Mise en place proxy inversé (et VPN par la suite)

[Tinigliath]

Bonjour à tous,

Je souhaiterais sécuriser les accès externes à mon réseau et j'ai quelques questions auxquelles je n'ai pas trouvé de réponse précise. Je reprends rapidement mon installation, détaillée dans ma présentation, pour être plus clair :

Je suis client Fibre chez orange avec une livebox 5. Derrière celle-ci j'ai un routeur RT1900AC, et ensuite tous mes appareils, notamment un nas DS920+. N'ayant pas des centaines de services, je n'ai pas mis le routeur en DMZ sur la box, je préfère rediriger les ports au cas par cas.

Suite à la lecture de différents posts et tutos, je pense partir sur une solution VPN + proxy inversé. La première question que je me pose est de savoir où installer le serveur VPN, sur le routeur avec VPN Plus Server ou sur le Nas avec VPN Server ?

J'ai testé sur le routeur avec synology SSL et j'arrive bien à me connecter à mon réseau local depuis mon mobile par exemple (cela me donne accès à l'ensemble de mes machines en 10.0.4.x). Mais je ne sais pas par exemple comment verrouiller l'accès à seulement certaines parties du réseau selon l'utilisateur connecté au vpn. Et cela ne me semble pas très sécurisé, mais peut être que je me trompe.

Concernant le proxy inversé, ayant déjà un nom de domaine synology.me sur le NAS, cela me permettrait de me connecter aux différents services en tapant directement un sous domaine plutôt qu'un domaine + port (jeedom.ndd.synology.me à la place de ndd.synology.me:xxxx) . C'est bien cela ? Mais est-ce utile si le VPN m’amène déjà sur le réseau local ? L’intérêt également si j'ai bien compris, c'est de rediriger l'ensemble des communications sur le port 443 c'est cela (et du coup ne pas ouvrir d'autres ports sur la box et le routeur) ?

Je souhaiterais allouer à des utilisateurs distants un espace sur le nas pour faire des sauvegardes de fichiers. Faut'il utiliser directement un paquet comme Drive ? Ou faut'il également utiliser ce paquet au travers un vpn ? (ou peut être n'est-ce pas du tout la bonne méthode également :)) Actuellement, j'ai créé des utilisateurs sur le nas, auxquels je donne accès à DSM  et Filestation uniquement, pour pouvoir déposer ou récupérer des fichiers. Je pense que cela n'est pas très bon en terme de sécurité.

J'espère que tout cela est assez clair, même si je dois avouer que ça ne l'est pas trop pour moi :)) L'idée globale serait : accès externe à Synology Photo, jeedom sur VMM, etc en sécurité, et donner l'accès à certains services à des utilisateurs distants, en sécurité également.

Merci par avance pour votre aide.

Modifié le 18 mars 2022 par Tinigliath

[Tinigliath]

Bonjour à tous,

J'ai pu avancé sur toutes mes questions. Voici où j'en suis :

J'ai ouvert sur la box et mon routeur les ports 80 et 443 (box vers routeur et routeur vers le nas). J'ai débloqué ces ports dans le part feu du nas et du routeur.

Dans le portail des application j'ai attribué de sports à File station, Photos et Surveillance station. J'ai activé le reverse proxy pour chacune de ces applications (source port 443 + nom de domaine file.ndd.synology.me par exemple, et destination http://localhost:le port de l'appli). A ce niveau là tout fonctionne, j'arrive à me connecter depuis l'extérieur en https://file.ndd.synology.me. Le certificat Let's Encrypt fonctionne bien également.

Je n'ai pas installé Web station ni le fichier .htacces (si j'ai bien compris c'est dans le but de ne pas avoir à taper https:// à chaque fois c'est bien ça ?).

Le problème que je rencontre actuellement c'est pour atteindre jeedom sur ma machine virtuelle. Dans le reverse proxy en destination j'indique http://IP de la VM:le port de jeedom, mais cela ne fonctionne pas, j'arrive sur la page Synology : Désolé, la page que vous recherchez est introuvable.

Auriez-vous une idée de ce qu'ai mal fait svp ?

Pour l'instant je ne m'occupe pas du VPN, j'attends de paramétrer correctement le reste avant (je me suis permis de modifier le titre du sujet).

Merci pour votre aide, bonne journée.

Modifié le 18 mars 2022 par Tinigliath
Changement du titre du sujet

[oracle7]

@Tinigliath

Bonjour,

Le 16/03/2022 à 16:30, Tinigliath a dit :

je n'ai pas mis le routeur en DMZ sur la box, je préfère rediriger les ports au cas par cas.

A mon humble avis, tu devrais, car au delà d'un douzaine de ports transférés sur la livebox, celle-ci commence à avoir un comportement erratique (constat d'expérience) et c'est encore pire au dela d'une quinzaine. D'où le RT en DMZ pour s'affranchir de ce type de problème (mais pas que ...). Cela a aussi l'avantage de pouvoir mettre ensuite directement les packages VPN Server et DNS Server (ce dernier paliant le fait que la Livebox ne gère pas le loopback et qui permet d'avoir tes propres DNS et pas les DNS "menteurs" d'Orange) sur le RT donc en entrée de tout ton réseau local (ce qui décharge aussi quelque part le NAS afin qu'il ne fasse que serveur de données).

il y a une heure, Tinigliath a dit :

si j'ai bien compris c'est dans le but de ne pas avoir à taper https:// à chaque fois c'est bien ça ?).

Oui sachant que par sécurité il est préférable de tout faire passer par le HTTPS.

il y a une heure, Tinigliath a dit :

Dans le reverse proxy en destination j'indique http://IP de la VM:le port de jeedom, mais cela ne fonctionne pas, j'arrive sur la page Synology

Chez moi mon Jeedom est sur un RPI4 de mon réseau local (je pense que cela revient au même avec ta VM) mais je l'atteint sans problème via le Reverse proxy et mon domaine sur le port 80 en accès interne et 443 en accès externe redirection --> https//jdom/ndd.fr:443 vers http://@IPJeedom:80 et sur Jeedom dans Réglages > Système > Configuration > Réseaux:

Sinon, pour t'éviter d'avoir à gérer des noms de domaine à "rallonge" du type xxx.ndd.synology.me , je t'invites à regarder de près pour prendre un domaine personnalisé dont tu seras propriétaire (environ 10€ par an chez OVH par ex). Tu y gagnerais en facilité de gestion. Il y a un TUTO sur le sujet. Mais c'est toi qui voit ...

Cordialement

oracle7😉

 

[Tinigliath]

@oracle7

Merci pour ton retour.

Effectivement c'est dans mon jeedom que se trouvait le problème, je n'étais pas sur le port 80. C'est corrigé et cela fonctionne.

Pour le nom de domaine oui je vais me renseigner parce que c'est vrai que c'est pas top les xxx.xxxx.synology.me.

Pour le routeur en dmz sur la box, cela n'entraine t'il pas de risques de sécurité ? En l'état je n'ai que deux ports d'ouverts sur la box, 80 et 443, vers le routeur.

Sur le routeur, dans les paramètres de transmission de ports, j'ai la case "Générer automatiquement des règles de transmissions de ports" qui est cochée (comme sur le tuto Sécuriser et paramétrer son routeur Synology). Saurais-tu me dire en quoi consiste cette option ? Cela ne fait'il pas du routeur une "passoire" ?

Le loopback cela permet en local d'entrer son nom de domaine et d'arriver à bon port (la bonne destination je veux dire :)) ? Pour l'instant je ne ressens pas vraiment le besoin mais je vais m'y pencher (mettre DNS et VPN Server sur le routeur).

Enfin une dernière question d'ordre plus général (j'ai beaucoup de lacunes sur le sujet :)) : sur mon routeur j'ai le parefeu qui n'ouvre que deux ports (80 et 443). Pourtant sur mon PC par exemple je peux jouer à différents jeu sans problèmes, alors que j'ai lu que la plupart du temps il fallait ouvrir certains ports pour les jeux. Il se passe quelque chose d'autre que je vois pas ?

Merci d'avance.

[oracle7]

@Tinigliath

Bonjour,

il y a 57 minutes, Tinigliath a dit :

Pour le routeur en dmz sur la box, cela n'entraine t'il pas de risques de sécurité ?

Non pas à ma connaissance.

C'est sûr qu'avec la DMZ, tout ton flux traverse la LB (qui n'est plus qu'un simple modem) mais de toutes façons ton routeur sera toujours bien plus performant en termes de sécurité que la Livebox car il possède déjà entre autres, bien plus de possibilités de réglage du pare-feu alors que celui de la LB est un peu en "tout ou rien" si j'ose dire (en tous cas loin d'être aussi configurable). En plus, lui ne "s'emmellera pas les pinceaux" avec les règles de NAT (BD qui se corrompt facilement) et sans parler du serveur DHCP de la LB qui "perd lui aussi les pédales" facilement dès qu'il y a trop de clients et qui impose de rebooter la LB pour que ses règles soient prises en compte. !!! Pénible à la longue ...

il y a 57 minutes, Tinigliath a dit :

Sur le routeur, dans les paramètres de transmission de ports, j'ai la case "Générer automatiquement des règles de transmissions de ports" qui est cochée

J'utilise aussi cette fonctionnalité qui simplifie l'ouverture de ports dans le pare-feu (création automatiques de règles) pour les applications sélectionnées. Ainsi tu maîtrises parfaitement les ports ouverts mais rien ne empêche de le faire manuellement directement dans le pare-feu si tu préfères. C'est juste plus simple.

il y a 57 minutes, Tinigliath a dit :

Le loopback cela permet en local d'entrer son nom de domaine

En effet, mais tu consteras vite qu'il est plus simple d'utiliser indifféremment des noms de domaines en local et les mêmes depuis l'extérieur. Avec le bon certificat cela t'évitera d'avoir des alertes de sécurité et surtout de ne pas prendre l'habitude de déroger à celles-ci car sinon tu risques fort de le faire ensuite machinalement sur la toile pour un site quelconque non sécurisé (donc potentiellement malveillant) et alors bonjour les éventuelles dégats à cause de celui-ci.

il y a 57 minutes, Tinigliath a dit :

Pourtant sur mon PC par exemple je peux jouer à différents jeu sans problèmes

Tu n'aurais pas par hasard l'uPnP d'activé ? C'est lui qui autorise tout seul l'ouverture des ports demandés par le jeu. Mais cela peut être aussi une application "pas nette" qui via uPnP ouvre des ports à ton inssu et là tu exposes ton routeur qui devient transparent et donc tu prends de gros risque en termes de sécurité. Moralité : l'uPnP doit être désactiver pour la sécurité de ton réseau local.

Cordialement

oracle7😉

 

Modifié le 18 mars 2022 par oracle7