisse accéder à mon RT avec son IP:8001 en local sann avoir de règle spécifique dans mon pare-feu RT ? il y a 14 minutes, GrOoT64 a dit : Au passage @TuringFan, il serait bien d'aller faire un petit tour dans la section "présentation" du forum avec de nous faire la tienne (comme ça on pourra un peu mieux t'aiguiller) Volontiers, en plus d'être novice en réseau je suis également débutant en forum. merci pour le conseil. Modifié le 17 mai 2020 par TuringFan 0 Citer
_DR64_ Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 (modifié) il y a 9 minutes, TuringFan a dit : Pare-Feu LiveBox 80 ouvert 443 ouvert DMZ vers le RT Si ton RT est en DMZ de ta livebox, les ports 80 et 443 n'ont pas besoin d'être ouverts car ils passent forcément via la DMZ (DMZ = Tous les ports ouverts vers ton routeur il y a 9 minutes, TuringFan a dit : Pare-feu RT SSL VPN Server (port 4443) ouvert DNS Server (port 53) ouvert Port 50 ouvert Bloquer sinon SSL VPN : ok DNS serveur : Pourquoi faire ? Port 50 : C'est quoi ? il y a 9 minutes, TuringFan a dit : Port forwarding 80 vers IP NAS uniquement 443 vers IP NAS uniquement Impec là tu es prêt pour paramétrage Reverse proxy il y a 9 minutes, TuringFan a dit : Pare-feu NAS 80 ouvert depuis France, USA uniquement 443 ouvert depuis France, USA uniquement 22 ouvert depuis la France Tous le sports ouverts pour les IP en 10. / 192.168. / 172.16. Bloquer sinon Surtout pas le port 22 ouvert sur toute la France ! Le reste OK il y a 9 minutes, TuringFan a dit : Questions d'un débutant mais faut il ouvrir les IPs en 127.0 sur le NAS ? Pour les IPs en 127 si tu t'en a pas il n'y a pas de raison 😄 il y a 9 minutes, TuringFan a dit : Comment-cela se fait-il que je puisse accéder à mon RT avec son IP:8001 en local sann avoir de règle spécifique dans mon pare-feu RT ? La réponse est dans la question. Tu es en LOCAL donc tu as accès à TOUT en natif. Modifié le 17 mai 2020 par GrOoT64 0 Citer
_DR64_ Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 Dans mon cas : Pare-Feu LiveBox et DMZ vers le RT. Pare-feu RT SSL VPN : ouvert pour tous Remote desktop : ouvert pour tous 80 : ouvert pour tous 443 : ouvert pour tous SFTP : ouvert pour tous Active Backup : ouvert pour tous Port forwarding 80 : vers NAS1 443 : vers NAS1 SFTP : vers NAS1 Active Backup : vers NAS1 Pare-feu NAS1 0 Citer
TuringFan Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 (modifié) il y a 56 minutes, GrOoT64 a dit : Au passage @TuringFan, il serait bien d'aller faire un petit tour dans la section "présentation" du forum avec de nous faire la tienne (comme ça on pourra un peu mieux t'aiguiller) Et une bonne chose de faite (en plus de ma signature) : il y a 42 minutes, GrOoT64 a dit : Si ton RT est en DMZ de ta livebox, les ports 80 et 443 n'ont pas besoin d'être ouverts car ils passent forcément via la DMZ (DMZ = Tous les ports ouverts vers ton routeur Ok je ferme. il y a 42 minutes, GrOoT64 a dit : DNS serveur : Pourquoi faire ? Mon DNS est sur mon RT il y a 42 minutes, GrOoT64 a dit : Port 50 : C'est quoi ? Erreur : c'est maintenant fermé. il y a 42 minutes, GrOoT64 a dit : Surtout pas le port 22 ouvert sur toute la France ! Ok, le mieux est de fermer alors pour un accès en local uniquement ? Je pensais que comme bloqué par le RT, il n'y avait pas de risque. il y a 42 minutes, GrOoT64 a dit : Pour les IPs en 127 si tu t'en a pas il n'y a pas de raison Je sais que c'est mentionné dans le tuto DNS au même titre que les IP locales ou VPN, je pensais donc qu'il fallait avoir le même comportement. il y a 42 minutes, GrOoT64 a dit : La réponse est dans la question. Tu es en LOCAL donc tu as accès à TOUT en natif. Ok du coup pour la même raison, je peux faire sauter toutes les règles d'autorisation de mes IP locales / VPN dans mon pare-feu NAS alors ? Pourquoi certains tuto préconisent la création de ces dites règles justement ? Modifié le 17 mai 2020 par TuringFan 1 Citer
_DR64_ Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 il y a 44 minutes, TuringFan a dit : Mon DNS est sur mon RT Tu t'en sers qu'en local ? Si oui, ferme. Pour la suite je te réponds demain ma femme gueule mdr 😄 0 Citer
TuringFan Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 Ok ça marche, merci déjà pour toute ton aide. Pour le DNS en local et en VPN. Concernant le SSL Synology ça fonctionne bien sauf sur mon client Windows, je vais investiguer. Merci, 0 Citer
oracle7 Posté(e) le 17 mai 2020 Auteur Posté(e) le 17 mai 2020 @TuringFan Il y a 3 heures, TuringFan a dit : J'ai utilisé le port 4443 pour le SSL VPn car il était sur le screenshot du tuto Synology : est ce un coup de bol ou est-ce bien ce qu'il fallait faire ? Bah pour un coup de bol, c'est un coup de bol. Ce port ne semble pas être utilisé, voir ici. Il est habituellement de bon ton (en fait recommandé) de choisir ses ports privés (ou dits éphémères) dans la plage supérieure à 49152. Maintenant le port 4443 risque un jour d'être réservé et utilisé par une application tierce. Mais ne t'inquiètes pas il n'y a rien de grave, c'est juste pour ton information. Cordialement oacle7😉 0 Citer
TuringFan Posté(e) le 17 mai 2020 Posté(e) le 17 mai 2020 il y a 49 minutes, oracle7 a dit : Il est habituellement de bon ton (en fait recommandé) de choisir ses ports privés (ou dits éphémères) dans la plage supérieure à 49152. C'est quoi un port privé ? Je pensais que le port 4443 du SSL VPN jouais le même rôle que le port 1194 pour OpenVPN : ce n'est pas pareil ? 0 Citer
_DR64_ Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 (modifié) Il y a 8 heures, TuringFan a dit : C'est quoi un port privé ? Chaque application à un port par défaut. Exemple : 22 SSH Tu peux modifier ce port en 54321 si tu veux (et c'est conseillé! Pas forcément le 54321 hein !). Ce port devient un port privé. Il y a 8 heures, TuringFan a dit : Je pensais que le port 4443 du SSL VPN jouais le même rôle que le port 1194 pour OpenVPN : ce n'est pas pareil ? Comme je l'ai dis juste au dessus, chaque application ou protocoles à son (ou ses) port(s) attribué(s) De ce fait, si tu veux faire du SSL VPN tu ne pourra jamais passer par le port 1194 qui lui est dédié à OpenVPN. Même principe pour le HTTP et HTTPS : Si tu joins un site en HTTP tu passeras forcément via le port 80 contre le 443 pour du HTTPS. Modifié le 18 mai 2020 par GrOoT64 0 Citer
_DR64_ Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 Il y a 14 heures, TuringFan a dit : Concernant le SSL Synology ça fonctionne bien sauf sur mon client Windows, je vais investiguer. Je viens de pense un truc à la con. Si tu es chez toi, tu ne peux pas te connecter à ton VPN (logique tu es déjà chez toi) 0 Citer
oracle7 Posté(e) le 18 mai 2020 Auteur Posté(e) le 18 mai 2020 @GrOoT64 Bonjour, Certes, tu as tout à fait raison mais il suffit alors de se déconnecter physiquement du réseau local et d'utiliser un smartphone comme point d'accès 4G. Cordialement oracle7😉 0 Citer
_DR64_ Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 Oui oui pour les tests mais si @TuringFan essaye sans faire ça et depuis le LAN, c'est normal que ça ne fonctionne pas. 0 Citer
oracle7 Posté(e) le 18 mai 2020 Auteur Posté(e) le 18 mai 2020 @GrOoT64 Tout à fait d'accord. Cordialement oracle7😉 0 Citer
TuringFan Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 (modifié) Il y a 16 heures, GrOoT64 a dit : Chaque application à un port par défaut. Exemple : 22 SSH Tu peux modifier ce port en 54321 si tu veux (et c'est conseillé! Pas forcément le 54321 hein !). Ce port devient un port privé. Merci pour ton retour @GrOoT64, Quel est justement le port par défaut pour le SSL VPN de Synology ? 4443 ? Il y a 13 heures, oracle7 a dit : Certes, tu as tout à fait raison mais il suffit alors de se déconnecter physiquement du réseau local et d'utiliser un smartphone comme point d'accès 4G. Non je fais bien ça depuis mon PC branché sur mon smartphone et ça fonctionne bien maintenant : accès à mon RT, mon NAS et ma Livebox entre autres. En revanche je crois que l'interface web Synology m'a demandé d'installer un certificat et/ou une exception : Pourquoi ? Je ne maitrise pas les potentiels impact d'un point de vue sécurité. Je croyais aussi que d'une façon générale les VPN qui se font par l’intermédiaire d'une interface web sur un navigateur sont moins sûre que ceux qui utilisent un client en lourd : qu'en est il ? Pour le moment je n'arrive toujours pas à me convaincre de la robustesse de ce protocole (probablement à tord, mais le client ad hoc Synology + l'interface web + le certificat / exception sont autant d'éléments qui ne m'aident pas à avoir la même confiance dans ce protocole qu'envers les standard), j'ai essayé le L2TP et/ou OpenVPN qui fonctionnaient jadis bien sur mon NAS avec le paquet VPN Server mais pas de succès pour le moment sur le RT avec VPN Server Plus. Modifié le 18 mai 2020 par TuringFan 0 Citer
_DR64_ Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 (modifié) @TuringFan, Le port par defaut du SSL VPN est 443 mais comme annoncé dans le paquet lui même, ce port est souvent utilisé par un autre appareil. Dans ton cas l'autre appareil c'est ton NAS. Modifié le 18 mai 2020 par GrOoT64 0 Citer
_DR64_ Posté(e) le 18 mai 2020 Posté(e) le 18 mai 2020 (modifié) Je suis en train de relire notre conversation et je m'aperçois qu'il me manque des informations : Ton serveur DNS, tu t'en sers qu'en Local ou depuis l'extérieur ? Tu as qui comme registrar ? (Fournisseur de nom de domaine) Sur quoi est installé ton DynDNS ? Car longuement chez Orange/Sosh les IP ne sont pas fixes. Il y a 1 heure, TuringFan a dit : En revanche je crois que l'interface web Synology m'a demandé d'installer un certificat et/ou une exception : Pourquoi ? Je ne maitrise pas les potentiels impact d'un point de vue sécurité. La seule interface que tu dois voir, c'est VPN Plus sur fond d'écran bleu. Avec identifiant mot de passe. Une fois identifié, tu devrais avoir SSL VPN sur la gauche et un rectangle vert au milieu de la page avex le client VPN à installer. Sa te rajoutera une carte réseau virtuelle nommée comme ton domaine. Je te ferai une capture demain là je n'ai que mon téléphone... Modifié le 18 mai 2020 par GrOoT64 0 Citer
_DR64_ Posté(e) le 19 mai 2020 Posté(e) le 19 mai 2020 (modifié) Voilà les captures qui vont bien : Voilà! pas besoin d'exception ou autre truc du genre... Modifié le 19 mai 2020 par GrOoT64 0 Citer
Jeff777 Posté(e) le 19 mai 2020 Posté(e) le 19 mai 2020 Le 14/05/2020 à 23:38, Jeff777 a dit : Pour moi oui. Mais j'ai un doute, comme dit kramlech, c'est peut être grâce au loopback que ça fonctionne en local chez moi avec Free Comme je ne suis pas chez moi actuellement je ne peux pas tester. Mais toi tu ne risques rien de faire l'essai en local. Bonjour @oracle7 Je vois que le sujet a un peu dévié 😄 Je viens de rentrer et j'ai fait le test en interne en coupant internet (et après avoir vider les caches DNS et navigateur). Je confirme que le DNS local fonctionne. En conclusion un enregistrement A dans le DNS local nas.ndd A iplocaleNAS et un reverse proxy https://nas.ndd ==>> iplocaldunas:5000 et cela fonctionne en local sans loopback ou de l'extérieur. Maintenant je n'ai pas exactement la même config que toi. 0 Citer
_DR64_ Posté(e) le 19 mai 2020 Posté(e) le 19 mai 2020 Bonjour @Jeff777, J'avoue qu'on s'est un peu égaré 😄 0 Citer
oracle7 Posté(e) le 19 mai 2020 Auteur Posté(e) le 19 mai 2020 @Jeff777 Bonjour, Effectivement, depuis ton dernier passage, le sujet a quelque peu dérivé. la cause en est un changement de portage de ma part quant à la configuration de mon installation. Je suis passé avec l'aide généreuse de @GrOoT64 , d'une configuration Serveur DNS et Serveur VPN installés sur le NAS (client du routeur) à une configuration Serveur DNS et Serveur VPN installés tous les deux directement sur le Routeur, ce qui en soit est plus "naturel", enfin je le crois. Avec le recul, je puis dire maintenant qu'il ne faut pas chercher à en faire faire trop à un NAS et qu'il faire simple tout simplement quand la configuration matérielle le permet bien sûr. Depuis cela, ce qui me conforte dans nouveau choix c'est que je ne constate plus les comportements étatiques (entre serveurs DNS et VPN) que j'avais précédemment, avec au passage les mêmes constats relevés chez @TuringFan qui avait une configuration similaire à la mienne et qui lui aussi, est passé avec succès me semble-t-il à la nouvelle configuration sus-citée. Au final, cela marche parfaitement, j'accède à tous mes périphériques (NAS, Routeur, Caméras, etc ..) comme je le souhaitais aussi bien en local que de l'extérieur en tapant un simple "xxxxx.ndd.tld" dans un navigateur. Ce qui est extrêmement souple. De plus, grâce à une astuce de @GrOoT64 liée au profil d'accès dans le reverse proxy, personne ne peut utiliser mes "xxxxx.ndd.tld" de l'extérieur car ils sont "filtrés" (même si ne n'est pas tout à fait le bon terme) pour une connexion uniquement en local ou initiée sous VPN de l'extérieur par moi seul. C'est pour moi un top du point de vue sécurité ! Cela dit, je te remercie pour l'aide apportée pour essayer de résoudre mes problèmes rencontrés avec la première configuration. Cordialement oracle7😉 0 Citer
Jeff777 Posté(e) le 19 mai 2020 Posté(e) le 19 mai 2020 il y a 17 minutes, oracle7 a dit : un changement de portage de ma part quant à la configuration de mon installation. L'essentiel c'est que chacun trouve la config qui lui convient et que celle-ci soit compatible de son FAI et équipement et Il semble que tu as trouvé la tienne. La diversité des solutions c'est aussi la richesse du forum. A+ 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.