Aller au contenu

synchronisation quand mon PC n'est pas sur le même réseau que le NAS


val134

Messages recommandés

 Hello again 👋🏻
Tu ne rames pas tant que ça, tu es déjà arrivée à faire pas mal de chose c’est super 👍🏻
(je te ferais une réponse plus détaillée plus tard quand je serais devant mon ordi).

Mais en version courte ou presque :

Pour ne pas trop se disperser, il faudrait faire les choses dans l'ordre 😉 
Là j'ai l'impression que tu essayes diverses choses, mais un peu dans le désordre ^^

La première chose à faire, c'est de configurer correctement le pare-feu du NAS.

1) Le pare-feu du NAS :
Avec les règles actuelles du pare-feu seules les IP Lan (donc locales) sont autorisées, ça inclue les IP données par le serveur DHCP de ta box (c’est ce qui affecte une iP a un périphérique), mais aussi les IP du serveur VPN de la freebox, c'est ce qui fait qu'en 4G quand tu te connectes au serveur VPN de la freebox, tu accèdes aux ressources réseau.

D'ailleurs en parlant des règles paramétrées, je pense qu'on peut en enlever certaines...
eZAkU5i.png

  • La n°1 n'est pas utile si tu n'as pas de réseau local avec des IP en 10.x.x.x... Supprime-là ou désactive-là.
  • La n°2 : même chose, mais j'ajouterais que si tu utilises Docker sur ton NAS, il faut la laisser à toi de voir si tu en as besoin ou pas.
  • La n°3 : essentielle, ça prend toutes les plages d'IP LAN classiques des box/routeurs FR.
    On pourrait réduire la plage d'IP, mais bon, autant laisser ainsi.

Il faut ajouter une règle qui va autoriser les IP FR (si tu habites en France) à accéder au port 443.
Pour cela il faut créer une nouvelle règle qu'il faudra placer avant la dernière règle qui refuse tout sur tout.
RrFvEBK.png
g0XMJ8l.png

Pour accélérer la recherche du pays, tu peux taper les premières lettres dans le champ de recherche (2).

Tu déplaces cette règle nouvellement créée en avant-dernière position.
La dernière règle devra toujours être celle qui refuse tout sur tout 😉

Tu crées ensuite une règle pour le port de synchronisation de Drive, le port 6690, de la même manière, et là aussi que sur les IP françaises.
v3AeHlo.png

N'oublie pas de déplacer la règle en avant-dernière position.

 

Tu devrais avoir alors ceci (si tu as supprimé la règle des 10.0.0.0...) :
NDzXBAs.png

 

Là, maintenant ton pare-feu de NAS est correctement configuré, n'est pas une passoire, et est juste permissif de ce qu'il faut.
Si jamais tu dois aller dans un autre pays, il faudra ajuster les pays autorisés 😉

Personnellement, je n'ai que ces ports (443 et 6690) ouverts sur internet, avec un autre pour l'ICMPv6 (mais c'est une autre histoire, et tu n'en auras probablement jamais besoin), et je n'ai aucun souci d'accès, que ce soit avec le VPN, ou sur les applications qui passent par le reverse proxy.

Il y a 2 heures, val134 a dit :

comme je fais tout ça de la maison, pour savoir si je peux accéder de l'extérieur, j'ai coupé le wifi sur mon téléphone et essaye avec la 4G. voilà ce que ça me dit ... mais je ne suis pas inquiète, pour l'instant je pense qu'avec les 4 règles configurées, comme c'est dit dans le tuto, tout est bloqué : c'est bien noté "Les règles ci-dessus n'autorisent que les réseaux locaux et bloquent tout le trafic venant d'Internet. "

si j'enlève le parefeu, ça marche ...

Donc, ton pare-feu bloquait bien comme il le fallait les connexions.


Précisions : si à l'avenir tu voulais ajouter des services à ton NAS, comme NoteStation, Synology Photos, etc... tu n'auras besoin que de rajouter des entrées dans le reverse proxy 😉
Normalement, pas de nouveaux ports à ouvrir sur internet.

 

2) La Freebox, et le port 6690 impossible à choisir
Ici, ça ne va pas être dur.
Il faut aller dans ton interface de gestion de compte freebox et demander une IPv4 Fullstack, car tu as ce qu'on appelle une IP CGNAT, donc partagée avec plusieurs personnes, donc tu n'as qu'une fraction des ports de connexion disponibles. Et là tu n'as pas le pour 6690, et donc pas le 443 disponible depuis internet...
C'est râlant, mais avec la pénurie d'IPv4, les FAI font de plus en plus cela.
Mais chez free, c'est rapide d'obtenir une IP avec tous les ports (FullStack). Donc dans ton compte de gestion free ( https://adsl.free.fr/ ), tu vas dans Ma Freebox, puis tu cliques sur Demander une IP fix V4 Full-stack.
Il faudra attendre un petit peu, je ne me rappelle pas du délai, car j'ai demandé la mienne avant même que ma fibre soit branchée chez free...wP8Dz0O.png

Une fois que tu auras une IP full-stack, il faudra redémarrer la freebox, et là tu pourras choisir les ports 6690 et 443 à rediriger vers ton NAS.

 

 

 

3) Le serveur VPN de la Freebox, via Wireguard :

Alors, maintenant passons au serveur VPN Wireguard de la Freebox.
Déjà, pourquoi t'ai-je orienté dessus ?
Parce que c'est facile, et rapide à mettre en place, et qu'en prime, c'est un des protocoles les plus performants, et je pense, sécurisé (bon là, je me mouille peut-être un peu 😅).

Il faut savoir que ton NAS peut aussi faire office de serveur VPN (OpenVPN, L2TP pour les plus utilisés), mais Synology n'a toujours pas daigné mettre en place ce qu'il fallait pour avoir le protocole Wireguard ... 🤬).

Sache que si tu changes de FAI, tu n'auras plus le serveur VPN wireguard de la freebox, il te faudra alors mettre en place un protocole du paquet VPN Server sur le NAS. Ce n'est pas vraiment complexe. Mais la freebox est plus simple et rapide à mettre en place.

Donc, par rapport au serveur VPN de la FB (=freebox), chez moi les adresses IP que j'ai en étant connecté via ce VPN, sont en 192.168.27.xxx. Je vais partir du principe que c'est aussi ton cas. Si ce n'est pas le cas, faudra adapter les IP plus bas.

WpKs4ts.png

 

 

4) Le Reverse Proxy & les Profils de contrôle d'accès

Pourquoi je parle de cela que maintenant ? C'est parce qu'il faut d'abord les infos précédentes sur le VPN, mais aussi par rapport à ce message :

 

il y a une heure, val134 a dit :

'ai donc fait ça ... je repéré les adresses IP de mon telephone et de mon ordi portable, tout est en 192.168.1.xxx. J'ai rajouté le "refuser pour tout le reste" et j'ai donc deux règles :

image.thumb.png.22bffa296c088cf1ebc41efa6d05310e.png

 

Tu n'as pas mis la plage d'adresse IP du VPN 😆 dans le profil de contrôle d'accès.
Ajouter une ligne, avant la dernière qui refuse tout pour autoriser la plage d'IP : 192.168.27.0/24 .

Sinon, quand tu te connecteras au VPN de la freebox, tu ne pourras pas accéder aux ressources du NAS, car ton IP sera une qui ne sera pas autorisées.

 

Ensuite, dans ce message, tu montres comment tu as configuré l'entrée du RP (=Reverse Proxy) pour Drive :

il y a une heure, val134 a dit :

je suis allée dans les reverse proxy et j'ai sélectionné le profil d'accès que je viens de configurer- je l'ai fait aux 3 endroits : DSM, filestation et drive.

reverseproxy2.thumb.jpg.53a17b6fe93d6360da157b70539f58e5.jpg

Sauf que là, avec le profil de contrôle d'accès défini pour l'URL drive.ton-domaine.synology.me, tu ne pourras pas, ni tes parents, accéder au drive depuis l'extérieur.
Il me semble que tu souhaites pourtant partager l'accès avec tes parents, non ?
Si c'est bien le cas, ne mets pas de profil de contrôle d'accès sur cette entrée du RP.
En revanche, il faut bien le mettre pour l'entrée du RP concernant DSM !

PS : tu peux nommer comme bon te semble le profil de contrôle d'accès 😉 car moi j'ai mis DSM et SRM, car j'ai un routeur Synology dont l'OS s'appelle SRM.

__________________________________________

 

Enfin, pour ta méthode de test depuis une connexion 4G/5G, je valide, je procède de la même manière.

 

Il y a 2 heures, val134 a dit :

du coup, il faudra que je configure un utilisateur pour mon ordiportable, un pour l'ordi portable de ma soeur ... c'est bien ça ?

C'est probablement mieux, mais pénible pour ta soeur ^^ sauf si elle doit accéder à DSM...
Si les mots de passes des comptes sont robustes, et si le 2FA est activé, normalement, les risques sont minimes de laisse l'accès à Drive et Filestation ouvert sur internet (si tu as bien tout appliqué de ce qui précède).

Après, si ça ne gêne pas tes proches de se connecter via un VPN, c'est sûr que là c'est top 😉 

 

 

 

Après avoir ajuster avec tout ce que j'ai dit dans ce message, il faudrait que tu testes ceci :

  • Accéder depuis le LAN aux différents services : DSM, Drive, etc... (Normalement pas de problèmes) ;
  • Accéder à Drive depuis internet : normalement ça devrait fonctionner.
  • Accéder à DSM depuis internet : normalement ça ne devrait pas fonctionner, grâce au pare-feu.
  • Une fois connectée au VPN depuis internet Accéder à Drive : normalement ça devrait fonctionner.
  • Une fois connectée au VPN depuis internet Accéder à DSM  : normalement ça devrait fonctionner.

S'il y a une étape qui ne fonctionne pas, ce n'est pas normal. Faudra qu'on creuse.

Et enfin, pour la synchronisation Drive, depuis un ordi, mais que quand tu auras récupéré une IP full-stack, il faudra vérifier que la connexion se fait bien dans le client Drive depuis une connexion 4/5G, donc depuis internet.

Voilà voilà, je ne pense pas avoir raté une de tes interrogations 😉

Pouf, le pavé est fini.
Si tu as réussi à tout lire jusque-là sans avoir la tête qui explose, bravo 👏🏻🎉

@val134 maintenant, au travail, remarque, c'est peut-être déjà fini 😁

Lien vers le commentaire
Partager sur d’autres sites

Quel travail !! merci merci !!

J'en suis là

il y a 58 minutes, MilesTEG1 a dit :

Une fois que tu auras une IP full-stack, il faudra redémarrer la freebox, et là tu pourras choisir les ports 6690 et 443 à rediriger vers ton NAS.

j'ai fait la demande, j'ai donc une nouvelle adresse IP, et je vais redemarer la freebox dans 30min ... quelle incidence cela a ? est ce qu'il y a des endroits ou je dois changer l'ancienne adresse pour la nouvelle ?

------------------------------------------------------

il y a 58 minutes, MilesTEG1 a dit :

Donc, par rapport au serveur VPN de la FB (=freebox), chez moi les adresses IP que j'ai en étant connecté via ce VPN, sont en 192.168.27.xxx. Je vais partir du principe que c'est aussi ton cas

c'est bien le cas.

 

il y a 58 minutes, MilesTEG1 a dit :

Ajouter une ligne, avant la dernière qui refuse tout pour autoriser la plage d'IP : 192.168.27.0/24 .

fait

 

il y a 58 minutes, MilesTEG1 a dit :

Si c'est bien le cas, ne mets pas de profil de contrôle d'accès sur cette entrée du RP.

ok je l'ai enlevé sur filestation et drive

il y a 58 minutes, MilesTEG1 a dit :

PS : tu peux nommer comme bon te semble le profil de contrôle d'accès 😉 car moi j'ai mis DSM et SRM, car j'ai un routeur Synology dont l'OS s'appelle SRM.

ouh là !! je ne prends pas de risque 😝

il y a 58 minutes, MilesTEG1 a dit :

C'est probablement mieux, mais pénible pour ta soeur ^^ sauf si elle doit accéder à DSM...
Si les mots de passes des comptes sont robustes, et si le 2FA est activé, normalement, les risques sont minimes de laisse l'accès à Drive et Filestation ouvert sur internet (si tu as bien tout appliqué de ce qui précède).

Après, si ça ne gêne pas tes proches de se connecter via un VPN, c'est sûr que là c'est top 😉 

je pense que c'est mieux qu'elle n'ai pas à le faire ... et elle n'a pas à accéder à DSM ...

----------------

c'est parti pour le redémarrage de freebox et les tests ...

A tout à l'heure !

 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 30 minutes, val134 a dit :

j'ai fait la demande, j'ai donc une nouvelle adresse IP, et je vais redemarer la freebox dans 30min ... quelle incidence cela a ? est ce qu'il y a des endroits ou je dois changer l'ancienne adresse pour la nouvelle ?

Tu vas changer d'adresses IP. Donc à moins que tu n'aies configuré en dur l'ancienne adresse quelque part, normalement tu n'auras rien à faire.
Le domaine Synology se mettra à jour tout seul.
Si ça n'était pas le cas, ou bien pour être sûr que ça soit le cas :
OPfUdGQ.png

Lien vers le commentaire
Partager sur d’autres sites

je viens de vérifier c'est bon, ça a changé

 

je suis toujours dans les tests

Alors, au départ ça marchait pas (pas d'accès au nas ni à la console freebox même avec wireguard activé, mais accès à une page internet random), et je me suis demandés si c'était parce que les utilisateurs définis sur la console l'avaient été avant que je change l'IP machin et je crois que oui ... parce qu'une fois le nouveau tunnel installé dans wireguard sur mon pc j'avais accès à tout (dsm et freebox ma freebox).

 

maintenant, quand wireguard est activé sur mon pc, j'ai accès au dsm, à la console freebox et le drive synchronise.

quand je desactive, j'ai toujours accès à internet mais plus au dsm, à la console freebox et le drive ne synchronise plus.

Lien vers le commentaire
Partager sur d’autres sites

donc tout ça à l'air de bien se comporter

par contre, pour pouvoir me connecter au wifi normalement sur mon PC il faut que je désactive wireguard. ça doit être normal

 

je vérifie maintenant mon accès à DSfile et drive sur mon telephone et je reviens vers toi

Modifié par val134
Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, val134 a dit :

Alors, au départ ça marchait pas (pas d'accès au nas ni à la console freebox même avec wireguard activé, mais accès à une page internet random), et je me suis demandés si c'était parce que les utilisateurs définis sur la console l'avaient été avant que je change l'IP machin et je crois que oui ... parce qu'une fois le nouveau tunnel installé dans wireguard sur mon pc j'avais accès à tout (dsm et freebox ma freebox).

 

maintenant, quand wireguard est activé sur mon pc, j'ai accès au dsm, à la console freebox et le drive synchronise.

quand je desactive, j'ai toujours accès à internet mais plus au dsm, à la console freebox et le drive ne synchronise plus.

Heu, je n'ai pas tout suivi/compris...

Tu conserves le VPN alors que tu es dans ton LAN chez toi ?

Il y a 3 heures, val134 a dit :

par contre, pour pouvoir me connecter au wifi normalement sur mon PC il faut que je désactive wireguard. ça doit être normal

Hmmm, si tu es connecté en 4/5G lorsque tu te connectes au VPN, il semble normal que tu doives déconnecter le VPN pour te connecter au wifi.

Ou alors je n'ai pas compris l'usage du VPN XD

Tu n'utilises pas le VPN alors que tu es chez toi en wifi ?

Il y a 3 heures, val134 a dit :

Pour ce qui est de mon téléphone, je ne sais pas quoi mettre comme adresse

 Tu mets ton domaine pour FileStation.

Chez moi (enfin sur mon iPhone), pour DS File, je dois mettre le port :443 après le nom de domaine, sinon ça ne fonctionne pas.

Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, MilesTEG1 a dit :

Heu, je n'ai pas tout suivi/compris...

Tu conserves le VPN alors que tu es dans ton LAN chez toi ?

tout ça je l'ai fait quand j'étais connecté via le partage de connexion de mon téléphone pour faire comme si je n'étais pas chez moi

 

IMG_2023-05-01T22-32-30.thumb.JPG.c062722dbe00bf045a6099c781368b2b.JPG

ok ça marche, j'ai trouvé ... par contre il me dit qu'il y a un pb avec le certificat. si je fais "continuer" ça marche

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 11 minutes, MilesTEG1 a dit :

Ou alors je n'ai pas compris l'usage du VPN XD

hi hi !! euh ... je plaide coupable ! j'avoue que je n'ai pas une compréhension super fine de ce qu'est un VPN ... donc on va dire que c'est moi qui comprends pas tout !

 

à l’instant, MilesTEG1 a dit :

C'est une alerte sur quel domaine ?

pour filestation et pour drive

à l’instant, MilesTEG1 a dit :

u as bien affecté le certificat let's encrypt à toutes les entrées du reverse proxy ?

donc j'ai pas du faire ce qu'il faut ... je vais vérifier

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, MilesTEG1 a dit :

Tu as bien affecté le certificat let's encrypt à toutes les entrées du reverse proxy ?

oupsss ... je ne sais pas où je dois regarder ça ...

ah si je crois, ici ?

image.png.c5aa75108b40b1ab0710baa92923365e.png

si oui, alors oui j'ai vérifé ...

je viens de me déconnecter sur DSfile, j'ai supprimé les identifiants de connexion puis je me suis reconnecté et là pas de probleme de certificat, donc tout tombe en marche...

-----------------------------------------------------------

En tout cas, merci merci beaucoup pour l'aide apportée tout ce week-end. tu as fait preuve de beaucoup de patience et de pédagogie, à certains moments j'ai vraiment eu l'impression que je n'y arriverais jamais, mais voilà, c'est fait et tout ça grâce à tes explications !!!

La prochaine étape va être de faire en sorte que ma soeur puisse synchroniser son dossier sur mon NAS. je suis confiante ! mais peut être à bientôt !!!

bonne soirée et encore merci

Lien vers le commentaire
Partager sur d’autres sites

il y a 34 minutes, val134 a dit :

si oui, alors oui j'ai vérifé ...

je viens de me déconnecter sur DSfile, j'ai supprimé les identifiants de connexion puis je me suis reconnecté et là pas de probleme de certificat, donc tout tombe en marche...

Oui c'était bien là ^^

Nickel si en déconnectant puis reconnectant ça fonctionne. 😁👏🏻

il y a 37 minutes, val134 a dit :

En tout cas, merci merci beaucoup pour l'aide apportée tout ce week-end. tu as fait preuve de beaucoup de patience et de pédagogie, à certains moments j'ai vraiment eu l'impression que je n'y arriverais jamais, mais voilà, c'est fait et tout ça grâce à tes explications !!!

Mais de rien 😇 et merci pour les compliments 😉 Mon boulot d'enseignant doit aider ^^

Tu as appris des choses, et normalement tu devrais t'en sortir pour une prochaine fois ^^

Aller, petit exercice pour une prochaine fois : mettre en place Synology Photos 😄 

il y a 37 minutes, val134 a dit :

La prochaine étape va être de faire en sorte que ma soeur puisse synchroniser son dossier sur mon NAS. je suis confiante ! mais peut être à bientôt !!!

Si tu y arrives depuis ton ordi via le partage de connexion, ça devrait le faire. 😃

Bonne soirée également.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.