Le challenge de la connexion a distance

[romain_syno]

Bonjour a tous,

Utilisateur d'un NAS Synology depuis plusieurs années, je tombe sur un problème que je n'arrive pas a résoudre... J'ai regardé le forums, tutos youtube, etc... rien a faire ! Donc je m'adresse a vous maintenant :)

Mon NAS était branché chez moi auparavant, avec une connexion a distance de paramétrée, tout marchait très bien. J'ai déménagé, changé d'opérateur... et la impossible d'avoir un accès externe a mon NAS.

 

Matériel :

NAS DS415+ avec DSM 6.2.3-25426 Update 2

Livebox 5 Orange (fibre)

Mon nom de domaine OVH (que j'appellerai ici serveur.toto.com) > pas de quick connect du coup

 

Ce que j'ai fait jusqu'ici :

 

(1) Sur le NAS :

- Ports DSM custom, par ex HTTP 40000 et HTTPS 40001

- Redirection auto vers HTTPS et HTTP/2 activé

- Acces externe > avancé > ip locale de ma box statique (ex : 192.168.x.x) + mes ports custms en HTTP (40000) et HTTPS (40001)

- Acces externe > DDNS > le DDNS OVH est activé pointant sur mon IP de livebox externe (ex : 86.xxx.x.x)

- Certificat let's encrypt a jour

 

(2) Sur la livebox :

- Baux DHCP statiques > j'ai mis l'ip locale du NAS en statique (ex : 192.xxx.x.x)

- NAT/PAT > Règles personnalisées > j'ai ouvert les ports 80, 443, 40000, 40001 en TCP du NAS

- DynDNS j'ai rien fait (pas besoin ?)

- IPv6 actif (je sais pas si ça joue), pare-feu sur moyen

 

(3) Sur mon panel OVH

- J'ai mon nom de domaine (toto.com) auquel j'ai ajouté un sous nom de domaine (serveur.toto.com)

- Dans DynHost, j'ai ajouté un identifiant pour me connecter depuis le DDNS de DSM.

- Dans DynHost, j'ai créé un dynhost avec : mon sous nom de domaine (serveur.toto.com) pointant sur mon ip de livebox externe (ex : 86.xxx.x.x)

 

Voyez vous ou peut être le problème ? j'ai tout revu/refait depuis des jours, je ne comprends pas. SI besoin je peux faire des capture d'écran.

 

Merci d'avance !

Romain

[goerges]

Salut,

Dans tes explications, ou décris-tu que tu forwardes tes ports vers l'IP locale de ton NAS ?

Georges.

[romain_syno]

Sur ma livebox, j'ai ouvert des ports pour qu'ils ne soient pas bloqués. Serveur_Romain est l'IP statique locale de mon nas.

Merci.

Modifié le 8 août 2020 par romain_syno

[goerges]

As-tu déjà essayé de te connecter en tapant directement l'adresse WAN, genre https//:xxx.xxx.xxx.xxx:40001 ?

As-tu vérifié que ton nouveau FAI ne partage pas ses adresses Ip avec plusieurs clients ?

 

[oracle7]

@romain_syno

Bonjour,

il y a 31 minutes, romain_syno a dit :

Acces externe > avancé > ip locale de ma box statique (ex : 192.168.x.x) + mes ports custms en HTTP (40000) et HTTPS (40001)

Tu ne lis pas bien les indications de l'interface DSM : pour le nom d'hôte il faut saisir normalement l'@IP statique PUBLIQUE de ton NAS comme ton @IP externe (i.e. publique) est dynamique vu que tu as configuré un DDNS, il te faut alors saisir "serveur.tot.com" (cible de ton DDNS).

il y a 38 minutes, romain_syno a dit :

NAT/PAT > Règles personnalisées > j'ai ouvert les ports 80, 443, 40000, 40001 en TCP du NAS

Malheureux ! On n'expose JAMAIS son NAS en direct à l'internet. Donc supprimes les règles NAT/PAT pour les ports 40000 et 40001.

Par ailleurs, cela n'apporte rien de plus du point de vue sécurité, de modifier les ports par défaut, tu ne fais que retarder d'une minute au plus une éventuelle attaque et cela complexifie ensuite la gestion courante. Mais c'est toi qui voit ...

il y a 41 minutes, romain_syno a dit :

Redirection auto vers HTTPS

Décoche cette option.

Coches dans "Reseau/paramètres DSM" : "Activer un domaine personnalisé" et renseignes le champ "Domaine" avec "serveur.toto.com"

Il te faut aussi ouvrir le port 443 dans le pare-feu du NAS.

Maintenant, tu te connectes comment depuis l'extérieur ? en tapant quoi ?

Je t'invites si ce n'est déjà fait à lire puis à suivre les TUTOs suivants :"Sécuriser les accès à son NAS" et "Reverse proxy"

Cordialement

oracle7😉

 

[romain_syno]

Il y a 1 heure, goerges a dit :

As-tu déjà essayé de te connecter en tapant directement l'adresse WAN, genre https//:xxx.xxx.xxx.xxx:40001 ?

As-tu vérifié que ton nouveau FAI ne partage pas ses adresses Ip avec plusieurs clients ?

 

Avec le "https devant ca ne fonctionne pas. Cependant, avec xxx.xxx.x.xx:40001 oui ca me connecte (avec un message comme quoi ma connexion n'est pas sécurisée...)/

Non je n'ai pas encore vérifié ca, il faut que je regarde !

[oracle7]

@romain_syno

Bonjour,

1. Au fait, comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

2. il y a 3 minutes, romain_syno a dit :

   Cependant, avec xxx.xxx.x.xx:40001 oui ca me connecte (avec un message comme quoi ma connexion n'est pas sécurisée...)

   OUI, cà c'est normal puisque ton certificat n'est pas défini pour l'@IP xxx.xxx.x.xx.

Cordialement

oracle7😉

 

[romain_syno]

Citation

 il te faut alors saisir "serveur.tot.com" (cible de ton DDNS)

C'est modifié.

Citation

Donc supprimes les règles NAT/PAT pour les ports 40000 et 40001

Oupsi, supprimé. A la base je ne l'avait pas fait, mais en voyant que ca ne marchait pas, j'avais tenté ca... (en le voyant sur un tuto youtube, bref). 

Citation

Décoche cette option.

J'avais vu qu'il fallait l'activer, mais c'est désactivé.

Citation

Coches dans "Reseau/paramètres DSM" : "Activer un domaine personnalisé" et renseignes le champ "Domaine" avec "serveur.toto.com"

Fait

Citation

Il te faut aussi ouvrir le port 443 dans le pare-feu du NAS.

Fait, en TCP + UDP. En IP source j'ai mis "tous"

Citation

Je t'invites si ce n'est déjà fait à lire puis à suivre les TUTOs suivants :"Sécuriser les accès à son NAS" et "Reverse proxy"

Merci, je vais regarder ca. Le premier je l'avais déja fait a l'époque, mais pas retouché depuis...

 

Mais cela ne marche toujours pas, impossible d'avoir accès.

D'habitude je tapais juste depuis l'exterieur serveur.toto.com sur internet et ca marchait... serveur.toto.com/40001 ne marche pas non plus.

 

Merci encore pour ton retour

[goerges]

Donc, tu te connectes de l'EXTERIEUR via ton adresse IP PUBLIQUE sur le port 40001 et tu accèdes à DSM ?

Dans l'affirmative, c'est donc probablement un problème de configuration au niveau du domaine.

Et si c'est le port 40001 que tu veux atteindre tu dois l'ajouter à ton nom de domaine car les ports par défaut sont 443 en https et 80 en http.

Et c'est serveur.toto.com:40001 que tu dois taper et pas serveur.toto.com/40001

Modifié le 8 août 2020 par goerges

[romain_syno]

Je veux juste pouvoir acceder de l'exterieur sans taper mon IP publique (car plusieurs utilisateurs, je veux un accès simple par mon nom de domaine). Donc juste acceder via serveur.toto.com/40001 par exemple.

Mais la j'obtiens :  Cette page ne fonctionne pas. serveur.toto.com n'a envoyé aucune donnée.

Mais pourquoi ca serait lié au nom de domaine sachant qu'il y a quelques mois ca marchait très bien ?

 

Citation

 Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

Corrigé 😉

Modifié le 8 août 2020 par romain_syno

[oracle7]

@romain_syno

Bonjour,

Si tu veux de connecter en tapant simplement "serveur.toto.com" il te faut configurer le reverse proxy (voir TUTO) avec une redirection du type : "https://serveur.toto.com:443" vers "http://localhoste:40000".

Mais je te le répète, modifier les ports standard du NAS n'est pas une bonne idée ...

A voir aussi : que donne "nslookup serveur.toto.com" ? (dans une fenêtre de CMD Win en mode admin) ca devrait te renvoyer ton @IP externe. C'est bien le cas ?

PS : Tu peux montrer une copie d'écran de ta zone DNS chez OVH en masquant juste ton domaine ?

Cordialement

oracle7😉

Modifié le 8 août 2020 par oracle7

[romain_syno]

 

il y a 19 minutes, goerges a dit :

Et si c'est le port 40001 que tu veux atteindre tu dois l'ajouter à ton nom de domaine car les ports par défaut sont 443 en https et 80 en http.

 

Ah c'est peut etre la le problème alors. Je fais ca sur le Panel de OVH ? Sinon si comme dit @oracle7 que ca ne change rien niveau sécurité, je peux utiliser d'autres ports pour DSM (5000 et 5001 de base ?). Tant que c'est safe peut m'importe 

[oracle7]

@romain_syno

Tu as répondu pendant que j'éditais mon post précédant. Regardes le PS.

 

[goerges]

Non, dans tous les cas comme dit Oracle7, laisser l'accès à l'administration du DSM depuis Internet n'est PAS safe, quel que soit le port !

Comme j'ai dit POUR FAIRE L'ESSAI, tu dois ajouter dans ta barre d'adresse le numéro de port avec DEUX POINTS, pas SLASH.

 

[romain_syno]

Citation

Si tu veux de connecter en tapant simplement "serveur.toto.com" il te faut configurer le reverse proxy (voir TUTO) avec une redirection du type : "https://serveur.toto.com:443" vers "http://localhoste:40000".

Ok je vais regarder ca, mais je n'ai jamais eu a le faire avant et ca marchait...

Citation

Mais je te le répète, modifier les ports standard du NAS n'est pas une bonne idée ...

J'ai remis 5000/5001 et remodifié dans accès externe du coup.

Citation

C'est bien le cas ?

Oui ca met mon ip externe

Citation

Comme j'ai dit POUR FAIRE L'ESSAI, tu dois ajouter dans ta barre d'adresse le numéro de port avec DEUX POINTS, pas SLASH.

Ah oui j'avais oublié de répondre. Je faisais bien avec ":", et ca ne marche pas.

Voila ma zone DNS chez ovh, tout ce qui est en blanc est mon nom de domaine principal (pas mon sous domaine) donc toto.com

 

 

[maxou56]

Il y a 7 heures, goerges a dit :

As-tu vérifié que ton nouveau FAI ne partage pas ses adresses Ip avec plusieurs clients ?

Bonsoir,

Pas d’IP partagées chez Orange, par contre pas d’IP fixe (en option pour les offres pros), seulement des IP dynamiques

[maxou56]

Il y a 5 heures, romain_syno a dit :

Voila ma zone DNS chez ovh

Voir « Redirection » pour voir si Toto.com est bien redirigé (de type A) vers ton IP publique (si elle est fixe) ou ton DDNS (De type CNAME ?)

[oracle7]

@romain_syno

Bonjour,

As-tu suivi le conseil de @maxou56 ?

As-tu essayé d'ajouter un CNAME de toto.com vers ton DynDNS (serveur.toto.com) ?

Sinon d'une façon générale, il aurait été plus cohérent de définir ton domaine "toto.com" plutôt que "serveur.toto.com" dans ton DynDNS chez OVH car maintenant dans l'état actuel, si tu veux ajouter d'autres sous domaines ils seront obligatoirement du type "xxxxx.serveur.toto.com" au lieu de plus naturellement "xxxxx.toto.com". Maintenant ce que j'en dis, c'est à toi de voir ...

De plus, cela faciliterait aussi les choses du coté du certificat LE car tu pourrais ainsi définir un wilcard sur ton domaine en "*.toto.com" qui couvrirait automatiquement (sans limitation de nombre !) tous tes sous domaines à venir sans autres modifications à faire.

Réfléchis-y ...

Cordialement

oracle7😉

[romain_syno]

Bonjour,

En essayant de me connecter quelques heures plus tard samedi, cela fonctionnait. Je pense que c'est une des manips de @oracle7 qui a du prendre effet avec un délai, mais aucune idée de laquelle.

En tout cas tout semble nickel pour le le moment, donc merci beaucoup.

 

Dernier point : quand je fais une analyse sécurité, on me remonte 3 remarques. Les ports http et htpps n'ont pas été changé par défaut, et que la redirection automatique en https est désactivée. Pour les 2 premiers OK ca a déja été abordé, mais le 3eme j'ignore aussi ?

[oracle7]

@romain_syno

Bonjour,

il y a 6 minutes, romain_syno a dit :

Dernier point : quand je fais une analyse sécurité, on me remonte 3 remarques. Les ports http et htpps n'ont pas été changé par défaut, et que la redirection automatique en https est désactivée. Pour les 2 premiers OK ca a déja été abordé, mais le 3eme j'ignore aussi ?

Pour les deux premières, effectivement il faut les ignoer : voir dans le TUTO "Sécuriser les accès à son nas" (à la fin).

Pour la 3ème "redirection automatique en https est désactivée" : Oui, il faut la désactiver dans "Conseiller de sécurité / Personnalisé / Personnaliser la liste de contrôles".

Cordialement

oracle7😉

[romain_syno]

Merci ! 😉