5 mini-questions de noob sur le réseau

[creal]

Bonjour tout le monde,

J'ai un NAS depuis quelques années, donc je connais le strict minium en réseau. Cependant, je me pose quelques questions qui vont paraitre toutes bêtes pour les utilisateurs avancés mais qui pourraient me permettre de mieux comprendre le fonctionnement du réseau de manière générale. Je vais énumérer plusieurs points, ce qui permettra de formuler des réponses de manière plus simple.

1) Je peux accéder à mon NAS en local depuis https://hostname:port Je me dis qu'il doit y avoir une sorte de DNS local fonctionnant de manière transparente qui "convertit" mon hostname en adresse IP locale du NAS. C'est bien ça? De telle sorte que cela revienne à taper https://localip:port

2) Je peux accéder à mon NAS en local ET en externe depuis https://DDNS:port De la même manière, je me dis qu'il doit y avoir un mécanisme qui fait que lorsque je suis en local, le DDNS est "converti" en "localip" et lorsque je suis sur internet, le DDNS est converti en "globalip". Comment ça marche?

3) J'ai l'impression que le port https de base envoie par défaut sur l'application DSM (ça je comprends bien, c'est comme si j'accédais en local à une interface web de mon lecteur audio Jriver par exemple) mais je ne comprends pas comment on peut avoir d'autres applications (audio, file, photo, video) qui utilisent le même port. Dans les formations réseau, on dit généralement qu'à une application est associée un ou plusieurs ports, mais on ne parle pas du fait que plusieurs applications puissent emprunter le même port. C'est obscur pour moi. Peut-être que ça fonctionne avec des domaines, sous-domaines?

4) Je peux accéder aux applications depuis https://hostname/alias mais je ne sais pas pourquoi. En effet, lorsqu'on n'inscrit rien, par défaut ça utilise le port 443 en https (ou 80 en http) sauf que ces applications là n'utilisent pas ce port 443 mais le port (sécurisé) du DSM. Peut-être simplement que chaque alias est converti en "le port qu'utilise l'appli en question + une info dirigeant vers l'appli en question"?

5) Comment puis-je accéder en externe (mais j'ai aussi un problème en interne, qui doit être lié à autre chose) à un service de Web Station (par exemple COPS) si ma freebox possède une IP partagée (uniquement les ports 49152-65535, donc les ports 80 et 443 sont exclus, a priori)? Je dois demander une IPv4 full stack, non? De plus, que se passerait-il si un des utilisateurs partageant la même IP que moi possédait un appareil réseau utilisant le même port que moi?

 

Voilà. J'espère que ce sont des questions claires. Je vous remercie par avance de vos réponses.

Belle journée à vous,

creal.

Modifié le 13 janvier 2022 par creal

[PiwiLAbruti]

1) Oui, le protocole de résolution de ces noms s'appelle NetBIOS.

2) En externe, le nom est résolu par DNS qui retourne l'adresse IP publique. C'est exactement la même chose en interne, sauf que l'adresse IP publique étant celle de la box, cette dernière renvoie le trafic vers la bonne destination interne en utilisant les règles de translation de ports définies. On appelle ça le loopback.

3) En HTTP, les applications peuvent être distinguées selon le chemin utilisée (peu importe le domaine et le port utilisés) : <scheme>://<host>:<port>/<path>?<query>. Par exemple pour Synology Photo : https://diskstation:5001/?launchApp=SYNO.Foto.AppInstance&SynoToken=********

4) Je suppose que tu fais référence au Portail de connexion ? Si c'est le cas, il est possible d'y configurer presque n'importe quel type d'accès par application (par hôte, port, chemin, ...). À toi de savoir quel fonctionnement tu souhaites avant d'y configurer quoi que ce soit.

5) Une adresse IP fullstack est obligatoire pour faire de l'auto-hébergement. En IP partagée, un autre abonné ne peut pas utiliser le même port que toi puisqu'ils te sont réservés. En fullstack, l'adresse IP t'es entièrement dédiée (et n'est donc plus partagée), donc tu bénéficies de tous les ports disponibles (0-65535).

 

[creal]

Salut Piwi,

Déjà merci d'avoir pris le temps de répondre, si rapidement qui plus est. Je me permets d'affiner un peu mes questions pour avoir plus de détails.

1) Merci. J'ai testé de mettre plus de 15 caractères en hostname et effectivement ça bloque à cause de NetBios. C'est très clair maintenant.

2) Je comprends. Mais du coup, ce DDNS est "stocké" sur des serveurs Synology j'imagine (ou d'autres externes au NAS lui-même), c'est bien ça? Et DSM doit communiquer afin de mettre à jour cette option lorsque l'utilisateur appuie sur "update now", non?

Pour le fonctionnement en interne, je comprends que ma freebox détecte le port "XXXX" donc puisqu'elle doit rediriger cela vers "192.168.0.Y", elle en profite pour retranscrire l'IP publique en 192.168.0.Y et le tour est joué, n'est-ce pas?

Une chose que je ne comprends pas. Le "loopback", pour moi c'était juste le fait d'invoquer l'adresse de la machine sur laquelle je la tape, pas d'aller appeler l'adresse IP d'un périphérique à partir d'une IP publique demandée en local. Y a-t-il deux sortes de loopback différents?

3) Okay, merci. J'imagine alors que, par défaut, lorsqu'on ne met aucun path, le NAS va chercher DSM, et si on met un alias, ça va inscrire ce path (mais toujours avec ce même port qui est utilisé par diverses applications), c'est ça?

4) Oui, je fais référence aux alias qu'on peut donner aux applications depuis le portail de connexion. Ce que je ne comprends pas, c'est comment un "alias" (par exemple "file") sait où aller ensuite? Si l'alias est transcrit en path (ma question du dessus), il reste encore à savoir quel port utilise l'application, dont l'URL est censée prendre en compte le 443 (port non spécifié en https)

5) Merci pour le conseil. J'ai changé en full-stack. J'ai maintenant tous les ports ouverts et pourrai donc profiter des services de Web Station sur internet.

 

Bonne soirée,

creal.

[PiwiLAbruti]

2) Oui, c'est le principe des hôtes dynamiques. L'adresse IP d'un nom d'hôte est mise à jour via une requête HTTP.

Le loopback c'est le fait qu'une machine reçoive du trafic qui lui est destiné mais pas sur la bonne interface (dans le cas présent à destination de l'adresse IP publique mais sur l'interface privée). Du coup le trafic est renvoyé sur la bonne interface (l'interface publique) afin d'atteindre la destination indiquée dans les règles NAT/PAT. D'où la boucle interne à la machine concernée.

3) En HTTP, chaque application n'a pas besoin d'un port défini. Tous les  d'hôtes, ports, ou chemins ne sont que des alias pointant vers un dossier contenant l'application (qui, dans le cas de File Station, Synology Photo, ..., ne sont en réalité que de simples sites web).

4) Comme déjà dit ci-dessus, le port n'est pas nécessairement déterminant.

[creal]

2) Cool. Je comprends mieux. Merci.

3 & 4) Okay, je comprends la chose suivante : que l'on écrive ou pas le port dans l'URL, l'alias "file" va chercher l'appli en question et c'est tout. Dans ce cas, j'ai toujours une dernière question en suspens : lorsque j'écris "https://DDNS:443/file", ça me renvoie sur "https://DDNS/file", mais quel mécanisme fait que ce port 443 est "bypassé" (présent aussi en filigrane dans https://DDNS/file) pour accéder à l'appli? J'ai l'impression que je peux changer n'importe quel port de "file" que ça ne changerait rien. Du coup, je ne vois pas l'intérêt.

[PiwiLAbruti]

Il y a 1 heure, creal a dit :

[...] lorsque j'écris "https://DDNS:443/file", ça me renvoie sur "https://DDNS/file", mais quel mécanisme fait que ce port 443 est "bypassé" (présent aussi en filigrane dans https://DDNS/file) pour accéder à l'appli?

Il n'y a aucun renvoi. Le port tcp/443 est le port par défaut en HTTPS donc il peut être omis dans l'URL. Les deux écritures ci-dessus ne sont que des synonymes. Si tu utilises un autre port, ça ne fonctionnera pas.

[creal]

Merci Piwi. Je me suis mal exprimé. Ce que je voulais demander, c'est pourquoi l'URL fonctionne avec 443 (ou rien, du coup) alors que le port de l'appli est 5001 (par défaut)? Le port est facultatif comme tu dis mais je ne suis pas sûr de comprendre réellement le mécanisme.

[PiwiLAbruti]

il y a une heure, creal a dit :

[...] pourquoi l'URL fonctionne avec 443 (ou rien, du coup) alors que le port de l'appli est 5001 ?

Tu as peut-être défini une règle de proxy inverse ?

[creal]

Il y a 2 heures, PiwiLAbruti a dit :

Tu as peut-être défini une règle de proxy inverse ?

Je ne sais même pas ce que c'est 😅 J'ai regardé dans les préférences de DSM, et aucun reverse proxy n'a été créé.

Si toi tu tapes "https://DDNS/file" sachant que le port https de file est XXXX (différent de 443), ça ne t'envoie pas sur l'appli?

[PiwiLAbruti]

Non, pas chez moi. Regarde dans le Portail de connexion de DSM 7 ce qui est configuré.

[creal]

Dans le portail de connexion, je n'ai rien touché. Quand je double-clique sur File Station par exemple, c'est écrit que j'ai un alias nommé "file" et que je peux me connecter avec htpps://DDNS/file

[Kramlech]

Le 14/01/2022 à 13:16, creal a dit :

Ce que je voulais demander, c'est pourquoi l'URL fonctionne avec 443 (ou rien, du coup) alors que le port de l'appli est 5001 (par défaut)

Comme dit plus haut, le port 443 est le port par défaut du protocole https. Donc que tu saisisses https://url ou https://url:443, cela revient au même.

Maintenant si l'URL d'accès à ton NAS te renvoie vers le DSM si tu met 443 (ou rien), alors que le port par défaut du DSM est 5001, cela est du au fait que tu n'as pas installé le paquet Serveur Web. Dans ce cas tout accès vers ton NAS (port 80 pour http ou 443 pour https) sera automatiquement renvoyé vers le port 5000 ou 5001, c'est à dire le DSM.

Mais si tu installes le Serveur Web, tu te rendras compte que les choses changent. L'accès au DSM ne pourra se faire qu'en précisant explicitement le port 5000 ou 5001, Et toute requête vers le port 80 ou 443 sera traitée par le Serveur Web...

Et tout ceci sans toucher au portail des applications ou au reverse proxy....

CQFD

Modifié le 15 janvier 2022 par Kramlech

[creal]

Salut Kramlech,

Je pense y voir plus clair maintenant. Je ne savais pas que l'accès au NAS était automatiquement redirigé vers les ports par défaut du DSM. C'était l'info qu'il me manquait.

J'ai aussi remarqué que le port 443 était redirigé vers le port 443 depuis mon routeur Freebox. Depuis que j'ai supprimé cette redirection, je n'ai plus accès à https://DDNS/file, ce qui est plus logique à mon sens (je suis obligé d'indiquer le port).

Merci à vous pour tous ces éclaircissements. Et passez un bon weekend.