Reverse proxy sans ndd pour Hyperbackup

[Arian]

Bonjour,

Je souhaite mettre en place une sauvegarde distante via Hyperbackup.

Est-il possible de se "câbler" sur le nas à distance sans avoir de nom de domaine ? Juste via ip ?

Merci d'avance

 

[Mic13710]

Pouvez-vous m'expliquer ce que le proxy inversé vient faire là dedans ?

Vous pouvez très bien vous connecter à un NAS distant avec une adresse IP publique, seulement il faut que cette IP soit fixe sinon vous perdrez souvent la connexion à chaque changement d'IP. Si elle ne l'est pas, il faut alors passer par une URL qui pointe sur votre IP et que cette dernière soit mise à jour par le ddns pour que la connexion soit maintenue.

[Arian]

Merci pour votre réponse.

Je me trompe peut être mais je pensais faire côté nas distant :

- Sur la box : Redirection du port 443 vers le nas

- Sur le nas : reverse proxy de 443 vers le port 6281 (hyper backup)

Quelle est la bonne procédure côté nas distant ?

[PiwiLAbruti]

Le reverse proxy ne fonctionne que pour le protocole HTTP(S).

Pour HyperBackup, il faut nécessairement ouvrir un port dédié.

[Arian]

Bonjour et merci pour votre réponse @PiwiLAbruti ( @Mic13710),

Donc j'ai juste à faire une redirection du port 6281 sur la box distante pour atteindre le nas distant ?

Merci d'avance

[PiwiLAbruti]

Oui, mais sans oublier de limiter l'accès à ce port aux seules adresses IP autorisées.

[Mic13710]

il y a 34 minutes, Arian a dit :

Sur le nas : reverse proxy de 443 vers le port 6281 (hyper backup)

Le reverse proxy ne fonctionne qu'avec des ndd en entrant et redirige des requêtes vers des ports du NAS (localhost) ou vers des IP:port autres

 

il y a 14 minutes, Arian a dit :

Donc j'ai juste à faire une redirection du port 6281 sur la box distante pour atteindre le nas distant ?

Dans le principe oui, mais il faut sécuriser les accès et chiffrer la connexion.

[Arian]

Merci pour vos réponse @Mic13710 et @PiwiLAbruti

Oui j'avais essayé le reverse proxy mais sans succès sans ndd.

Je vais faire une sauvegarde chiffrée. Est-ce suffisant ?

"Limiter les accès" doit se faire dans les règles du pare-feu du nas distant en indiquant l'ip du nas principal c'est ça ?

En gros comme ça ?

Et interdire les autres accès surtout de l'étranger.

[PiwiLAbruti]

Je ne sais pas si les ports utilisés par HyperBackup sont symétriques (port tcp/6281 en source et destination).

Au minimum, le NAS de destination doit autoriser l'adresse IP source sur son port tcp/6281 local (donc port de destination et non source comme sur la capture d'écran).

Si tu as bein suivi le tutoriel sur la sécurisation du NAS, ton pare-feu doit déjà interdire tout ce qui n'est pas autorisé par une règle existante.

[Arian]

Re-bonsoir @PiwiLAbruti @Mic13710

Alors j'ai testé ce soir. Sur la box (livebox) distante, j'ai fait la redirection 6281/6281 vers le nas pour le NAT et ouvert le port 6281 sur le pare-feu de la box.

Aussi, j'ai ajouté deux règles sur le nas de destination pour autoriser Hyper backup Vault et une autre pour le port 6281 (depuis la france).

J'ai tenté de le joindre depuis le nas source en indiquant l'adresse ip v6 xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx. mais sans succès.

Dois-je m'y prendre autrement niveau adressage ?

 

[.Shad.]

Tu peux faire une impression d'écran de ton pare-feu ? Tu n'as besoin que d'une règle, celle qui autorise Hyper Backup Vault :

C'est encore mieux si tu peux limiter à une seule IP si tu as la chance d'avoir une IP fixe sur la connexion de ton NAS principal.
Là je parle en IPv4.

Si tu veux fonctionner en IPv6, et que le préfixe de ta connexion IPv6 est fixe (les xx premiers octets de ton adresse IP, également appelé le préfixe), tu peux autoriser l'IPv6 du NAS principal, exemple :

Je ne veux pas t'embrouiller avec le préfixe qui permet d'identifier ton réseau IPv6 sur le réseau de ton NAS principal, sache juste que si tu autorises ce réseau, c'est un fonctionnement équivalent à l'IPv4 et ton IP publique au niveau de la box.

En revanche, dans ton cas présent, si tu essaies d'atteindre ton NAS distant via son IPv6, tu dois être certain que :

- tu aies une connectivité IPv6 au niveau de ton NAS principal
- que le pare-feu de la box du réseau distant autorise les connexions entrantes sur le NAS en IPv6

Suivant les box, tu auras plus ou moins la possibilité de modifier le pare-feu IPv6 (qui se contente parfois d'avoir uniquement un niveau de réglage Faible - Moyen - Fort plutôt que de donner la possibilité d'ajouter des règles personnalisées).

Si ton pare-feu IPv6 n'est pas configurable sur ta box, tu devras passer par l'IPv4, pas le choix.

@Mic13710 Le port 6281 d'HBK s'expose de façon chiffrée si on a un certificat valide associé au service Hyper Backup Vault dans DSM.

Modifié le 18 avril 2023 par .Shad.

[Mic13710]

@.Shad. certes, mais il n'est pas question de ndd, et donc pas question de certificat.

J'ai pour habitude lorsque je fais des sauvegardes externes soit de passer en clair à travers un tunnel VPN, soit de chiffrer le transfert si le VPN n'est pas possible. Dans le cas de @Arian je ferais le choix du chiffrement.

[Arian]

Bonjour @Mic13710 et @.Shad.,

J'ai enfin pris le temps d'aller réessayer et cette fois-ci c'est un succès.

J'ai ajouté une règle dans le parefeu de la livebox distante pour le port 6281 pour l'ip v6 de ma box (j'ai récupéré l'ipv6 directement dans la console d'admin de la box).

Toujours dans la livebox, j'ai vérifié que j'avais bien le transfert de port 6281/6281 depuis l'ipv4 externe de ma box.

J'ai mis qu'une seule règle dans le parefeu du nas pour HyperBackup Vault pour l'accès depuis l'ipv4 externe de ma box.

Et j'ai réussi à me connecter via Hyper Backup à une tache existante en indiquant l'ipv4 distante.

Si d'autres personnes ont des questions, je peux les aider.

 

Merci encore