Aller au contenu

Accès sécurisé à DSM à travers un VPN


A-d-r-i

Messages recommandés

Bonjour à tous,

Question concernant mon accès à DSM à travers un VPN.

Par souci de sécurité je ne souhaite pas exposer DSM à internet (= les ports 5000/5001 inaccessibles hors réseau local) et j'ai donc ajouté des ports pour chacune des applications que je souhaite exposer (ex : photos, files, ...). Je possède aussi un nom de domaine avec DDNS de Synology (donc un nom.synology.me). J'atteins donc ces applications par nom.synology.me:XXXX (XXXX étant le port de l'appli concernée).

Par la suite, souhaitant malgré tout accéder à mes fichiers par SMB sur mon ordinateur à distance, j'ai créé un serveur VPN. Tout fonctionne bien mais lorsque je souhaite accéder, avec le VPN, à DSM grâce à son adresse locale (ex: 10.X.0.X:5001 ou 192.168.X.X:5001) j'obtiens une erreur du navigateur (mauvais certificat : SSL_ERROR_BAD_CERT_DOMAIN ) que je peux passer. Cela me semble normal vu que le certificat est sur nom.synology.me mais existe-t-il un risque à utiliser DSM en passant cette erreur ?

Autre question subsidiaire (qui a peut-être un lien) : existe-t-il un intérêt à ne pas ouvrir de port HTTP sur un NAS ? En gros je n'ai ouvert (et "forwardé" sur la box) que des ports HTTPS pour les applications auxquelles je souhaite me connecter à travers internet (sans VPN). Cela peut-il poser problème ? J'avoue que j’atteins les limites de mes faibles compétences en réseau.

Merci par avance pour vos retours !

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @A-d-r-i,

Il y a 1 heure, A-d-r-i a dit :

existe-t-il un risque à utiliser DSM en passant cette erreur ?

Non.

Il y a 1 heure, A-d-r-i a dit :

existe-t-il un intérêt à ne pas ouvrir de port HTTP sur un NAS ?

Oui, ça fait un port de moins exposé sur internet. De plus, le trafic n'est pas chiffré sur ce port (contrairement à HTTPS).

Il y a 1 heure, A-d-r-i a dit :

En gros je n'ai ouvert (et "forwardé" sur la box) que des ports HTTPS pour les applications auxquelles je souhaite me connecter à travers internet (sans VPN). Cela peut-il poser problème ?

Ça peut poser un très gros problème si tu n'as pas appliqué ce tutoriel.

Dans l'idéal tu pourrais utiliser le proxy inversé, ainsi tu n'aurais que le port tcp/443 à ouvrir (et à sécuriser dans le pare-feu du NAS). Ça te permettrait d'utiliser des URL plus conviviales (sans port) du type : file.my.synology.me, photo.my.synology.me, ...

Lien vers le commentaire
Partager sur d’autres sites

Merci beaucoup pour ton retour !

il y a une heure, PiwiLAbruti a dit :

Ça peut poser un très gros problème si tu n'as pas appliqué ce tutoriel.

J'ai bien appliqué le tuto normalement, peux-tu détailler pourquoi cela pourrait poser un problème ?

 

il y a une heure, PiwiLAbruti a dit :

Dans l'idéal tu pourrais utiliser le proxy inversé, ainsi tu n'aurais que le port tcp/443 à ouvrir (et à sécuriser dans le pare-feu du NAS). Ça te permettrait d'utiliser des URL plus conviviales (sans port) du type : file.my.synology.me, photo.my.synology.me, ...

Oui je compte bien m'y mettre en effet ! Merci pour le lien.

Lien vers le commentaire
Partager sur d’autres sites

@PiwiLAbruti je reviens vers toi après la mise en place du reverse proxy. Tout fonctionne bien, j'ai supprimé tous les ports ouverts sur la box (hors ports DSM -5000/5001-, VPN et 80/443).

J'ai donc désactivé l'accès à DSM depuis internet par le pare-feu mais quand je tape nom.synology.me dans un navigateur ce dernier me donne bien une erreur d'accès (délai d'attente) mais redirige quand même l'URL vers le port 5001. Est-ce normal ?

Je précise que j'autorise dans le pare-feu uniquement l'accès aux ports 80 et 443 depuis internet.

 

Lien vers le commentaire
Partager sur d’autres sites

Tout d'abord, on évite d'ouvrir des ports http vers l'extérieur comme le 80 et le 5000. Ensuite, vous parlez d'accéder à DSM via le VPN, sans toutefois préciser s'il s'agit d'un VPN externe ou bien via le serveur VPN du NAS. Pour ce dernier, il est inutile d'ouvrir le 5001 vers l'extérieur puisque le trafic circulera uniquement au travers des ports du VPN.

Lien vers le commentaire
Partager sur d’autres sites

Qu'as-tu configuré dans le reverse proxy ?

il y a une heure, A-d-r-i a dit :

[...] quand je tape nom.synology.me dans un navigateur ce dernier me donne bien une erreur d'accès (délai d'attente) mais redirige quand même l'URL vers le port 5001. Est-ce normal ?

Peu importe, il faut fermer les ports 80, 5000, et 5001. Seul le tcp/443 doit être ouvert.

 

Lien vers le commentaire
Partager sur d’autres sites

Merci à tous les deux !

Il y a 15 heures, Mic13710 a dit :

[...] sans toutefois préciser s'il s'agit d'un VPN externe ou bien via le serveur VPN du NAS

En effet, il s'agit bien du serveur VPN du NAS.

J'ai donc bien fermé les ports 80, 5000 et 5001 sur ma box (il ne me reste que TCP/443 et le port du serveur VPN). La redirection de nom.synology.me vers https://nom.synology.me:5001 (suivie d'une erreur) se fait toujours, comme si le port 443 était associé à 5001.

Il y a 15 heures, PiwiLAbruti a dit :

Qu'as-tu configuré dans le reverse proxy ?

Uniquement les applications auxquelles je souhaite accéder par internet, par exemple :

Description : APP / Source : https://app.nom.synology.me:443 / Destination : http://localhost:XXXX (XXXX étant le port de l'appli concernée).

Modifié par A-d-r-i
Lien vers le commentaire
Partager sur d’autres sites

il y a 28 minutes, A-d-r-i a dit :

Description : APP / Source : https://app.nom.synology.me:443 / Destination : http://localhost:XXXX (XXXX étant le port de l'appli concernée).

Bonjour,

Si tu remplaces localhost par l'IP local du nas qu'est-ce que ça donne?

Modifié par Jeff777
Lien vers le commentaire
Partager sur d’autres sites

il y a 32 minutes, A-d-r-i a dit :

La redirection de nom.synology.me vers https://nom.synology.me:5001 (suivie d'une erreur) se fait toujours, [...]

Est-ce que le reverse proxy de nom.synology.me:443 vers localhost:5000 a bien été créé ?

Est-ce que le paquet Web Station est installé ?

il y a 1 minute, Jeff777 a dit :

Si tu remplaces localhost par l'IP local du nas qu'est-ce que ça donne?

Ça ne changera rien, et c'est très bien tel qu'il l'a fait.

Lien vers le commentaire
Partager sur d’autres sites

Le problème semble résolu ! J'avais apparemment mal configuré ma Web Station (inactive). Lorsque je saisi nom.synology.me j’atterris bien sur la page du site internet en cours de construction.

il y a une heure, PiwiLAbruti a dit :

Est-ce que le reverse proxy de nom.synology.me:443 vers localhost:5000 a bien été créé ?

Ce n'étais pas fait (et sauf erreur de ma part ce n'est pas indiqué dans le tuto sur le reverse proxy) mais lorsque je l'ai mis en place j’accédais à DSM depuis internet sans problème (alors que le pare-feu n'avais pas de règles autorisant cela), ce qui n'est pas mon but je l'ai donc supprimé. Dis moi si c'est problématique.

Merci à tous pour vos participations 😊

---

Je me permets de résumer ma "situation" pour toutes situations similaires :

  1. Objectifs
    • Accéder à certaines applications depuis internet (photos, fichiers, etc...)
    • Accéder à DSM (pour la gestion globale du NAS) uniquement depuis un réseau local (et à distance par VPN)
  2. Solution
    • Ouvrir, sur la box/routeur, le port 443
    • Au niveau du pare-feu du NAS, autoriser les connexions entrantes sur 80/443 (depuis la France, ou ailleurs cf. tuto sécurisation des accès)
    • Créer un reverse proxy pour accéder aux applications par internet sans ouvrir de port sur la box/routeur (cf. tuto reverse proxy)
    • Bien activer l'application Web Station afin de rediriger les ports 80/443 dessus car le NAS les redirige de base vers 5000/5001 (cf. ce post)
Modifié par A-d-r-i
Lien vers le commentaire
Partager sur d’autres sites

Super ton problème est résolu ...
Par contre je suis étonné de la nécessité d'avoir web station activé. Chez chez moi ce paquet n'est pas installé et le reverse proxy vers les applications fonctionne sans problème ! 
Bon j'utilise mon propre nom de domaine et pas nom.synology.me, cela pourrait avoir une incidence ?

Modifié par Thierry94
Lien vers le commentaire
Partager sur d’autres sites

il y a 44 minutes, Thierry94 a dit :

chez moi ce paquet n'est pas installé et le reverse proxy vers les applications fonctionne

Oui moi aussi cela fonctionnait parfaitement sans Web Station.

Mon problème était que le port 443 de mon nom de domaine redirigeait continuellement vers 5001 (apparemment, si j'ai bien compris, c'est un paramètre "par défaut" de DSM : sans Web Station il redirige toutes les connexions vers lui-même).

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.