Synology Profil de contrôle d'accès et IP locale

[DarthNihilus]

Bonjour,

Souhaitant restreindre l'accès à certaines fonctionnalités aux adresses locales, j'ai essayé de mettre en place le contrôle d'accès. J'ai suivi tous les conseils que j'ai pu trouver ici et sur d'autres forum, mais impossible de le faire fonctionner comme voulu. Voici les différents paramètres que j'ai utilisés :

- Sans contrôle d'accès : l'application est bien accessible en local et de l'extérieur ;

- Avec contrôle mais sans la ligne "Tous ---------- Refuser" : l'application est bien accessible en local et de l'extérieur ;

- Avec les règles de contrôle :
192.168.1.1/16 --- Autoriser
Tous -------------- Refuser

ou

192.168.1.1/24 --- Autoriser
Tous -------------- Refuser

ou

192.168.1.42/32 --- Autoriser (l'IP de l'appareil avec lequel je teste)
192.168.1.65/32 --- Autoriser (l'IP du NAS)
Tous --------------- Refuser

l'application est inaccessible ;

- Si j'ajoute une règle en avant dernière ligne avec une IP externe (par exemple celle d'un téléphone en 4G), l'appareil correspondant peut accéder à la page (mais pas de changement au niveau local) ;

- Si j'ajoute une règle en avant dernière ligne avec l'IP externe de ma box, l'application n'est pas plus accessible.

J'ai du mal à voir ce qui bloque, et je m'en remet à vos conseils si vous avez des idées.
Merci

 

[Neo974]

Bonjour ,

Quand tu mets autorisé, tu autorisé bien les ports qu'ils faut ?
As tu suivi le tuto dédié au réglage du pare-feu pour un usage local :
Sujet '[Tuto] Régler son pare-feu pour un usage local'. https://www.forum-nas.fr/threads/tuto-régler-son-pare-feu-pour-un-usage-local.13389/

 

[DarthNihilus]

Oui dans le pare-feu les ports sont bien paramétrés comme dans ce tuto, et d'ailleurs si j'essaie d'accéder via ipNASlocal: port, cela fonctionne bien. Mais dès que j'utilise ndd.fr, ça ne fonctionne pas.

 

[Neo974]

Oui car ton ndd n'est pas considéré comme une ip locale ( ta box va contacter les dns pour savoir où chercher ton ndd).

Dans ce cas faut ajouter une règle autorisant les ip françaises.

 

[DarthNihilus]

J'ai déjà mis un telle règle dans le pare-feu puisque je réussi à me connecter avec un appareil externe si j'autorise son ip dans le contrôle d'accès. Mais impossible d'obtenir les mêmes résultats avec les appareils sur mon réseau.

 

[MilesTEG]

J'ai déjà mis un telle règle dans le pare-feu puisque je réussi à me connecter avec un appareil externe si j'autorise son ip dans le contrôle d'accès. Mais impossible d'obtenir les mêmes résultats avec les appareils sur mon réseau.

Les profils de contrôle d'accès ne peuvent pas gérer des IP de pays, ou de région... Ce n'est que dans le parefeu qu'on peut autoriser les IP FR et pas les autres.

@Neo974 a raison : via ton ndd, l'adresse IP associée est celle de ta connexion internet, ce qui est normal compte tenu de la configuration du ndd.
Ce qu'il te faut @DarthNihilus , c'est un serveur DNS local qui va traduire ton ndd dans ton LAN en une adresse IP LAN.
Soit DNS Server (pas facile de configuration), soit un outil comme Adguard Home ou un pi-hole qui font serveur DNS local mais aussi vont te bloquer des publicités. Ces deux dernières solutions ne sont pas complexes à mettre en place, mais requiert de pouvoir utiliser Docker. Il me semble que Adguard Home peut s'installer sans docker, mais je ne sais pas comment. Pour pi-hole, aucune idée...
À toi de voir.


edit : L'autre solution, si tu as une IP fixe (internet), c'est d'autoriser cette IP dans le profil de contrôle d'accès.

 

[DarthNihilus]

Alors pour résumer ce que j'essaie de faire :

Mon pare-feu est paramétré pour accepter les connexions françaises sur le port 443, ce qui me permet d'accéder à ce que j'ai configuré dans le proxy inversé sans entrer l'ip de la machine avec le port correspondant (et sans avoir besoin d'ouvrir plusieurs ports côté box et pare feu).
J'aimerai limiter certains de ces accès aux machines en local tout en continuant d'utiliser ndd.fr. J'ai grâce à vous compris que autoriser les adresses locales dans le contrôle d'accès ne peut pas fonctionner car en utilisant ndd.fr, c'est mon ip publique qui est utilisée.
Le problème restait qu'en autorisant mon ip publique dans le contrôle d'accès, ça ne fonctionnait pas plus.

En fait il y a un test que je n'avait pas fait qui m'aurait permis d'identifier le problème ici : quand j'utilise ndd.fr sans contrôle d'accès, quel est l'ip qu'enregistre le NAS lors de mes connexions ? Il s'avère que c'est une ipv6 et pas une ipv4. Voilà pourquoi autoriser mon ipv4 publique dans le contrôle d'accès ne fonctionnait pas !

Maintenant à moi de voir comment autoriser une ipv6 (ou une bande d'ipv6 puisqu'elle n'est pas totalement la même pour tous les appareils sur le réseau), ou s'il faut que je désactive l'utilisation des ipv6 au niveau de la box (si c'est faisable). Et si de toutes façons mes ip publiques ne sont pas fixes, il faut que je me penche sur Adguard Home ou un pi-hole à ce que j'ai compris.

 

[Neo974]

tu veux dire que ton ip publique est en V6 ?
du coup normalement il faut demandera ton operateur de te donner une ip V4 full stack.

 

[DarthNihilus]

tu veux dire que ton ip publique est en V6 ?

Oui c'est une V6 qui s'affiche dans les logs de connexion.

du coup normalement il faut demandera ton operateur de te donner une ip V4 full stack.

Je regarde comment faire ça avec Bouygues, merci.

 

[Neo974]

le plus simple est d'appeller le service client et les expliquer que tu héberge des serveurs qui doivent etre accessible depuis l'exterieur et que pour ca tu as besoin d'une ip V4 dédié et non partagée.

 

[DarthNihilus]

Je me posait une question subsidiaire, sachant que la v6 devrait un jour totalement remplacer la v4, pourquoi ne pas configurer dès maintenant mes contrôle d'accès avec mon ipv6 au lieu d'aller demander une v4 dédiée ? Est-ce que les mises en garde de fenrir il y a 10 ans sont toujours d'actualités ou les FAI qui nous passent directement en ipv6 font plus attention niveau sécurité ?
Par exemple là je vois que ma box me donne une plage d'ipv6 (je ne sais pas si c'est un /64 ou un /60, il y a les deux infos sur l'interface d'administration), et donc chaque appareil à une adresse publique différente. Est-ce que si j'autorise le préfixe, je suis assuré qu'il n'y aura pas d'appareils extérieur à mon réseau avec le même préfixe ?

 

[Neo974]

Je ne connais pas comment l'ip V6 est gerer par ton FAI, le probleme est que beaucoup de site / service ne sont pas compatible ipV6 pour le moment, donc si tu met ton reseau local en ip v6 tu risque de ne plus avoir accès a tes sites favoris ( en fin je n'en suis pas sur a 100%).

Ensuite l'ip V6 exposera tout péripherique de ton réseau directement sur internet via une ip publique pour chaque équipement, si tu as des objets connectés mal protégés, cela fait une potentielles fuites d'informations privées.

 

[DarthNihilus]

Pour le coup je ne sais pas depuis combien de temps je suis en ipv6 sur l'adresse publique, et je n'ai pas le souvenir d'avoir eu des sites devenant inaccessibles. D'après ce que je trouve sur d'autres sites, l'ipv6 publique ne serait pas désactivable sur Bouygues en FttH, mais il y a bien un pare feu dédié. Par contre sur mes adresses locales, le DHCPv6 n'est pas activé, je suis toujours à communiquer avec les v4 à l'intérieur de mon réseau.

Moi ce qui m'embête quand même c'est sur le contrôle d'accès. Si j'accepte le préfixe donné par ma box, est-ce que je suis assuré que les connexions viendront seulement des appareils locaux. Ou alors est-ce que quelqu'un peut récupérer une adresse avec le même préfixe en étant à l'extérieur ? Peut être que la question est totalement bête mais avec la v4 vu que c'était une adresse = un réseau et pas un appareil ça me paraissait plus évident.

 

[Neo974]

Pour le coup je ne sais pas depuis combien de temps je suis en ipv6 sur l'adresse publique, et je n'ai pas le souvenir d'avoir eu des sites devenant inaccessibles. D'après ce que je trouve sur d'autres sites, l'ipv6 publique ne serait pas désactivable sur Bouygues en FttH, mais il y a bien un pare feu dédié. Par contre sur mes adresses locales, le DHCPv6 n'est pas activé, je suis toujours à communiquer avec les v4 à l'intérieur de mon réseau.

En fait tu es dans un mode hybride qu'on appelle IPv6 + IPv4 Gcnat
Cela veut dire que tu as une ip v6 dédiée et une ipv4 que tu partage avec d'autres abonnés de ton fai.
C'est pour cela que tu accède aux sites internet sans voir de différence.


Malheureusement je ne connais pas suffisamment les paramètres ipv6 pour répondre à tes questions.

 

[DarthNihilus]

C'est aussi ce que je comprend sur ce que j'ai trouvé à côté. À priori l'IPv6 "pur" pose encore beaucoup de problèmes pour l'avenir.

Malheureusement je ne connais pas suffisamment les paramètres ipv6 pour répondre à tes questions.

Aucun problème, la discussion m'a permis de comprendre plusieurs choses et tu as réussi à m'orienter dans ce que je dois continuer à étudier. Merci

 

[Neo974]

En général un coup de fil au service client en indiquant que tu as des serveurs que tu dois rendre accessible pour qu'ils font un rollback vers une ipv4 full.