Accès NAS impossible en 4G (IPV6) vers nom de domaine depuis changement iPhone alors qu'il est possible directement par URL en IPV4

[CyberFr]

Et puis, j'allais oublier, si tu veux sécuriser l'accès à ton NAS en utilisant un certificat, un ndd est obligatoire.

[Juan luis]

il y a 59 minutes, MilesTEG1 a dit :

oué je comprends ta logique, mais ça nécessite de taper le n° du port après l'IP... même chose du coup, c'est chiant à mémoriser...

 

Rien n'est à mémoriser puisque ce sont les applis ou les" browsers" qui enregistrent. Peut être lors d'un changement de PC , mais sous mac j'ai la même configuration depuis des années.

il y a 39 minutes, CyberFr a dit :

L'avantage d'un ndd, c'est qu'en cas de changement d'IP fixe (changement de FAI , déménagement ou autre), il suffit de faire pointer le ndd sur la nouvelle IP sans avoir à tout reconfigurer au niveau du NAS. Bon courage lorsqu'il faut retrouver tous les services dans lesquels l'IP est consignée en dur.

Si on utilise un VPN le NAS n' est vu uniquement que par le LAN en local , il n'y a aucun ports ou adresses ou de certificat à configurer .Et je peux même vous indiquer , sans risques, son adresse: 192.168.0.252

Modifié le 15 mai 2022 par Juan luis

[Kramlech]

Il y a 1 heure, Juan luis a dit :

Si on utilise un VPN ...

 

Il y a 1 heure, Juan luis a dit :

Rien n'est à mémoriser puisque ce sont les applis ou les" browsers" qui enregistrent.

Et ça ne t'est jamais arrivé de vouloir te connecter à ton NAS depuis une machine qui ne t'appartient pas (et sur laquelle il n'y a pas de client VPN paramétré) ?

[MilesTEG1]

il y a 11 minutes, Kramlech a dit :

 

Et ça ne t'est jamais arrivé de vouloir te connecter à ton NAS depuis une machine qui ne t'appartient pas (et sur laquelle il n'y a pas de client VPN paramétré) ?

Sans parler du fait qu’il faut configurer et installer les outils VPN donc connaître les mots de passes sécurisés du VPN…

Pour protéger l’accès à dsm je passe par un VPN en dehors de chez moi.

Mais j’ai des services qui doivent être accessibles sans VPN .

Et même ainsi, depuis chez moi j’utilise mon nom de domaine pour accéder à dsm et autre , c’est plus friendly 😊

et on en revient toujours au même : avec le reverse proxy et les ndd pas besoin de se rappeler et de spécifier le port des dits services…

Et pour enfoncer mon clou , quand je suis passé de chez orange à free, je n’ai rien eu a faire sur aucun de mes devices (pc , mac, iPhone etc…) puisqu’ils sont configurés avec les ndd , ce dernier s’étant mis à jour tout seul sur la nouvelle ip free (j’utilise un dynhost ovh).

[Juan luis]

il y a une heure, Kramlech a dit :

 

Et ça ne t'est jamais arrivé de vouloir te connecter à ton NAS depuis une machine qui ne t'appartient pas (et sur laquelle il n'y a pas de client VPN paramétré) ?

Non bien sûr,  et si je vais en Russie , ça ne fonctionnera pas non plus vu que j'ai bloqué les adresses de la Fédération de Russie.

 

il y a 51 minutes, MilesTEG1 a dit :

Mais j’ai des services qui doivent être accessibles sans VPN .

 

Quels sont ces services qui ne fonctionnent pas via VPN , si ce n'est pas indiscret ?

[Drayabob]

Et puis, j'allais oublier, si tu veux sécuriser l'accès à ton NAS en utilisant un certificat, un ndd est obligatoire.

C’est en fait pour cela que j’en ai crée un.
Je vais tester l’option VPN de la Freebox. Vu que j’accède souvent à mon NAS pour une dépose de fichiers (Application Drive ou Ds File pour IOS) avec mon iPhone, je pensais choisir un protocole de type WireGuard. Il est installé sur la Freebox (pas encore paramétré) et il y a une application pour iPhone que je viens de télécharger. 
Quelqu’un d’entre vous a t’il déjà testé ? Il semble que ce protocole soit plus rapide qu’OpenVPN.  Modifié le 15 mai 2022 par Drayabob

[MilesTEG1]

Il y a 7 heures, Juan luis a dit :

Quels sont ces services qui ne fonctionnent pas via VPN , si ce n'est pas indiscret ?

Attention je n’ai pas dit qui ne fonctionnaient pas via VPN ! Mais qui devait être accessible dans. C’est pas la même chose…

Je ne vais pas demander à ma faille ou des amis de configurer un client vpn chez eux pout accéder à mes photos et Plex , j’ai pas de raison de leur donner aussi accès à mon LAN entier…

Ta manière de procéder t’est propre mais pas une généralité pour tout le monde.

Je me connecte au serveur vpn de mon routeur synology quand je veux accéder à dsm et utiiiser mon serveur adguard home en dehors de chez moi, j’ai créé un profile de contrôle d’accès sur son ndd pour que seules les iP lan et vpn puissent y accéder.

Il y a plusieurs vision sur l’utilisation ou non des noms de domaines, mais si ça existe et que c’est dispo sur nos nas c’est bien que c’est utile à certains.

 

[Juan luis]

Il y a 8 heures, Drayabob a dit :

C’est en fait pour cela que j’en ai crée un.
Je vais tester l’option VPN de la Freebox. Vu que j’accède souvent à mon NAS pour une dépose de fichiers (Application Drive ou Ds File pour IOS) avec mon iPhone, je pensais choisir un protocole de type FireGuard. Il est installé sur la Freebox (pas encore paramétré) et il y a une application pour iPhone que je viens de télécharger. 
Quelqu’un d’entre vous a t’il déjà testé ? Il semble que ce protocole soit plus rapide qu’OpenVPN. 

Bonjour,

Je n'ai pas de FireGuard sur ma freebox, mais j'utilise IPSEC IKEV2 , protocole supporté en standard par l'iphone. Le débit IPSEC dépend de la puissance du serveur VPN , client VPN et des liens.

Sur la Delta ça plafonnait à 100M/bits/s , sur serveur VPN Mikrotik 500 M/bits/s.J'utilise Mikrotik car le serveur de la freebox delta ne supporte pas le site to site.

Il y a 8 heures, MilesTEG1 a dit :

Attention je n’ai pas dit qui ne fonctionnaient pas via VPN ! Mais qui devait être accessible dans. C’est pas la même chose…

Je ne vais pas demander à ma faille ou des amis de configurer un client vpn chez eux pout accéder à mes photos et Plex , j’ai pas de raison de leur donner aussi accès à mon LAN entier…

Ta manière de procéder t’est propre mais pas une généralité pour tout le monde.

Je me connecte au serveur vpn de mon routeur synology quand je veux accéder à dsm et utiiiser mon serveur adguard home en dehors de chez moi, j’ai créé un profile de contrôle d’accès sur son ndd pour que seules les iP lan et vpn puissent y accéder.

Il y a plusieurs vision sur l’utilisation ou non des noms de domaines, mais si ça existe et que c’est dispo sur nos nas c’est bien que c’est utile à certains.

 

Bonjour,

Effectivement un accès VPN ne peut pas convenir à la mise en place d'un serveur partagé. Le sujet initial était la connexion d'un Iphone à son NAS d’où mon incompréhension sur la nécessité d'un Nom de Domaine.

Modifié le 16 mai 2022 par Juan luis

[MilesTEG1]

il y a 11 minutes, Juan luis a dit :

Je n'ai pas de FireGuard ??? sur ma freebox , mais j'utilise IPSEC IKEV2 , protocole supporté en standard par l'iphone. Le débit IPSEC dépend de la puissance du serveur VPN , client VPN et des liens.

Sur la Delta ça plafonne à 100M/bits/s , sur serveur VPN Mikrotik 500 M/bits/s.

Je pense qu'il voulait parler de Wireguard :

 

il y a 12 minutes, Juan luis a dit :

Effectivement un accès VPN ne peut pas convenir à la mise en place d'un serveur partagé. Le sujet initial était la connexion d'un Iphone à son NAS d’où mon incompréhension sur la nécessité d'un Nom de Domaine.

J'ai répondu aux digressions en effet ^^ ça ne rentrait pas dans le sujet désolé 🙂 

[Juan luis]

Il y a 1 heure, MilesTEG1 a dit :

Je pense qu'il voulait parler de Wireguard :

 

Wireguard : effectivement c'est bien plus performant et configuration en 2 minutes , juste un fichier de conf de la freebox à glisser dans son icloud, et c'est parti.

Modifié le 16 mai 2022 par Juan luis

[Drayabob]

Le 16/05/2022 à 12:57, Juan luis a dit :

Wireguard : effectivement c'est bien plus performant et configuration en 2 minutes , juste un fichier de conf de la freebox à glisser dans son icloud, et c'est parti.

Bonsoir,

Bon j'ai trouvé 5 minutes pour installer WireGuard (serveur sur ma Freebox Révolution ) et l'application IOS WireGuard sur mon iPhone

Pour info la Freebox Révolution embarque depuis quelques temps plusieurs protocoles VPN et maintenant WireGuard.

Il existe un module Serveur et un module client sur le serveur/routeur de la Freebox Révolution.

Pour ma part, j'ai activé le module serveur très simplement en créant un profile utilisateur.

Je n'ai eu qu'à rentrer un nom d'utilisateur, je n'ai touché à rien d'autre. Etant en IPv4 Full stack, je n'ai pas modifié le port de communication proposé, ni d'ailleurs le MTU.

Je n'ai pas demandé le partage de clé activé, et j'ai laissé keepalive sur 0.

Depuis mon iPhone avec l'application IOS officielle WireGuard, j'ai flashé le QR Code et le VPN coté client (iPhone) était activé et configuré. Rien à faire.

Petite cerise sur le gâteau, certains utilisateurs se plaignaient que l'application n'avait pas de widget, mais en fait, dans le menu réglage de l'iPhone, l'activation VPN (curseur) valide l'activation du VPN WireGuard sur l'application et vice versa. De plus, même sans ouvrir l'application, le fait d'activer le curseur VPN dans réglage active WireGuard, même si on ne voit pas l'application en tâche de fond.

Accès rapide avec adresse IP locales type 192.168.x.x sur mon NAS mais aussi par son nom de domaine ce qui bloquais avant en 4G.

Je vais tester les transferts de fichiers via les applications Synology en les configurant avec nom de Domaine et non pas en adresse IP V4 + port.

Restera le paramétrage du serveur proxy.

Autre bonus, je n'avais pas ouvert mon serveur ubooquity sur l'extérieur, et maintenant j'y accède sans problème comme en local.

Bonne soirée à tous merci pour vos remarques contributives.

 

 

[Juan luis]

Le 18/05/2022 à 00:11, Drayabob a dit :

Bonsoir,

Bon j'ai trouvé 5 minutes pour installer WireGuard (serveur sur ma Freebox Révolution ) et l'application IOS WireGuard sur mon iPhone

Pour info la Freebox Révolution embarque depuis quelques temps plusieurs protocoles VPN et maintenant WireGuard.

Il existe un module Serveur et un module client sur le serveur/routeur de la Freebox Révolution.

Pour ma part, j'ai activé le module serveur très simplement en créant un profile utilisateur.

Je n'ai eu qu'à rentrer un nom d'utilisateur, je n'ai touché à rien d'autre. Etant en IPv4 Full stack, je n'ai pas modifié le port de communication proposé, ni d'ailleurs le MTU.

Je n'ai pas demandé le partage de clé activé, et j'ai laissé keepalive sur 0.

Depuis mon iPhone avec l'application IOS officielle WireGuard, j'ai flashé le QR Code et le VPN coté client (iPhone) était activé et configuré. Rien à faire.

Petite cerise sur le gâteau, certains utilisateurs se plaignaient que l'application n'avait pas de widget, mais en fait, dans le menu réglage de l'iPhone, l'activation VPN (curseur) valide l'activation du VPN WireGuard sur l'application et vice versa. De plus, même sans ouvrir l'application, le fait d'activer le curseur VPN dans réglage active WireGuard, même si on ne voit pas l'application en tâche de fond.

 

 

 

Bonjour,

Je me suis également converti au "wireguard" d'autant que les routeurs MikroTik le supportent également. Le "L2TP" a été mis à la retraite , bien méritée.

Mise à part les performances et la rapidité de connexion, c'est aussi un nouveau mode de fonctionnement. Le tunnel reste établi ad vitam aeternam.

Par exemple sur l'iphone , une fois connecté , on peut passer en wifi , 4G ou "mode avion" , le tunnel VPN essaiera toujours de se rétablir , et si le serveur est dans les choux

le tunnel reste établit dans le vide . Et pour les routeurs idem , du coup il faut mettre en place une "vérification "du tunnel...

Modifié le 21 mai 2022 par Juan luis

[.Shad.]

Le gros avantage de Wireguard c'est surtout le fonctionnement en peer 2 peer selon moi.
Un client peut se connecter à un client, un serveur à un client, et plus classiquement un client à un serveur, ces notions n'existent plus vraiment.
Pratique pour choper les IP dont on a besoin. 🙂 

[Juan luis]

Il y a 2 heures, .Shad. a dit :

Le gros avantage de Wireguard c'est surtout le fonctionnement en peer 2 peer selon moi.
Un client peut se connecter à un client, un serveur à un client, et plus classiquement un client à un serveur, ces notions n'existent plus vraiment.
Pratique pour choper les IP dont on a besoin. 🙂 

Il faut tout de même qu'une extrémité  ait une adresse IP non partagée, pour pouvoir établir le tunnel.Un tunnel entre deux mobiles ne me semble pas réalisable.

[MilesTEG1]

J'aimerais beaucoup que synology se mette à implémenter Wireguard dans DSM et SRM !

[Juan luis]

il y a une heure, MilesTEG1 a dit :

J'aimerais beaucoup que synology se mette à implémenter Wireguard dans DSM et SRM !

Ça viendra peut être , mais en attendant vous pouvez toujours ajouter un routeur devant le NAS qui gère ce protocole.

[MilesTEG1]

Il y a 1 heure, Juan luis a dit :

Ça viendra peut être , mais en attendant vous pouvez toujours ajouter un routeur devant le NAS qui gère ce protocole.

J’ai déjà un routeur devant le nas : un synology rt2600ac (sous SRM comme os) lui même en dmz d’une Freebox Pop .

cette dernière possède un serveur vpn wireguard mais depuis son réseau je ne peux pas joindre celui du RT . D’où ma demande d’avoir le protocole wireguard sur le RT (SRM) et dsm.

[Juan luis]

il y a 45 minutes, MilesTEG1 a dit :

J’ai déjà un routeur devant le nas : un synology rt2600ac (sous SRM comme os) lui même en dmz d’une Freebox Pop .

cette dernière possède un serveur vpn wireguard mais depuis son réseau je ne peux pas joindre celui du RT . D’où ma demande d’avoir le protocole wireguard sur le RT (SRM) et dsm.

 Vous pouvez ajoutez un second routeur disposant du wireguard car je suppose que le rt2600ac supporte des routes statiques .

J'ai également un routeur wireguard chez moi car j'avais besoin du site to site qui n'est pas possible sur la freebox. Mais je n'ai qu'un seul réseau privé car les routeurs MikroTik , plus complexes à configurer, offrent quand même bien plus de possibilités.

[MilesTEG1]

il y a 25 minutes, Juan luis a dit :

 Vous pouvez ajoutez un second routeur disposant du wireguard car je suppose que le rt2600ac supporte des routes statiques .

J'ai également un routeur wireguard chez moi car j'avais besoin du site to site qui n'est pas possible sur la freebox. Mais je n'ai qu'un seul réseau privé car les routeurs MikroTik , plus complexes à configurer, offrent quand même bien plus de possibilités.

Oué mais non 😅 je vais pas mettre un autre routeur 😆

d’une pour des raisons de coût, et de deux parce que ça va faire lourd sur le réseau … 

le seul truc que je serais bien tenté de faire c’est mettre un rpi pour faire serveur wireguard et serveur AdGuard home.

Mais la aussi ça a un coût , moindre mais certes présent…

 

[Juan luis]

Bonjour,

Finalement  j'ai laissé tomber wireguard , pour le moment , pour revenir au L2TP IPsec. 🥴

Les performances sont finalement moins bonnes en wireguard , probablement que l'IPSEC peut être géré "en hardware" par des composants dédiés d’où les meilleures performences.

Et surtout, le réglage de la MTU en wireguard est trop chatouilleux selon le réseau de l'opérateur. Un réglage MTU peut fonctionner 2 jours puis bloquer  le troisième.

Je tenterai de nouveau l'expérience  entre 2 sites fibrés.🤔

[CyberFr]

Bonjour @Juan luis,

Méfie-toi du protocole L2TP/IPSec si tu envisages de mettre en place des reverses proxies. C'est le protocole que j'ai choisi au départ mais j'ai dû me rabattre sur OpenVPN car il s'est avéré  incompatible.

[Juan luis]

il y a 42 minutes, CyberFr a dit :

Bonjour @Juan luis,

Méfie-toi du protocole L2TP/IPSec si tu envisages de mettre en place des reverses proxies. C'est le protocole que j'ai choisi au départ mais j'ai dû me rabattre sur OpenVPN car il s'est avéré  incompatible.

Merci @CyberFr,pour le conseil. Je n'utilise pas le reverse proxy , en tout cas pour l'instant. Je recherche surtout les bonnes performances et la stabilité

[lemars]

Bonjour

Mon Nas est un Ds218+

J'arrive à me connecter au nas avec ds files par Quick connect quelque soit mon opérateur téléphonique : Orange ou free mobile.

J'ai un téléphone double sim.

Mais impossible de me connecter au nom de domaine synology.me avec free mobile alors que cela fonctionne avec Orange (et Bouygues et red by sfr). Je teste avec Firefox ou des applications comme jeedom ou emby. Idem même problème.

Mon nas est derrière une box de chez réd by sfr (NB6) avec la fibre en CGNAT. Pas de ip fixe.

Merci

Lemars

Modifié le 28 décembre 2023 par lemars