Config "accès extérieur"

[Polo67]

depuis mon smartphone il dit: échec de connexion sécurisée

il y a 5 minutes, Juan luis a dit :

Pour le PC distant qui cherche à se connecter , il pourrait  indifféremment utiliser l'adresse publique ou le nom.

Pour le nom de domaine j'ai pxxxx.synology.me

[Juan luis]

Lorsque tu utilise un nom de domaine, ton smartphone demande c'est qui Pxxx.synology.me? et le serveur DNS lui dit c'est X.X.X.X , ton adresse publique.

 

Dans un premier temps essaye directement avec l'adresse publique : numéro de port . Mais la BOX doit être configuré port 5000 (externe)  vers  5000 (adresse privée) du NAS.

Modifié le 24 octobre 2020 par Juan luis

[Juan luis]

Dans un premier temps tu devrais essayer dans ta box , de router 5000 vers 5000 et 5001 vers 5001.

Modifié le 24 octobre 2020 par Juan luis

[Kramlech]

il y a 29 minutes, Polo67 a dit :

je comprends rien hier Oracle me disait de paramétrer 80 vers 80 et 443 vers 443 et maintenant tu dis 5000 et 5001

@Juan luis essaie simplement de repartir sur des bases élémentaires ...

Le principe général pour traiter un problème, c'est de repartir de la base. Quand tu empiles les couches de complexités sans t'être assuré que les couches précédentes fonctionnent, c'est indébuggable !!!

Chronologies des points à vérifier :

1. Connaitre ton adresse IP externe
2. Rediriger le port standard du DSM 5000 vers ton NAS
3. Désactiver ton firewall
4. Depuis l’extérieur, essayer de te connecter sur ton NAS via l'ULR http://<IP Externe>:5000
5. Tant que cela ne fonctionne pas, ce n'est pas la peine d'aller plus loin
6. Définir ton DDNS chez Synology, et le paramétrer proprement
7. Vérifier que ton DDNS pointe bien chez toi, en passant la commande "ping <ton DDNS> depuis ton ordinateur . La réponse doit être ton IP Externe
8. Tant que cela ne fonctionne pas, ce n'est pas la peine d'aller plus loin
9. Depuis l'extérieur essaie de te connecter sur ton NAS via l'URL http://<ton DDNS>:5000.
10. Une fois que cela fonctionnera, on pourra envisager les étapes suivantes, à savoir passer en https, mettre en place des redirections différentes (renvoyer le port 80 vers le 5000 pour éviter d'ouvrir le 5000), mettre en place un Revberse Proxy, réactiver le firewall, etc ...

Remarque :

• L'activation du firewall est la dernière opération à faire
• Ne surtout pas activer la redirection automatique http vers https !!!

[oracle7]

@Polo67

Bonjour,

Quand je vois cela :

je me dis que tu lis mes indications en diagonale et non à l'horizontale !

Je t'ai expliqué précédemment qu'il ne fallait pas cocher cette case "Rediriger automatiquement ...." car cela casse le processus de reverse proxy et donc empêche ta connexion depuis l'extérieur. Ce qui ce produit aujourd'hui !!!

Il y a 13 heures, Polo67 a dit :

Juste pour voir si hj'ai tout bien compris

Depuis hier on cherche à rediriger les ports 80 et 443 vers 5000 et 5001

Cette redirection est faite pour qu'une demande d'accès venant de l'extérieur avec un non de domaine identifié (nonfacile.synology.me) arrivant sur la box sur le port 80 et 443 soit automatiquement renvoyé sur les même ports mais liés en http au port 80 et https au port 5001 

Désolé mais tu n'as pas compris le principe :

On redirige les ports 80 et 443 de la box vers les mêmes ports respectifs du NAS pour que les flux HTTP et HTTPS entrent dans le NAS sur ces mêmes ports. A partir de ce moment là, c'est le reverse proxy qui entre en jeu. Celui-ci écoute en permanence le port 443 et ainsi toute requête HTTPS concernant le domaine UnNomFacile.synology.me qui arrive sur ce port 443 est automatiquement redirigée vers le port 5000 du localhost qui n'est autre que ton NAS. IL en serait de même pour d'autres requêtes sur d'autres domaines que tu aurais configurées dans le reverse proxy pour être redirigées vers le port interne correspondant à l'application que l'on souhaite accèder. Par exemple https://fichier.UnNomFacile.synology.me redirigé vers htttp://localhost:7000 (7000 étant le port d'accès à File Station).

Voilà c'est comme cela que cela marche et pas autrement. Actuellement comme la fameuse case "Rediriger automatiquement ..." est cochée cela bloque la redirection (ne me demande pas pourquoi, c'est un fait constaté, voir TUTU sur la sécurisation des accès au NAS) d'où ton impossibilité à te connecter.

Enfin, on ne redirige pas les ports 5000 et 5001 de la box vers le NAS, c'est une énorme C.... à mon sens car d'une part tu pourrais très avoir modifier ces ports d'accès au NAS pour d'autres et là encore cela ne marcherait plus et d'autre part il te faudrait ouvrir les ports sur la box ce que l'on ne fait jamais d'un point de vue sécurité.

Cordialement

oracle7😉

 

Modifié le 24 octobre 2020 par oracle7

[Juan luis]

@oracle7,

Tu as certainement raison, mais pour l'instant notre ami a besoin de repartir sur des bases simples pour ne pas se décourager et comprendre les erreurs éventuelles.

Modifié le 24 octobre 2020 par Juan luis

[oracle7]

@Juan luis

Bonjour,

C'est ce que j'essaie de faire depuis plusieurs jours en y allant pas à pas avec toutes les explications détaillées mais je crains que tu n'ai semé le trouble dans son esprit avec les redirections de ports.

Je t'invites donc à relire le TUTO reverse proxy (notamment le §III Configuration du routeur) c'est clairement expliqué et il n'est JAMAIS question de NATer/transférer les ports 5000 et 5001 de la box vers le NAS.

Cordialement

oracle7😉

 

 

[Polo67]

je suis entrain de manger et je discute avec un parent qui à un syno

il me demande s'il faut acheter le domaine polo67 et si c'est le cas c'est le cas je comprends mieux pkoi cela ne fonctionne pas

D'autre part je vais tout remettre à plat après déjeuné

si vous pouviez me faire une check liste a suivre ainsi que les tutos à appliquer ce serait vraiment sympa pour que je ne m'y perde pas

[Juan luis]

Bon appétit  !

Un nom de domaine est dans ton cas la "cerise sur le gâteaux" , pour tes besoins actuel c'est inutile pour l'instant et ça risque de t'embrouiller encore plus.

Tu peux suivre les excellentes  recommandations de Kramlech pour dépanner.

 

Modifié le 24 octobre 2020 par Juan luis

[oracle7]

@Polo67

Bonjour,

J'allais oublier : il y a encore une dernière chose à vérifier.

As-tu :

• installé le package Web Station sur ton NAS ? Sinon il faut le faire.
• créé un fichier ".htaccess" dans le dossier "/volume1/web/" comme c'est dit dans le TUTO Reverse proxy ?

On est bien d'accord que la solution que je m'excrime à t'expliquer la mise en place, était une solution "de pauvre" mais basique pour te permettre rapidement de te connecter depuis l'extérieur.

Acheter un nom de domaine est certainement la meilleure solution, c'est ce que je t'avais déjà dit lors de nos premiers échanges. Toutes fois, je crois qu'il serait déjà bien plus sage pour toi (compte tenu des tes connaissances actuelles) dans un premier temps de faire fonctionner la présente solution afin que tu en assimiles correctement tous les tenants et aboutissants. Alors il sera temps pour toi de passer à cette dernière solution (achat d'un domaine) sachant que là encore tu auras d'autres notions encore à assimiler/comprendre pour que cela marche du premier coup. Voilà c'est juste mon avis.

C'est toi qui vois.

Pour ce qui est de la check list, reprends nos échanges depuis le début et tu auras tout ce qu'il faut. Recopies les pour en faire la synthèse avant de te lancer. Je ne peux te dire mieux.

Cordialement

oracle7😉

Modifié le 24 octobre 2020 par oracle7

[Juan luis]

il y a 22 minutes, oracle7 a dit :

 

 

On redirige les ports 80 et 443 de la box vers les mêmes ports respectifs du NAS pour que les flux HTTP et HTTPS entrent dans le NAS sur ces mêmes ports.

 

@oracle7

Il est possible que la box SFR ne le permette pas d’où la nécessité de repartir sur des bases simples.

[oracle7]

@Juan luis

Bonjour,

Bien sûr que Oui, sa box le permet et de surcroît il l'a fait correctement avec copie d'écrans à l'appui. Maintenant s'il a encore modifié ce paramétrage, je ne peux plus rien.

Pour ce qui est de repartir sur les bases simples, cela aura été ma démarche depuis les premiers échanges avec lui en y allant étapes par étapes tout en débugant (non sans mal) à chacune d'elles les erreurs qu'il avait faites.

Cordialement

oracle7😉

Modifié le 24 octobre 2020 par oracle7

[Polo67]

@0racle7

Pour debugger il faut que vous parliez tous le même langage.

J'a réussi en suivant l'explication de DSM "configuration du routeur "et en activant me UPnP à entrer depuis l'extérieur.

Lorsque tu pourra le faire veux tu bien stp essayer de voir si tu y a accès?

Je ne fais plus rien sans dérouler étapes par étape AVEC TOI la check list de la compilation de TES instructions.

Merci

En attendant j'ai fais ceci

1. Connaitre ton adresse IP externe OK
2. Rediriger le port standard du DSM 5000 vers ton NAS  je sais pas comment
3. Désactiver ton firewall OK
4. Depuis l’extérieur, essayer de te connecter sur ton NAS via l'ULR http://<IP Externe>:5000 OK
5. Tant que cela ne fonctionne pas, ce n'est pas la peine d'aller plus loin OK
6. Définir ton DDNS chez Synology, et le paramétrer proprement  cad ?
7. Vérifier que ton DDNS pointe bien chez toi, en passant la commande "ping <ton DDNS> depuis ton ordinateur . La réponse doit être ton IP Externe Réponse ; IP du routeur
8. Tant que cela ne fonctionne pas, ce n'est pas la peine d'aller plus loin pas tester
9. Depuis l'extérieur essaie de te connecter sur ton NAS via l'URL http://<ton DDNS>:5000.
10. Une fois que cela fonctionnera, on pourra envisager les étapes suivantes, à savoir passer en https, mettre en place des redirections différentes (renvoyer le port 80 vers le 5000 pour éviter d'ouvrir le 5000), mettre en place un Revberse Proxy, réactiver le firewall, etc ...

je vais me coucher... pas assez dormi a force de m'embrouiller la tête en lisant et relisant des tutos

Si tu passe peux tu repondères aux points en rouge et ceux cités

il y a 2 minutes, Polo67 a dit :

pas tester

 

il y a 2 minutes, Polo67 a dit :

proprement  cad ?

Merci

 

[Kramlech]

il y a une heure, Polo67 a dit :

Rediriger le port standard du DSM 5000 vers ton NAS  je sais pas comment

J'ai peut être été un peu trop elliptique !!! Dans ta box, il faut que tu fasses une redirection du port 5000 vers l'adresse IP INTERNE de ton NAS.

Chez Free ça se présente comme cela :

il y a une heure, Polo67 a dit :

Depuis l’extérieur, essayer de te connecter sur ton NAS via l'ULR http://<IP Externe>:5000 OK

Si tu ne sais pas faire le point 2, je ne vois pas comment le point 4 peut fonctionner !!!!

il y a une heure, Polo67 a dit :

Définir ton DDNS chez Synology, et le paramétrer proprement  cad ?

C'est à dire que dans Panneau de Configuration, Accès externes, DDNS, tu voies bien ton adresse IP externe, que le statut soit OK, et que la date dernière mise à jour soit bonne .

il y a une heure, Polo67 a dit :

La réponse doit être ton IP Externe Réponse ; IP du routeur

Qu'est-ce que tu appelles IP du routeur ? Ce n'est pas l'adresse IP du point 1 ?

[Polo67]

je fini le tuto de Kawamashi et j'arrive

[Kramlech]

il y a une heure, Polo67 a dit :

J'a réussi en suivant l'explication de DSM "configuration du routeur "et en activant me UPnP à entrer depuis l'extérieur.

Je n'avais pas fait attention à cette phrase... Alors soit tu suis les indications officielles de Synology, soit tu suis les tutos de ce forum...

Les tutos Synology sont fait pour être les plus simple possible et pour avoir le moins d'interventions à faire. Les tutos du forum sont fait pour sécuriser correctement le NAS.

En gros Synology te dit que pour rentrer chez toi sans problème, tu laisses les portes et les fenêtres grandes ouvertes. C'est certain, ça marche. Sur le Forum, on essaie de t'apprendre à poser des serrures et à utiliser une clé !!!!

 

il y a 3 minutes, Polo67 a dit :

je fini le tuto de Kawamashi et j'arrive

Le tuto du Revers Proxy ?

[Kramlech]

Pour les ping, je te conseille de masquer ton nom de domaine et ton adresse IP externe ...

Si l'IP 86.xx.xx.xx correspond bien à ton IP publique, c'est OK. Ton nom de domaine pointe bien chez toi...

Pour le pare-feu .... je ne ferai pas de commentaires. Si ce n'est que tu manques un peu de rigueur. Ce n'est pas en faisant tout à la fois et sans essayer de comprendre que tu avanceras proprement ... Je crois que mon point 3 parlait de désactiver le pare-feu... Donc on y reviendra plus tard (tel qu'il est, il y a des tas de lignes inutiles ....)

Je propose donc que tu fasses cette désactivation, puis que tu essaies, depuis internet (un smarphone en 4G par exemple), de saisir dans un navigateur l'url http://pxxxx7.synology.me:5000

Est-ce que cela te permet d'arriver sur le DSM de ton NAS ?

[Polo67]

je fais ca et j'arrive

 

depuis mon smartphone rien ne se passe puis le délais d'attente a été dépassé

[oracle7]

@Polo67

Bonjour,

Dans le pare-feu DSM, les deux lignes concernant le port 80 ouvert sur les @IP des serveurs Let'sEncrypt sont obsolètes depuis pas mal de temps. Tu peux les supprimer.

Pourquoi as-tu configuré la partie routeur de DSM alors que le TUTO de sécurisation des accès au NAS dit que c'est un trop béant dans la sécurité du NAS que tu ouvres en faisant cela ? Je ne comprend pas ta démarche. SI tu ne suis pas les recommandations et que tu fais d'autres manipulations en même temps tu ne t'en sortiras pas car quand je vois des demandes d'ouvertures de ports dans le pare-feu du NAS pour eMule et BitTorrent, à courir cinquante lièvres à la fois, on en attrape aucun !

@Kramlech sauf erreur de ma part c'est une box SFR que @Polo67 a, il l'avait correctement configurée pour les redirections (NAT) de ports 80 et 443 vers le NAS, aussi je ne comprends pas pourquoi tu lui fais transférer aussi le port 5000. Je n'ai pas cela chez moi et je n'ai aucun soucis.

Ce qui bloquait sûrement chez lui c'est qu'il avait activer le transfert automatique HTTP vers HTTPS ce qui bloque le reverse proxy et donc l'empêche de se connecter de l'extérieur. Mais comme il lit trop vite les indications qu'on lui donne, cela ne peut pas le faire. Du coup, il s'embrouille et ne comprends plus les actions proposées.

Maintenant ce serait bien que @Polo67 répond à mes questions précédentes à propos du Web Station et du fichier .htaccess.

Donc ma dernière question : où en es-tu  et qu'est-ce que tu as fait car là je ne comprends plus ? Merci de détailler les paramétrages que tu as fait pour que l'on s'y retrouve au minimum.

Cordialement

oracle7😀

Modifié le 24 octobre 2020 par oracle7

[Polo67]

@kramlech et @Oracle

ca commence à me gaver de suivre ce que dit l'un dénoncé par l'autre

De suivre des tutos qui ne sont plus à jour

Je veux bien faire tout ce qu'il faut mais parlez tous d'une seule et meme voix

Je suis crevé cela fait 4 jours que j'essais de comprendre et que rien ne fonctionne

Qui pour reprendre les choses en mains depuis LE DEBUT

tout effacé et repartir sur des bases sains

Je ne manque pas de rigueur, je vous suis, mais accordez vos violons

 

[oracle7]

@Polo67

Bonjour,

C'est évident ! Quand le TUTO reverse proxy parle du "routeur" c'est de ta box qu'il parle et en aucun cal de la partie routeur du NAS "Panneau de configuration / Accès externe / Configuration du routeur" qui doit rester VIDE :

Que je saches, on avait déjà réglé ces redirections (NAT/PAT) dans ta box, alors pourquoi revenir dessus ?, je t'avais dit que c'était bon.

Cordialement

oracle7😉

[Polo67]

Je ne paramètrerais plus rien en l'état actuel, il faut qu'une seule personne m'aide et me parle en terme que je comprenne.

 les @IP des serveurs Let'sEncrypt c'est du chinois pour moi

Comment réinitialiser et avoir le temps avec l'un de vous deux pour suivre la procédure de A à Z

Je sais bien que vous avez autre chose à faire, mais attendre 4h une réponse ça va pas le faire

[oracle7]

@Polo67

Bonjour,

Désolé mais avec @Kramlech nous disons la même chose ! Peut-être pas avec les mêmes mots, c'est tout !

il y a 6 minutes, Polo67 a dit :

 les @IP des serveurs Let'sEncrypt c'est du chinois pour moi

Alors pourquoi les avoir paramétrées ?

il y a 1 minute, Polo67 a dit :

mais attendre 4h une réponse ça va pas le faire

Je te rappelle que nous sommes bénévoles et qu'il n'y a aucune obligation pour nous de te répondre et a fortiori du tac au tac. Nous aussi avons notre vie et ne t'en déplaise,  il faut que te fasses aussi selon nos disponibilités et du temps que l'on veux bien et que l'on peux te consacrer. J'espère que tu comprendras cela.

Enfin pour ce qui est de la réinitialisation, je considère que tu as toutes les billes aussi bien avec les TUTO qu'avec les explications et indications complémentaires qui t'ont été fournis dans tous les échanges précédents. A toi d'en faire la synthèse comme je te l'ai déjà dit et de reprendre tranquillement les choses en prenant le temps de lire et relire si besoin correctement les TUTO et les explications. La balle est dans ton camp ... Je ne peux personnellement pas t'en dire plus ...

Cordialement

oracle7😉

[Kramlech]

il y a 18 minutes, oracle7 a dit :

C'est évident ! Quand le TUTO reverse proxy parle du "routeur"

Tu ne crois pas qu'il faudrait arrêter de parler de reverse proxy, de pare-feu, et de revenir aux notions fondamentales avant d'aller plus loin ?

il y a 33 minutes, Polo67 a dit :

depuis mon smartphone rien ne se passe puis le délais d'attente a été dépassé

Est-ce que dans ta box, tu as bien redirigé le port 5000 vers ton NAS ? Tu peux faire une copie d'écran de cette redirection ?

[Polo67]

@oracle7

Merci

Si j'ai modifié ou paramétré autres chose que ce que nous avions commencé à faire c'est que Kramlech a repris la suite  et j'ai fais ce qui était dans son tuto et les indications qu'il me donnait

Je suis bien conscient que vous n'avez pas que cela à faire et c'est aussi pour cela que je ne vous demande pas de faire ce que vous ne pouvez pas faire

Seulement je ne suis pas un expert comme vous et j'essais de vous comprendre.

lorsqu'on me dit quelque chose et que je ne trouve pas c'est bien souvent que dans votre esprit et langage c'est lumineux, pas pour moi.

Comme je l'ai dit je ne peux apprendre que ce que je lis encore faut il que cela ne soit pas contredit ou obsolète

Merci

PS: je fais un soft ou hard reboot?