Aller au contenu

Accès à distance limité


dbouchy

Messages recommandés

Bonjour,

Ma configuration est répartie du 2 sites distants.

Sur le premier site, j'ai un routeur RT2600ac derrière une Livebox dont la DMZ renvoie vers le RT2600. Derrière le RT qui me gère la sécurité, j'ai un un NAS 720+. Le réseau 1 est en 192.168.10.X

Sur le deuxième site, c'est presque pareil, j'ai un routeur RT2600ac derrière une Freebox Delta dont la DMZ renvoie vers le RT2600. Derrière le RT qui me gère la sécurité, j'ai un un NAS 716. Le rseau 2 est en 192.168.20.X

J'ai établi une connexion site-to-site entre mes deux routeurs Synology. Mes applications de sauvegardes distantes fonctionnent très bien.

Du site 1, j'arrive à me connecter au RT ainsi qu'au NAS distants via mon ordinateur.

Par contre, impossible de me connecter à d'autres éléments du réseau : freebox, serveur Home assistant hébergé sur le NAS2 en VM...

Je ne comprends pas vraiment pas pourquoi j'ai un accès limité aux périphériques de mon réseau alors que la connexion site-to-site est fonctionnelle !

Cela fonctionne évidement dès que j'active ma connexion VPN.

Auriez-vous une idée d'où vient mon erreur de configuration ?

Merci d'avance

Modifié par dbouchy
Lien vers le commentaire
Partager sur d’autres sites

A partir du moment où tu n'actives pas la connexion VPN, il est normal que tu ne saches pas accéder aux périphériques distants.
Car tu passes systématiquement par Internet -> Box -> Routeur, donc tu dois faire les NAT qui s'imposent en IPv4 ou ajouter les règles de pare-feu nécessaires pour l'IPv6.

Par site-à-site généralement on entend un réseau local A qui peut discuter avec un réseau local B distant. Là tu ne fais pas du site-à-site, plutôt une connexion croisée.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, .Shad. a dit :

A partir du moment où tu n'actives pas la connexion VPN, il est normal que tu ne saches pas accéder aux périphériques distants.

Merci pour ton aide.

La connexion site-to-site est gérée par VPN Plus Server. Elle est activée en permanence. Je comprends pas pourquoi j'arrive à accéder du site 1 au NAS du site 2 alors que cela n'est pas possible d'accéder à ma machine virtuelle qui est sur le même réseau que le NAS. Voici un petit schéma du réseau en PJ.

Je rencontre ce problème depuis que j'ai migré mes 2 routeur vers la version 1.3 de SRM. Avant, tout fonctionnait bien. J'ai répliqué les même paramètres de configuration.

Plan Reseau.jpg

Lien vers le commentaire
Partager sur d’autres sites

Il y a 16 heures, dbouchy a dit :

Cela fonctionne évidement dès que j'active ma connexion VPN.

Ok, donc tu as bien un VPN site-à-site, qu'entendais-tu par cette phrase alors ? Tu veux dire si par exemple tu te connectais au RT2600AC 2 depuis un PC du site 1 ?
Je présume que c'est ça.

Si tu désactives temporairement le pare-feu du routeur distant est-ce que ça fonctionne ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, .Shad. a dit :

Ok, donc tu as bien un VPN site-à-site, qu'entendais-tu par cette phrase alors ? Tu veux dire si par exemple tu te connectais au RT2600AC 2 depuis un PC du site 1 ?
Je présume que c'est ça.

Oui, c'est tout à fait cela.

Il y a 3 heures, .Shad. a dit :

Si tu désactives temporairement le pare-feu du routeur distant est-ce que ça fonctionne ?

Et bien non, rien du tout. Ce que je ne comprends pas c'est pourquoi j'arrive à accéder depuis le site 1 au NAS du site 2 mais que dans le même temps, je n'arrive pas à accéder à la machine virtuelle qui est elle même hébergée sur le NAS 2 !

Voici les règle de mon pare-feu, au cas où !

image.thumb.png.afb251a5e371660152de6d9319122508.png

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, dbouchy a dit :

je n'arrive pas à accéder à la machine virtuelle qui est elle même hébergée sur le NAS 2 !

Bonjour,

La VM c'est comme un machine supplémentaire sur le réseau local, elle est bien sur la même VLAN, elle n'est pas banni dans contrôle du réseau > général?

Il y a 23 heures, dbouchy a dit :

Par contre, impossible de me connecter à d'autres éléments du réseau : freebox

De mémoire c'est normal, avec le VPN site to site on ne peut pas accéder au réseau de la partie WAN, on peut pas accéder aux box (Freebox, livebox...)

Il y a 2 heures, dbouchy a dit :

Voici les règle de mon pare-feu, au cas où !

Pourquoi ouvrir le NTP pour tout internet, si c'est pour un usage local, il n'y a rien à faire, de plus les 3 règles local couvre déjà le NTP, ainsi que la "règle compatibilité" créer lors de la MAJ SRM 1.2 > 1.3.

Pour le port 8000 et 8001 ouvert au monde entier c'est pas top, peut être limité le port 8001 à la France.

Pour le VPN, peut être aussi limité à la France.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Il y a 18 heures, maxou56 a dit :

La VM c'est comme un machine supplémentaire sur le réseau local, elle est bien sur la même VLAN, elle n'est pas banni dans contrôle du réseau > général?

Merci @maxou56 pour ton aide.

Je ne sais pas comment vérifier qu'elle est bien sur le même VLAN.

Il y a 18 heures, maxou56 a dit :

De mémoire c'est normal, avec le VPN site to site on ne peut pas accéder au réseau de la partie WAN, on peut pas accéder aux box (Freebox, livebox...)

Oui, tu as sans doute raison. Peut-être que d'autres pourront confirmer !

 

Il y a 18 heures, maxou56 a dit :

Pourquoi ouvrir le NTP pour tout internet, si c'est pour un usage local, il n'y a rien à faire, de plus les 3 règles local couvre déjà le NTP, ainsi que la "règle compatibilité" créer lors de la MAJ SRM 1.2 > 1.3.

Pour le port 8000 et 8001 ouvert au monde entier c'est pas top, peut être limité le port 8001 à la France.

Pour le VPN, peut être aussi limité à la France.

Pour les port 8000 et 8001, l'ai laissé la configuration de base. Cependant, je n'arrive pas à modifier les paramètres installés par le SRM et ainsi limiter à la France.

Pour le NTP, j'ai recopier bêtement les paramètres d'un tuto, je ne savais pas.

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, dbouchy a dit :

Pour les port 8000 et 8001, l'ai laissé la configuration de base. Cependant, je n'arrive pas à modifier les paramètres installés par le SRM et ainsi limiter à la France.

Par exemple créer toi même une règle 8001 > France, puis décocher dans panneau de configuration > Système > paramètres SRM > Autoriser l'accès externe à SRM (cela supprimera les 2 règles créées automatiquement)

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, .Shad. a dit :

Donc si je comprends bien, le problème c'est l'accessibilité à la VM. Est-ce que celle-ci a une IP de ton réseau local ? Ou bien tu y accèdes depuis VMM uniquement (hors site-à-site) ?

Oui @.Shad., elle ma VM a bien une adresse IP dans la plage du Site 1 (voir schéma au début du post).

Hormis la VM, impossible aussi de me connecter du site 2 à l'interface de mon imprimante du site 1.

J'ai perdu tous mes repères avec SRM 1.3 et la gestion des différents réseaux. Je pense que mon pb vient de là car avant quand mes 2 RT2600 étaient en 1.2, tout fonctionnait bien.

Je ne trouve pas de documentation du le sujet... d'où mon appel à l'aide.

Lien vers le commentaire
Partager sur d’autres sites

J'ai une configuration assez similaire.

je confirme que je ne peux pas accéder à la partie WAN sur le site distant (surement possible avec les bonnes règles NAT mais pas fait de mon côté)

J’arrive par contre bien à accéder à mon NAS distant depuis chaque site, mais je ne le fait pas via IP mais via reverse proxy ce qui peut aussi changer les choses.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, Tex5 a dit :

J'ai une configuration assez similaire.

je confirme que je ne peux pas accéder à la partie WAN sur le site distant (surement possible avec les bonnes règles NAT mais pas fait de mon côté)

J’arrive par contre bien à accéder à mon NAS distant depuis chaque site, mais je ne le fait pas via IP mais via reverse proxy ce qui peut aussi changer les choses.

Hello @Tex5, je sais que ta config est proche de la mienne. Nous avons déjà échangé 🙂

Avant le passage à SRM 1.3, tout fonctionnait bien....  je n'ai pas le reverse proxy mais si tu veux partager, je sui preneur !

Merci

Lien vers le commentaire
Partager sur d’autres sites

@dbouchy Désolé je n'avais pas regardé le pseudo.

On ne sait jamais mais dans ton VPN site as-tu aussi déclaré le sous réseau en 172.X.X.X qui est utilisé par Docker  ?

Ma config  :

Site 1

Parefeu  (en noir IP publique du site 2)

image.thumb.png.ce57b5d3dae9a0798375c204d8b86902.png

Transmission de port

image.thumb.png.62b8aad699bff831e7067839983981f3.png

En noir nom du NAS qui fait reverse proxy

En rouge son IP privé 192.168.X.X

 

Site 2 :

Parefeu  idem site  avec IP publique site

Pas de transmission de port

 

Pour le reverse proxy c'est assez simple, la preuve j'ai réussi.

De mon côté j'ai acheté un nom de domaine (moins de 10e/an) et c'est super pratique. Ca me permet sans VPN individuel d'avoir accès à mes NAS et mes services depuis n'importe où (notamment boulot ou mon VPN ne passe pas)

tuto reverse proxy

tuto pour renouveler automatiquement le certificat du NAS (et donc du reverse proxy). C’est juste un peu plus galère pour mettre à jour à la main le certificat sur les rT2600 tous les 3mois

Modifié par Tex5
Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.