Aller au contenu

Applications non fonctionnelles à distance après configuration du proxy inversé


Messages recommandés

Bonjour à tous,
J'avance petits pas par petits pas dans la configuration et la sécurisation de mon Synology DS 918+
J'utilise les différentes applications de base synology à distance (dsvideo, dsget, ds audio, synology drive, ds file) ainsi que Plex
Au départ j'avais redirigé les ports sur ma box internet et sur le pare feu du NAS et activé le DDNS avec un nom de domaine synology.me
Tout fonctionnait, y compris la lecture des vidéos dans DSVIDEO. Je précise que j'ai 2 ordinateurs fixes en W10 que je connecte en local avec mon adresse IP locale: en 192.168.X.X et un ordinateur portable en W10 que je connecte avec le nom de domaine ndd.synology.me. J'ai aussi un smartphone, une tablette android, 2 box android TV.

J'ai configuré le proxy inversé dans le Nas en suivant un tuto. Dans le portail des applications, j'ai utilisé un port spécifique pour les applications audio station, video station, download station, file station et synology drive.
J'ai paramétré le proxy inversé pour passer à travers le port 443 et basculer vers un nom de domaine pour chaque application du style musique.ndd.synolgy.me pour dsaudio par exemple.

Sur ma box internet, j'ai retiré tous les ports que j'avais redirigé en ne laissant que les ports 80 et 443.
Idem dans le pare feu du NAS, je n'ai ouvert que ces 2 ports là.
Sauf que depuis, lorsque je me connecte à distance, le drive client n'arrive plus à se connecter. ds video ne lit plus aucune vidéo sur smartphone, tablette ou pc portable, download station ne télécharge plus rien, et lorsque je veux accéder à plex media server sur l'ordi portable en cliquant sur l'icône du bureau de DSM, la page ne s'affiche pas. Je peux y accéder par contre en tapant plex.ndd.synology.me
A chaque connexion on me dit que le certificat n'est pas fiable. J'ai pourtant souscrit à un certificat Let's encrypt et les différents sous domaines sont correctement ajoutés à celui-ci. j'ai supprimé le certificat auto signé de synology pour éviter les couacs.
Sur androidtv, dsvideo refuse de se connecter à ma bibliothèque à cause de ce certificat non fiable.

Je suis un peu perdu. Lorsque je me connecte avec mon nom de domaine, cela revient à une connexion depuis l'extérieur c'est cela? Même si je me connecte en Wifi chez moi?
Parce que ça expliquerait pourquoi en renseignant l'adresse IP plutôt que le nom de domaine, il n'y a pas de soucis. J'essaie de comprendre.
Pourquoi le drive ne fonctionne plus? Pourquoi DSvideo ne lit plus les vidéos? Pourquoi je ne peux plus accéder à plex media server en cliquant sur l'icone de DSM? Pourquoi le certificat est considéré comme non fiable?

Je me demande si le fait d'ouvrir uniquement les ports 80 et 443 ne fait en sorte que de laisser l'accès à l'application mais n'autorise pas le flux de données à passer... Je suis sur la bonne voie?
Dans ce cas, il y aurait d'autres ports à ouvrir et rediriger pour que les applications soient fonctionnelles?

Avant je passais uniquement par le nom de domaine mais depuis que j'ai configuré le proxy inversé, plus rien ne fonctionne.
C'est pour ça que je suis repassé en adresse IP en local.
En désactivant le pare feu et en me connectant au nom de domaine, le drive se reconnecte par contre... j'y comprends rien.
C'est pour ça que je me demandais si par nom de domaine ça ne correspondait pas à une connexion extérieure et s'il faut donc que j'ouvre/ redirige d'autres ports dans le pare feu/ Box.
Est-ce normal que le lien plex server de l'icône du bureau DSM ne soit plus valable? il n'y a pas moyen de changer le lien vers plex.ndd.synology.me

Lien vers le commentaire
Partager sur d’autres sites

Merci beaucoup pour ta réponse!

Le soucis est pour après car dans videostation j'ai accès à ma bibliothèque mais je ne peux lire aucun film.
Dans download station je peux ajouter un téléchargement mais rien ne se lance.
Sur le drive client de W10, je ne peux plus me connecter à l'aide de drive.ndd.synology.me, on me dit connexion impossible.
Je peux accéder à plex par plex.ndd.synology.me mais en me connectant à dsm avec mon nom de domaine, si je clique sur l'îcone plex serveur, on m'envoie sur une addresse ndd.synology.me:32400 qui est le port de plex mais la page se s'affiche jamais puisque je l'ai redirigé vers plex.ndd.synology.me.
Voilà pourquoi je demandais s'il n'y avait pas moyen de changer le lien du raccourcis.

Et justement, je viens d'ouvrir avant ta réponse les ports de synology drive server tcp 6690 du pare feu du NAS (et non de synology drive qui est utilisé en reverse proxy sur le port 443) et celui pour le téléchargement tcp 16881 (et non le port de download station qui est utilisé sur le port 443) et j'ai redirigé ces ports dans la box et les 2 refonctionnent!
Le drive se connecte et se synchronise et je peux lancer un téléchargement. Je pense vraiment qu'au delà de l'accès à l'application (port 443) il fallait aussi ouvrir les ports du flux de données à travers le pare feu et la box.

Par contre j'ai encore un soucis avec video station. aucune vidéo ne se lit :(
Sur une box android tv, on me refuse de me connecter parce que le certificat n'est pas fiable... J'ai lu d'autres posts sur le sujet mais je patine. Une idée?

Effectivement j'ai lu que la redirection automatique http vers https de DSM cassait le reverse proxy donc je l'ai décoché

Modifié par Babou57
Lien vers le commentaire
Partager sur d’autres sites

Bonjour @Babou57

Il y a 1 heure, Babou57 a dit :

Le soucis est pour après car dans videostation j'ai accès à ma bibliothèque mais je ne peux lire aucun film.

Essaie avec https://video.ndd ==> https://iplocaledunas c'est pas terrible de faire deux chiffrements mais parfois cela fonctionne.

Sur android DS vidéo il faut cocher la case https même si tu as un fichier .htaccess 

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Bonjour Jeff et merci pour ta réponse!

Je crains de ne pas bien comprendre ce que tu me proposes de faire. Je me connecte en https avec le nom de domaine ou avec l'ip locale du nas? J'utilise le nom de domaine en synology.me (DDNS) d'habitude.

Sur DS video android quand j'ai toujours coché la case https mais on me dit que certaines vidéos peuvent ne pas être lues en https. Et surtout, à chaque fois j'ai ce soucis de certificat non fiable. Ce qui fait que sur DSVIDEO android TV, je ne peux même pas me connecter à ma bibliothèque. On me signale que le certificat n'est pas fiable et on me ramène directement sur l'écran de connexion.

 

Lien vers le commentaire
Partager sur d’autres sites

Ca y est je pense avoir compris ce que tu me disais, tu veux que je configure le proxy inversé sur un port https de videostation. Je vais essayer. En tout cas j'ai essayé de me connecter en http directement avec l'ip locale du NAS et la lecture des films fonctionne... hier j'ai aussi ouvert et redirigé la plage de ports 9025-9040 car dans le parefeu synology ils apparaissent comme servant à video station mais je ne vois pas à quoi ils servent... 

Lien vers le commentaire
Partager sur d’autres sites

Oui c'est bien ce que je voulais dire.

L'intérêt du proxy inversé est d'éviter d'ouvrir les ports spécifiques aux applications.

Tu te connectes avec https://appli.ndd    donc la requête arrive de l'extérieur sur le port 443 (https) et depuis le LAN la requête est redirigée vers http://iplocaleNAS:portappli.

donc tu n'as besoin d'ouvrir que le port 443 et de le rediriger vers le NAS.

C'est donc une erreur d'ouvrit les ports spécifiques aux applications et de les rediriger

Certains ports tu seras cependant obligé de les ouvrir (pour utiliser VPNserveur ou DNS serveur etc...)

 

 

Il y a 20 heures, Babou57 a dit :

Lorsque je me connecte avec mon nom de domaine, cela revient à une connexion depuis l'extérieur c'est cela? Même si je me connecte en Wifi chez moi?

Se connecter de l'extérieur c'est se connecter de l'extérieur de son réseau local. Le réseau local est constitué de tous les équipements connectés à ta box que ce soit par câble éthernet ou WIFI.

Lorsque tu te connectes avec un smartphone tu peux le faire de l'intérieur (en WIFI vers ta box) ou de l'extérieur en 4G et WIFI coupé.

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

Alors justement j'avais redirigé uniquement les ports 80 et 443 à partir de ma box internet car effectivement j'avais vu que le reverse proxy permettait d'accéder à ces applis à partir uniquement du port 443 en https.

En me connectant à l'aide de  https://appli.ndd j'arrivais bien sur chaque application. Mais certaines étaient inutilisables comme le drive où j'ai dû ouvrir et rediriger le port 6690 (qui est différent du port de l'application synology drive) et le port 16881 pour download station (qui est différent également du port de l'application)

J'ai ouvert et redirigé également les ports 6001-6010 et 6011-6030 parce qu'ils servent à audio station apparemment et 9025-9040 qui servent à video station aussi. Je ne sais pas si c'est utile de les rediriger certains peuvent juste être ouverts dans le pare feu je pense. Si je savais à quoi ils servent je saurai lesquels fermer ou ne pas rediriger.

Idem pour le 6690 et 16881 je ne suis pas sûr qu'il faille les rediriger. Juste les ouvrir dans le pare feu devrait suffire.

J'ai ouvert et redirigé le port openVPN également mais ça c'est normal pour utiliser le vpn comme tu l'as dit

il y a 30 minutes, Jeff777 a dit :

Se connecter de l'extérieur c'est se connecter de l'extérieur de son réseau local. Le réseau local est constitué de tous les équipements connectés à ta box que ce soit par câble éthernet ou WIFI.

Lorsque tu te connectes avec un smartphone tu peux le faire de l'intérieur (en WIFI vers ta box) ou de l'extérieur en 4G et WIFI coupé.

D'accord je comprends. Donc si le drive ne fonctionnait pas ça n'était pas lié à une connexion extérieure puisque je suis sur mon wifi local. Pourtant le pare feu bloque les connexions vers l'extérieur c'est cela? si je suis en local, pourquoi ouvrir le port 6690 pour que cela fonctionne alors? Idem si je coupe le port 5001 je ne peux plus accéder au nas à partir de https://ndd.synology.me:5001. En local pourtant ça devrait fonctionner non?

Lien vers le commentaire
Partager sur d’autres sites

il y a 44 minutes, Babou57 a dit :

Mais certaines étaient inutilisables comme le drive où j'ai dû ouvrir et rediriger le port 6690 (qui est différent du port de l'application synology drive) et le port 16881 pour download station (qui est différent également du port de l'application)

Ne pas confondre l'interface de gestion de Drive, qui est exposé sur le port 10002 par défaut lorsque tu actives un port personnalisé, et le port par lequel les données sont synchronisées entre les clients et le serveur : 6690.

Pour les connexions extérieures il faut évidemment rediriger vers le NAS, vu que le NAS n'est pas directement accessible. Si tu ne rediriges pas, Drive va chercher à se synchroniser sur le port 6690 de la box ou du routeur, il ne trouvera rien. Donc le NAT est nécessaire, et il est donc également nécessaire d'autoriser ce port dans le pare-feu.

Même chose pour Download Station, il ne faut pas confondre le port sur lequel l'interface est exposée, et le port par lequel tu vas télécharger ou uploader.

il y a 44 minutes, Babou57 a dit :

Pourtant le pare feu bloque les connexions vers l'extérieur c'est cela? si je suis en local, pourquoi ouvrir le port 6690 pour que cela fonctionne alors? Idem si je coupe le port 5001 je ne peux plus accéder au nas à partir de https://ndd.synology.me:5001. En local pourtant ça devrait fonctionner non?

L'autre problème que tu rencontres est que lorsque tu tapes ton ndd Synology, tu pointes sur ton IP publique, tu passes par l'extérieur car ta résolution DNS interne ne permet pas de savoir que c'est le NAS que tu cherches à atteindre. Il y a plusieurs solutions à ce problème :

- avoir une box qui fait du loopback, visiblement ce n'est pas ton cas.
- mettre en place un serveur DNS local.
- modifier le fichiers hosts de tes clients.

Au passage, le pare-feu du NAS ne bloque pas les connexions sortantes (voir ta première phrase) mais seulement entrantes. Il est très rare de vouloir restreindre les ports utilisés par une machine pour communiquer vers une autre.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Merci Shad pour tes réponses à mes 2 posts.

Le 16/11/2020 à 14:30, .Shad. a dit :

Ne pas confondre l'interface de gestion de Drive, qui est exposé sur le port 10002 par défaut lorsque tu actives un port personnalisé, et le port par lequel les données sont synchronisées entre les clients et le serveur : 6690.

Pour les connexions extérieures il faut évidemment rediriger vers le NAS, vu que le NAS n'est pas directement accessible. Si tu ne rediriges pas, Drive va chercher à se synchroniser sur le port 6690 de la box ou du routeur, il ne trouvera rien. Donc le NAT est nécessaire, et il est donc également nécessaire d'autoriser ce port dans le pare-feu.

Même chose pour Download Station, il ne faut pas confondre le port sur lequel l'interface est exposée, et le port par lequel tu vas télécharger ou uploader.

Oui c'est ce que j'avais fini par comprendre lorsque j'ai traité (natté et autorisé) les ports 6690 et 16881 en plus des ports 443 et 80. Certaines applications clientes communiquent avec le serveur via des ports spécifiques "en dur". C'est pour cela que drive et download station refonctionnent désormais. Je suis content de voir que j'étais sur la bonne piste 🙂

Dans ce post je me demande justement quels seraient ces autres ports spécifiques qui m'empêcheraient d'utiliser mes applications avec ndd synology.me correctement si je ne les traite pas:

 

Le 16/11/2020 à 14:30, .Shad. a dit :

L'autre problème que tu rencontres est que lorsque tu tapes ton ndd Synology, tu pointes sur ton IP publique, tu passes par l'extérieur car ta résolution DNS interne ne permet pas de savoir que c'est le NAS que tu cherches à atteindre. Il y a plusieurs solutions à ce problème :

- avoir une box qui fait du loopback, visiblement ce n'est pas ton cas.
- mettre en place un serveur DNS local.
- modifier le fichiers hosts de tes clients.

Au passage, le pare-feu du NAS ne bloque pas les connexions sortantes (voir ta première phrase) mais seulement entrantes. Il est très rare de vouloir restreindre les ports utilisés par une machine pour communiquer vers une autre.

C'est très intéressant ce que tu dis car en passant par le DDNS synology.me pour me connecter depuis mon WiFi local, j'avais constaté aussi que c'était comme si je passais à l'extérieur. Si je ne traite pas les ports réseau correspondants, je ne peux plus accéder à rien alors qu'en me connectant via IP locale j'ai accès à tout. Personne ne m'avais confirmé cela et je te remercie de tes explications.

Je n'ai pas forcément tout compris aux diverses solutions que tu énonces: je ne sais pas ce que c'est que du loopback mais je vais me renseigner. Ma box est une SFR (redbox) plus. Est ce que je peux mettre en place un serveur DNS local sans acheter un nom de domaine? Modifier le fichier host des clients me semble compliqué. Surement que sur PC c'est pas très complexe mais sur android ou android TV c'est trop difficile je pense.

Tu ne saurais pas quelle est l'utilité des ports 9025-9040 et 6001-6010 / 6011-6030 par hasard? 

Le 15/11/2020 à 18:25, Jeff777 a dit :

Bonjour @Babou57

Essaie avec https://video.ndd ==> https://iplocaledunas c'est pas terrible de faire deux chiffrements mais parfois cela fonctionne.

Sur android DS vidéo il faut cocher la case https même si tu as un fichier .htaccess 

J'ai essayé et sur l'ordi portable en tout cas ça fonctionne. Les films se lisent. Par contre rien sur smartphone ou tablette (vlc tourne dans le vide) et android tv ne veut toujours pas accéder à l'application à cause de certificat non fiable. snif

Modifié par Babou57
Lien vers le commentaire
Partager sur d’autres sites

il y a 35 minutes, Babou57 a dit :

Tu ne saurais pas quelle est l'utilité des ports 9025-9040 et 6001-6010 / 6011-6030 par hasard? 

Tu auras les réponses ici : https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/Network/What_network_ports_are_used_by_Synology_services

Les ports que tu cites semblent être des ports utilisés pour faire fonctionner des service internes entre eux... donc inutiles à exposer vers l'extérieur ...

Pour Video Station, par exemple, ça fonctionne très bien avec les ports HTTP et HTTPS (à voir ceux qu'on utilise selon la présence d'un Reverse Proxy ou non), sans ouvrir de ports supplémentaires.

Et pour être certain, la meilleure solution c'est de tester. Comme je disais dans un autre fil, un port dont tu ne connais pas l'utilisation n'as pas être ouvert sur l'extérieur.

Si depuis l'extérieur, un service ne fonctionne pas comme tu voudrais, là tu peux faire une recherche sur les ports utilisés.

Lien vers le commentaire
Partager sur d’autres sites

il y a 7 minutes, Kramlech a dit :

Les ports que tu cites semblent être des ports utilisés pour faire fonctionner des service internes entre eux... donc inutiles à exposer vers l'extérieur ...

Pour Video Station, par exemple, ça fonctionne très bien avec les ports HTTP et HTTPS (à voir ceux qu'on utilise selon la présence d'un Reverse Proxy ou non), sans ouvrir de ports supplémentaires.

Merci pour ces précisions. J'avais trouvé cette fameuse liste synology mais ils ne renseignent pas sur la fonction de ces ports. Si tu me dis que c'est uniquement de la communication interne alors je vais supprimer la redirection et l'autorisation dans le pare feu. Merci beaucoup.

Sur cette liste on ne fait pas mention des ports en dur à activer pour certaines applications (16881 pour download station, 6690 pour le drive). Je n'avais pas compris tout de suite que le soucis venait du fait que je n'avais pas traité ces ports. Je pensais que le problème était identique pour Video Station mais visiblement non.

Je continue de chercher, merci pour tes éclaircissements!

Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, .Shad. a dit :

Ce tutoriel pour la zone DNS locale : 

Bien penser à pousser l'IP du NAS comme serveur DNS primaire avec ton serveur DHCP (ta box, si c'est modifiable).

Merci pour le lien! Dans l'interface de ma box j'ai les onglets suivants (voir capture) mais je ne sais pas à quoi ils correspondent.

Pas sûr qu'elle permette le loopback. Après, concrètement, quel est le soucis d'accéder au nas par l'extérieur par le nom de domaine? Je veux dire ce sera peut être un peu plus rapide en interne mais si je peux utiliser mes applications de cette manière, ça devrait suffire non? J'ai configuré un serveur VPN pour accéder au NAS depuis l'extérieur (je ne suis pas encore familier avec cette technique donc j'essaie de m'en servir pour le moment) mais les applications syno devraient fonctionner depuis mon nom de domaine normalement.

Si je ne peux pas lire de films sur DSVideo en 4g depuis mon smartphone, est ce qu'un DNS local règlerait le problème?

Capture.JPG

Lien vers le commentaire
Partager sur d’autres sites

Et bien avec une connexion Fibre ce n'est peut-être effectivement pas très gênant, reste que quand je fais le trajet Paris-Nice, je préfère éviter de faire une escale par Stockholm. 😉 

Pour DS Video, je ne vois pas trop le rapport, est-ce que quelque chose te dit que le débit est en cause ?

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

On est d'accord c'est pas très logique de passer par une connexion extérieure chez soit. Je vais regarder le tuto que tu m'as mis en lien. Pour ds video ce n'est pas un problème de débit non. J'ai accès à ma bibliothèque, je sélectionne "lecture" sur un film, un écran noir arrive mais le chargement du film dure indéfiniment. Je vois le logo de VLC tourner en boucle sans qu'il ne trouve jamais le film concerné. Je n'ai aucun message d'erreur. Pas de "format non reconnu" ou ce genre de chose. Juste que le film ne se lance jamais.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, Babou57 a dit :

Si tu me dis que c'est uniquement de la communication interne alors je vais supprimer la redirection et l'autorisation dans le pare feu

Uniquement si tu as mis en tête de liste dans le pare-feu une autorisation pour tous les port pour le réseau interne

 

Il y a 2 heures, Babou57 a dit :

J'avais trouvé cette fameuse liste synology mais ils ne renseignent pas sur la fonction de ces ports

Par pour tous, mais pour certain oui :

image.thumb.png.a9fc6e5e3e2fe6ec9e41f5201306f123.png

image.thumb.png.01d23bd29b69ad2a3546d258cb27ab45.png

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, Kramlech a dit :

Pas pour tous, mais pour certain oui :

image.thumb.png.a9fc6e5e3e2fe6ec9e41f5201306f123.png

image.thumb.png.01d23bd29b69ad2a3546d258cb27ab45.png

Oui mais tu vois on a pas le détail de ces ports. On sait uniquement que ce sont des ports pour audio station et video station et qu'ils sont différents des ports de l'application (1900, 5000 et 5001)
Dans mon autre topic je demande justement à quoi ils servent. Je pensais que 6001-6010 ne correspondait qu'au Airplay. Etant donné que je n'ai pas d'appareils Apple, j'ai décidé de ne plus les traiter. Sauf qu'apparemment ça enlève aussi les périphériques chromecast!
Je ne les vois plus apparaitre sur mon téléphone dans audio station, uniquement "le nom de mon téléphone". Je les ai re-natté et ré-autorisé et c'est revenu... Je pense donc que ces ports autorisent plus que Airplay.
J'en ai profité pour re-traiter 9025-9040 car je ne voyais plus les périphériques dans video station non plus.

D'ailleurs concernant les périphériques distants, je me suis aperçu d'un truc dingue. Lorsque je me connecte à audio station avec un compte admin, je vois les périphériques DLNA mais pas les périphériques chromecast (alors qu'avec DS audio sur smartphone je vois les 2). MAIS SURTOUT, si je me connecte avec un compte utilisateur qui a accès à tous les dossiers du nas et toutes les applications, je ne vois plus aucun périphérique!!!!!! Uniquement "Mon ordinateur". J'ai refait le test en faisant appartenir cet utilisateur au groupe administrateur également et là je peux voir les périphériques DLNA... J'y comprends rien.
Idem dans Video Station, il faut un compte administrateur pour voir les différents périphériques de lecture!! Et alors pourquoi les périphériques chromecast ne sont visibles que dans l'appli smartphone... Mystère!!

Sinon à propos de DS video j'ai du nouveau. Dans la configuration du proxy inversé j'ai fait en sorte de ne passer qu'en HTTP via le port 80 et le port spécifique HTTP de video station. J'ai essayé avec le smartphone en me connectant en HTTP comme ça et ça fonctionne... les films sont lus. Il y a donc un soucis quand je me connecte en HTTPS.

Il y a 4 heures, Kramlech a dit :

Uniquement si tu as mis en tête de liste dans le pare-feu une autorisation pour tous les port pour le réseau interne

Voici mes règles de pare feu:

1/ Je refuse toutes les communications venant de Chine/ Mali/ Côte d'Ivoire, etc
2/ J'autorise tout le trafic provenant d'une connexion depuis VPN Serveur
3/ J'autorise tout le trafic provenant des sous-réseaux de Docker.
4/ J'autorise tout le trafic provenant des appareils de mon réseau local.
5/ J'autorise les ports de certaines applications en les sélectionnant directement dans la liste (ports 80, 443, 5001, openVPN, NTP, 6690, 16881, 6001-6010, 9025-9040, transferts de fichiers windows)
6/ J'autorise le port spécifique SFTP (je désactive cette règle lorsque je ne m'en sers pas)
7/ Je refuse tout le reste

Je pense que c'est OK

Lien vers le commentaire
Partager sur d’autres sites

J'ai du nouveau pour DS video sur smartphone.
Il y a une étape importante que je n'avais pas faite (je ne savais pas qu'elle était à faire car c'est traitre...) c'est d'ajouter les sous domaines synology.me pour les applications du proxy inversé au certificat let's encrypt. En effet on voit dans le certificat: "Pour Drive, video.ndd.synology.me, music.ndd.synology.me mais en fait ces sous-domaines ne sont pas inscrits dans le certificat. Il faut remplacer le certificat et réécrire un par un les sous domaines dans "autres noms". Bref un problème de réglé!

Depuis je n'ai plus de message comme quoi le certificat est non fiable. Je peux accéder directement à la page de connexion des applications via un navigateur.
Pour DS video, en reconfigurant le reverse proxy en https, la lecture des films fonctionne en local via wifi en me connectant via video.ndd.synology.me:443 et en activant https sur la page de connexion.
C'est très bien mais je constate qu'en 4g ça ne fonctionne toujours pas. La lecture ne se fait plus. Mais je touche au but!

Modifié par Babou57
Lien vers le commentaire
Partager sur d’autres sites

Il y a 7 heures, Mic13710 a dit :

Depuis les dernières versions de dsm, les "ndd.synology.me" acceptent le wildcard. Au lieu de lister tous vos domaines, vous n'indiquez que "*" ce qui couvre tous les domaines. A confirmer pour le mode de saisie car je n'utilise pas de domaine synology.me.

J'ai essayé *.ndd.synology.me et apparemment ça fonctionne mais ça n'inscrit pas plus de noms de domaines que ce que j'avais mis. J'en avais pas oublié donc je pense 🙂

Lien vers le commentaire
Partager sur d’autres sites

un *.ndd n'inscrit pas de nom particulier. Il permet d'utiliser tous les noms de domaines présents et à venir. Vous n'avez besoin de rien d'autre. Il sera bon pour video.ndd, toto.ndd ou ma.voiture.est.en.panne.ndd et autrenom.ndd. Tout sera redirigé vers votre IP publique. C'est ensuite le reverse proxy qui fera l’aiguillage vers l'application correspondante.

Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Merci beaucoup de m'avoir aidé!
Après avoir remplacé le certificat Let's Encrypt en ajoutant les sous noms de domaine des applis et après avoir appliqué un double chiffrement dans le proxy inversé pour Video Station (port 443 vers port HTTS local de Video Station), tout fonctionne! Je peux me connecter à toutes les applis.

Le 20/11/2020 à 08:04, Mic13710 a dit :

un *.ndd n'inscrit pas de nom particulier. Il permet d'utiliser tous les noms de domaines présents et à venir. Vous n'avez besoin de rien d'autre. Il sera bon pour video.ndd, toto.ndd ou ma.voiture.est.en.panne.ndd et autrenom.ndd. Tout sera redirigé vers votre IP publique. C'est ensuite le reverse proxy qui fera l’aiguillage vers l'application correspondante.

Merci à toi, effectivement il y avait eu une erreur lors de ma première manip, cette fois ci je vois bien *.ndd.synology.me et ça fonctionne aussi bien qu'avant.

Le 16/11/2020 à 14:30, .Shad. a dit :

L'autre problème que tu rencontres est que lorsque tu tapes ton ndd Synology, tu pointes sur ton IP publique, tu passes par l'extérieur car ta résolution DNS interne ne permet pas de savoir que c'est le NAS que tu cherches à atteindre. Il y a plusieurs solutions à ce problème :

- avoir une box qui fait du loopback, visiblement ce n'est pas ton cas.
- mettre en place un serveur DNS local.
- modifier le fichiers hosts de tes clients.

Au passage, le pare-feu du NAS ne bloque pas les connexions sortantes (voir ta première phrase) mais seulement entrantes. Il est très rare de vouloir restreindre les ports utilisés par une machine pour communiquer vers une autre.

Je reviens vers toi par rapport à ce que tu m'avais dit @.Shad.
J'ai configuré le NAS en serveur VPN également pour accéder à DSM à distance. L'intérêt pour moi c'est de ne pas rediriger le port spécifique DSM dans ma box. Lorsque je me connecte avec OpenVPN ça fonctionne. En entrant l'adresse IP Locale 192.168.X.X ou l'adresse VPN 10.8.X.X, j'arrive à DSM.
Par contre, que ce soit en wifi local ou en VPN via 4g, lorsque je rentre le nom de domaine ndd.synology.me, je n'aboutis à rien. Les applications configurées dans le proxy inversé fonctionnent toutes. C'est uniquement pour accéder à DSM par cette voie qu'il y a un soucis.
Est ce que cela est dû au fait que je passe par l'extérieur à cause de la résolution DNS interne de mon ndd synology.me justement? Parmi les solutions que tu énonces:

  • Comment savoir si ma box fait du loopback?
  • Le tuto DSN Server a l'air hors de ma portée, surtout concernant la partie publique
  • Comment modifier les fichiers host des clients?

Sur la box je ne redirige que les 2 ports du proxy inversé, le port 6690, le port 16881 et le port OpenVPN. Je ne fais pas celui de DSM. Idem dans le pare feu, j'ai décoché celui de DSM et je n'autorise que les ports précédents.

Merci encore!

Lien vers le commentaire
Partager sur d’autres sites

il y a 8 minutes, Babou57 a dit :

Par contre, que ce soit en wifi local ou en VPN via 4g, lorsque je rentre le nom de domaine ndd.synology.me, je n'aboutis à rien.

C'est normal. Si votre routeur ne sais pas faire le loopback (c'est à dire qu'il est capable de retourner une requête interne vers le routeur), vous ne pouvez pas vous connecter de votre réseau privé à partir d'un ndd qui pointe sur ce même réseau. Pour cela, il faut travailler avec le serveur DNS pour séparer la zone locale (votre réseau) de la zone publique (internet). Il y a un tuto pour ça dans la section tutoriels, mais il faut quelques connaissances en réseau pour sa mise en pratique.

Lien vers le commentaire
Partager sur d’autres sites

Merci @Mic13710, justement j'ai vu que tu avais appliqué ce tuto à la lettre et que tu avais fait un retour très complet dessus! https://www.nas-forum.com/forum/topic/55206-tuto-dns-server/
Me concernant, étant donné que je souhaite accéder à DSM en tapant mon nom de domaine synology.me en wifi local et à l'extérieur par VPN uniquement, est ce que la partie zone DNS publique est utile pour moi?
Où devrais-je m'arrêter?

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.