Aller au contenu

Messages recommandés

Posté(e)

Bonjour à tous,

 

Je viens d'acquérir mon premier NAS Synology DS218

Je créer ce nouveau post, car me voila perdu sur le paramétrage de mon NAS et ma BOX(FREEBOX Révolution).

Je voudrais avoir un accès externe sur mon NAS mais je n'y arrive pas ..

 

Voici ce que j'ai fais :

-J'ai suivi ce tuto pour sécuriser mon NAS (https://www.youtube.com/watch?v=BwTTkmhMHCQ&ab_channel=Tech2Tech-Mikaël)

-J'ai ensuite créer un certificat Let's Encrypt sur Synology (avec la création de mon compte synology)

Et maintenant après avoir suivi plusieurs tuto pour me connecter à distance sur mon NAS, rien ne fonctionne.. je vous avoue je me suis perdu avec la redirection des port, configuration du DHCP ect...

 

Pourriez-vous m'aider et me conseiller ce que je dois faire.

 

Je vous remercie d'avance.😀

 

 

 

Posté(e)

@Anthotho

Bonjour,

  1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...
     
  2. Pour répondre à ton problème, si j'étais toi voilà ce que je ferai :

    1. Je commencerai par bien lire et exploiter les deux TUTOs  suivants :
      a- TUTO : Débuter avec un NAS Synology
      b- TUTO : Sécuriser les accès à son NAS
       
    2. Ensuite pour aussi bien débuter, et là je vais reprendre une trame fournie par @Kramlech que je t'invite à suivre, je le cite :

 

Citation

 

Le principe général pour traiter un problème, c'est de repartir de la base. Quand tu empiles les couches de complexités sans t'être assuré que les couches précédentes fonctionnent, c'est indébuggable !!!

Chronologies des points à vérifier :

  1. Connaitre ton adresse IP externe
  2. Rediriger le port standard du DSM 5000 vers ton NAS
  3. Désactiver ton firewall
  4. Depuis l’extérieur, essayer de te connecter sur ton NAS via l'ULR http://<IP Externe>:5000
  5. Tant que cela ne fonctionne pas, ce n'est pas la peine d'aller plus loin
  6. Définir ton DDNS chez Synology, et le paramétrer proprement
  7. Vérifier que ton DDNS pointe bien chez toi, en passant la commande "ping <ton DDNS> depuis ton ordinateur . La réponse doit être ton IP Externe
  8. Tant que cela ne fonctionne pas, ce n'est pas la peine d'aller plus loin
  9. Depuis l'extérieur essaie de te connecter sur ton NAS via l'URL http://<ton DDNS>:5000.
  10. Une fois que cela fonctionnera, on pourra envisager les étapes suivantes, à savoir passer en https, mettre en place des redirections différentes (renvoyer le port 80 vers le 5000 pour éviter d'ouvrir le 5000), mettre en place un Revberse Proxy, réactiver le firewall, etc ...

Remarque :

  • L'activation du firewall est la dernière opération à faire
  • Ne surtout pas activer la redirection automatique http vers https !!!

 

Maintenant ce ne sont que des recommandations. C'est toi qui vois ...

Cordialement

oracle7😉

Posté(e)

Excusez-moi, c'est vrai que j'avais oublié de me présenter.. 🙃

 

D'accord super, je vais tout d'abord suivre ces deux tuto.

 

Par contre je bloque déjà sur 

  1. Rediriger le port standard du DSM 5000 vers ton NAS

Ci-joint mes ports de mon NAS en image.

 

Comment faire pour rediriger le port standard vers mon NAS ?  

image.png

Posté(e)

@Anthotho

Bonjour,

il y a 1 minute, Anthotho a dit :

Rediriger le port standard du DSM 5000 vers ton NAS

En fait, cela se passe sur ta box/routeur. Je ne connais pas la FreeBox mais tu dois avoir dans la partie réseau une rubrique "NAT/PAT" ou "Redirection de ports" pour faire cela.

Là, tu crée une redirection du port 5000 TCP/UDP avec comme cible de destination l'@IP locale de ton NAS.

Au passage, pour cette @IP du NAS il est préférable auparavant d'avoir figé/rendue fixe cette @IP en définissant/attribuant un bail DHCP statique pour celle-ci (à voir dans la partie DHCP de la box).

Enfin, je te conseille pas dans un premier temps de modifier les ports standards du NAS sans vraiment savoir ce qu'il en retourne derrière. Croyant sécuriser les choses (ce qui est tout à fait louable et compréhensible) saches que tu ne fais que retarder de moins d'une minute l'éventuelle attaque d'un malveillant. De plus, les ports 6000 et 6001 sont peut-être aussi déjà utilisés par un autre service. Vérifies cela. Pour les ports utilisés par Synology voir ici.

Donc mets en place les choses normalement sans modifications "exotiques". Quand tout fonctionnera correctement (parfaitement configuré) tu pourras alors commencer à "jouer" avec les paramètres. Maintenant ce que j'en dis , c'est toi qui vois ...

Cordialement

oracle7😉

Posté(e) (modifié)

Bonjour

Et aussi si vous etes fibré demander une ip  Full stack voir cette discussion et il y aussi la réponse a votre question https://www.nas-forum.com/forum/topic/68515-configuration-des-ports-avec-la-freebox-pop/?tab=comments#comment-1319419143

Modifié par Pascalou59
Posté(e)

Du coup j'ai suivi vos conseils, j'ai remis les ports initial, HTTP :5000 et HTTPS :5001.

Je viens de demander l'adresse ip  Full stack avec un redémarrage de la BOX.

Mais quand j'essaie de me connecter depuis l'extérieur :

  1. Depuis l’extérieur, essayer de te connecter sur ton NAS via l'ULR http://<IP Externe>:5000

Rien ne fonctionne ..

 

Voici les paramètre de ma box :

 

image.png.8aeaba09cdeae272a8848617832a4be5.png

Posté(e) (modifié)

@Anthotho

Bonjour,

Pour le port que tu veux rediriger, il faut que ce soit le même en interne et externe soit 5000.

Edit : Comment te connectes-tu depuis l'extérieur ? Tu peux STP préciser ta méthode ? Quels outils ?

Cordialement

oracle7😉

Modifié par oracle7
Posté(e)

Bonjour,

 

Super ça fonctionne !!😃 Merci beaucoup @oracle7 et @Pascalou59

(Je fais un partage de connexion avec mon téléphone pour y accéder.)

Donc la je peux rester avec les ports  HTTP :5000 et HTTPS :5001 ? Cela reste sécurisé ?

 

-J'avais une autre question :

En connexion externe, est-il possible de ce connecter via l'explorateur Windows sur mon NAS ? Ou je suis obligé de passer via l'explorateur internet (ULR http://<IP Externe>:5000) ?

Posté(e)

@Anthotho

Bonjour,

  1. Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

  2. OK, mais qu'est-ce qui fonctionne ? avec l'URL http://@IP_NAS:5000 ou l'URL http://tonDDNS:5000 ? Précises STP.
    As-tu déroulé toute la trame fournie précédemment ?
     
  3. Si oui, alors il y a d'autres choses à régler pour sécuriser ton NAS et cette connexion avant d'aller plus loin.
     
  4. Déjà, est-tu clair avec le TUTO sur la sécurisation du NAS ? L'as-tu appliqué ?
     
  5. il y a 26 minutes, Anthotho a dit :

    En connexion externe, est-il possible de ce connecter via l'explorateur Windows sur mon NAS ?

    Oui bien sûr via un VPN par exemple mais pas que. Saches qu'il y a encore pas mal de choses à mettre en place et de notions à acquérir avant d'en arriver là. Ne mets pas la charrue avant les bœufs ...😛

Cordialement

oracle7😉

Posté(e)

@oracle7

Alors,

Avec l'URL http://@IP_NAS:5000 ça ne fonctionne pas.

Avec l'URL http://tonDDNS(@IP Fixe):5001 ça fonctionne. 

Avec l'URL http://(nom de domaine.synology.me):5001 ça fonctionne.

 

J'ai bien appliqué le tuto sur la sécurité.👍

 

Concernant la trame, non je suis entrain de faire étape par étape.

Mais je bloque à ce niveau la..

  1. Définir ton DDNS chez Synology, et le paramétrer proprement

Cela veut dire, définir le nom domaine chez Synology ? Car si c'est ça, je l'ai créer sur le site Synology.

 

Antho

 

Posté(e)

@Anthotho

Bonjour,

il y a 11 minutes, Anthotho a dit :

Avec l'URL http://@IP_NAS:5000 ça ne fonctionne pas.

Cà c'est normal car @IP du NAS est une @IP locale donc depuis l'extérieur elle n'est pas accessible.

il y a 13 minutes, Anthotho a dit :

Car si c'est ça, je l'ai créer sur le site Synology.

Bah Oui, réfléchi puisque tu dis que "Avec l'URL http://(nom de domaine.synology.me):5001 ça fonctionne.". Donc c'est bon.

Donc si c'est clair pour la sécurisation du NAS, on peut passer à la seconde étape :

  1. Tu vas commencer par bien lire,  et relire et enfin appliquer le "TUTO : Reverse Proxy" durant le quel (points 2 à 7 ci-après) :
     
  2. Comme tu as dans ta box redirigé le port 5000 vers l'@IP de ton NAS, tu vas rediriger les ports 80 (http) et 443(https) vers l'@IP de ton NAS.
     
  3. Tu vas ouvrir/autoriser les ports 80 et 443 dans le pare-feu du NAS.
     
  4. Tu vas configurer les applications internes du NAS que tu utiliseras selon tes besoins (Audio, Video, Fichiers, Surv, etc...) et mettre en place pour chacune les redirections HTTPS:443 de ces applications vers localhost:port_application. Le reverse proxy "écoute" en permanence le port 443 et il aiguille ensuite selon le domaine vers la bonne application en local.
     
  5. Dans DSM, tu vas créer un certificat SSL Let'sEncript pour ton DDNS (i.e. NomDeDomaine.synology.me) auquel tu donneras en "Autre nom de l'objet" la valeur : "*.NomDeDomaine.synology.me" (appelée aussi "wilcard" qui elle couvrira tous les domaines de niveau inférieur que tu utiliseras par la suite.

    Toutefois, à ce stade, je ne peux que t'inviter à lire le "TUTO : Pourquoi et comment utiliser un nom de domaine". Tu verras après cette lecture qu'il est judicieux de prendre ton propre nom de domaine (à peine 10€/an chez OVH par exemple) afin de te faciliter la vie car au final tu ne maitriseras jamais le domaine synology.me vu que tu n'en es pas le propriétaire. Donc à toi de voir ce qui est le mieux pour toi...
     
  6. Enfin, tu vas installer le package Synology WebStation et créer un fichier ".htaccess" afin de rediriger automatiquement toutes les requêtes HTTP vers HTTPS.

Voilà le programme pour l'instant. La sécurisation des connexions extérieures vers le NAS viendra ensuite à l'aide d'un VPN mais on y est pas encore.

Il n'y a rien de très compliqué en soit pour le reverse proxy. Cela demande simplement beaucoup de rigueur et d'attention pour ce faire. Arrêtes-toi et poses des questions si tu ne comprend pas un point mais n'avance surtout pas à l'aveugle ...

Bon courage.

Cordialement

oracle7😉

 

Posté(e)

@oracle7

Après plusieurs heure passées sur ce tuto, j'ai réussi à bien avancer mais je suis bloqué..😕

 

III. Configuration du routeur OK

 

 

image.png.7bbc7d15d0d2bc14cd48efad4290babc.png

 

IV. Configuration du pare-feu du NAS OK

 

 

 

image.png.d33dd4d08959886b3c3bcee564f90ae5.png

 

V. Configuration du portail des applications de DSM

Quand je tape : mon IP_locale_du_NAS:45000 ça fonctionne, c'est bien redirigé sur audio station, mais après avoir renseigné les proxy inversé, et que je tape https://music.nomdomaine.synology.me, il me redirige vers la page d'accueil de mon NAS..

image.png.f1a8421d2ca33b66928381f8368bec86.png

image.thumb.png.5a92d4fb1295a4e8723840f258ab08f3.png

Deuxième point

VI. Obtention du certificat SSL pour le domaine et ses sous-domaines

Après avoir renseigné le code avec le fichier .htaccess, voici la page de mon NAS:

 

 

image.png.f6b4779361dba9d18088bef7730a8575.png

 

Pourtant j'ai tout bien respecté..

image.png.24dc97e07152d1edf6820579a659f45c.png

 

Posté(e) (modifié)
il y a 15 minutes, Anthotho a dit :

III. Configuration du routeur OK

Bonsoir,

Pas besoin UDP pour le 5000

 

il y a 15 minutes, Anthotho a dit :

IV. Configuration du pare-feu du NAS OK

Il faut aussi autoriser ton réseau local en premier.

Et tous refuser en dernier.

 

il y a 15 minutes, Anthotho a dit :

VI. Obtention du certificat SSL pour le domaine et ses sous-domaines

Il faudra aussi configurer le certificat pour chaque paquet. Il faut cliquer sur configurer sur le certificat et choisir le paquet correspondant.

 

Modifié par maxou56
Posté(e) (modifié)
il y a 11 minutes, Anthotho a dit :

Comme ceci ?

En premier c'est tous le réseau local.

Donc au minimum 192.168.0.0/255.255.255.0 (IP de 192.168.0.1 à 192.168.0.254)

Mais il faut mieux mettre comme sur la capture ci dessous, avec les ports à ouvrir après le 3 règles qui concernent toutes les IP possibles en locale et "tous refuser" en dernier.

s03.png

s14.png

Modifié par maxou56
Posté(e) (modifié)

@maxou56

Voici ma config :

La troisième ligne Correspond bien a l'adresse IP de mon NAS ? (192.168.0.48)

il y a 29 minutes, maxou56 a dit :

(IP de 192.168.0.1 à 192.168.0.254)

 

image.png.54b335b80e5b6625896b168843be87a9.png

 

Modifié par Anthotho
Posté(e) (modifié)
il y a 9 minutes, Anthotho a dit :

192.168.0.48

Juste 192.168.0.0 et c'est 👍

 

il y a 9 minutes, Anthotho a dit :

Pour la configuration je pense que c'est bien noté :

Attention sur ta capture, tu n'as pas tous masqué 😉

Modifié par maxou56
Posté(e) (modifié)
il y a 17 minutes, maxou56 a dit :

Attention sur ta capture, tu n'as pas tous masqué 😉

Exact je me suis fais avoir ..🙄

il y a 48 minutes, maxou56 a dit :

Il faudra aussi configurer le certificat pour chaque paquet. Il faut cliquer sur configurer sur le certificat et choisir le paquet correspondant.

 

Je ne comprend pas trop car je peut rien choisir dans "certificat"

image.png.71b227a426096bce2d3aa805dbdca61b.png

 

 

Concernant ce problème la, tu serais pourquoi j'ai cette page qui apparait ? 🙂

 

image.png.4907ba1af8612907ff7c6a9174d8f16b.png

Modifié par Anthotho
Posté(e) (modifié)
il y a 19 minutes, Anthotho a dit :

Concernant ce problème la, tu serais pourquoi j'ai cette page qui apparait ? 🙂

Cette page c'est celle du dossier "web" de web station.

Par défaut les ports 80 et 443 sont dirigée vers cette page.

 

Elle apparaît en local, via l'IP du NAS, ou aussi en extérieur via https://xxx.xxx.synology.me?

Dans le 1er cas c'est normal, le reverse proxy fonctionne que pour https://xxx.xxx.synology.me et ne fonctionne pas pour https://192.168.0.48

Par contre si https://xxx.xxx.synology.me pointe vers la page web station, il y a un soucis dans le reverse proxy.

Modifié par maxou56
Posté(e) (modifié)

Bonjour,

Je vous rappelle que la freebox , intègre un serveur VPN, configurable à distance via l'appli mobile. Ce serveur VPN permet de se connecter sur son LAN comme en local .L'appli permet également d'allumer le NAS Synology à distance.

Par contre un  gros défaut rédhibitoire  : Trop simple à configurer !🤪

Modifié par Juan luis
Posté(e)

@Anthotho

Bonjour,

Je vois que tu as bien progressé, parfait !😀

A priori, cela semble clair sur tes copies d'écran pour le reverse proxy mais pourrais-tu quand même montrer une vue détaillée d'une de tes redirections ? Juste pour bien comprendre ce qui se passe éventuellement.

Sinon, non il n'y a rien à renseigner dans le Vitual Host, pas à ma connaissance du moins vis à vis du problème actuel.

Cordialement

oracle7😉

 

Posté(e)

@oracle7

Bonjour,

 

Alors voici deux captures d'écrans des proxy inversé, j'ai pris pour exemple l'application Audio station.

 

image.thumb.png.887747055c1fb1bfb407853b4c4379bc.png

 

image.thumb.png.df55b257c39f65661c3dcdd8e66b6b6d.png

 

 

Il y a 2 heures, Juan luis a dit :

la freebox , intègre un serveur VPN

Super ! je prend note pour mes prochaines config 😉

 

Merci.

Posté(e) (modifié)

@Anthotho

Bonjour,

Pour la capture d'écran reverse proxy, dans le principe c'est bon. Juste qu'à mon humble avis il n'est pas utile de changer le port standard de l'application pour un autre. Bien voir que tu accèdes après la redirection au port en LOCAL donc à moins d'avoir chez toi un/des pirates en herbes, quel intérêt de le changer.En plus, cela peut entrainer des confusions lorsque tu exploiteras des docs officielles, il te faudra transcrire systématiquement donc source d'erreurs. Mais c'est toi qui vois . Je te rappelle que de l'extérieur on ne voit que le port 443 qui lui est sécurisé !

EDIT : De plus, dans le cas particulier de File Station, changer les ports standards, perturbe les liens générés lors d'un partage de fichier.

Pour la capture d'écran application, je m'étonne qu'il t'affiche en URL ton @IP du NAS:port. Non pas que ce soit faux, mais chez moi j'ai à la place de l'@IP mon "domaine.tld:port".

Cordialement

oracle7😉

Modifié par oracle7

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.