Synology [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS

à la troisième ligne, je ne comprend pas pourquoi tu as ouvert le parefeu depuis l'ip 192.168.0.0 jusqu'à l'ip 192.168.255.255 !!!

de même pour les 2 premier

voici un calculateur de masque : https://cric.grenoble.cnrs.fr/Administrateurs/Outils/CalculMasque/

Pour webstation (port 80 et 443), ouvre le comme sur le nas 1, je ne suis pas sur qu'il prend seulement l'ip de redirection, elle devrait prendre celle du client (client extérieur exemple : france, usa, ect .... tous)
 
en fait avant que je mette en place ce RP, les parefeu de mes 2 nas étaient réglés pareil pour que je puisse accéder aussi bien de l'extérieur au calendrier de l'un que de l'autre, aux photos de l'un que de l'autre, etc. Je les "attaquaient" en direct car chacun a son nom de domaine.

Désormais est-ce que ça serait mieux que sur le nas 2 (pas celui sur lequel tourne le RP) je vire ces 3 premières règles trop ouvertes ?

ça fonctionne comment ce calculateur de masque ?
 
non, mais elles sont mal faite

si ton réseau va de l'ip 192.168.1.0 à 192.168.1.255

il faut mettre dans le parefeu pour qu'il couvre toutes ces ip :
ip : 192.168.1.0
Masque : 255.255.255.0

dans Adresse IP / Masque, tu rentre l'adresse du début, par exemple 192.168.1.0
la case en dessous, tu rentre le masque, par exemple 255.255.255.0

et voici le résultat :

Adresse Reseau = 192.168.1.0 Adresse Broadcast = 192.168.1.255 Masque de Sous-Reseau = 255.255.255.0 Masque Inverse (Wildcard)= 0.0.0.255 Nombre de Machines = 254 Premiere machine = 192.168.1.1 Derniere machine = 192.168.1.254 --------------------- OU ----------------- Premiere machine = 192.168.1.0 Derniere machine = 192.168.1.255
 
celle-ci en au point 3 va te déterminer le masque que tu dois rentrer

HobbesWorld - Calculatrice IP

Calculatrice IP : a partir d'un adresse IP et d'un netmask, vous pouvez recuperer l'adresse IP du reseau, du broadcast, ainsi que les differentes formes d'ecriture du masque reseau
www.hobbesworld.com www.hobbesworld.com
 
c'est parfait, tout fonctionne, aussi bien les RP sur le nas qui héberge ledit RP, que les RP vers le 2e nas.

Il me semble avoir lu quelque part dans ce post, que pour les connexions via les applis smartphone, il fallait rajouter dans l'url le port utilisé à la fin. Je ferai un test demain.

Merci beaucoup beaucoup à tous et en particulier à bliz et à MilesTEG1 !

J'aurai sûrement d'autres questions sur d'autres sujets :)
 
  • J'aime
Réactions: MilesTEG et bliz
balthazar a dit:
non il était fermé... j'ai fait ça comme règle dans le parefeu du nas 2, sachant que 192.168.1.108 c'est l'ip du nas 1.


Voir la pièce jointe 9332
Cliquez pour agrandir...

Il faudrait en effet ouvrir le port 443 sur ton deuxième NAS pour les IP FR.

bliz a dit:
Pour webstation (port 80 et 443), ouvre le comme sur le nas 1, je ne suis pas sur qu'il prend seulement l'ip de redirection, elle devrait prendre celle du client (client extérieur exemple : france, usa, ect .... tous)
Cliquez pour agrandir...
Je pense la même chose.
Sur mon NAS, si je n'ouvre pas le port 443 aux IP FR, je ne peux pas y accéder bien que ce soit le RP swag (qui possède sa propre IP) qui lui envoie le traffic.
Dans les en-têtes des requêtes WEB, il y a toujours l'adresse IP du demandeur, donc celle qui vient d'ailleurs, pas celle du RP ou du NAS.

bliz a dit:
non, mais elles sont mal faite

si ton réseau va de l'ip 192.168.1.0 à 192.168.1.255

il faut mettre dans le parefeu pour qu'il couvre toutes ces ip :
ip : 192.168.1.0
Masque : 255.255.255.0

dans Adresse IP / Masque, tu rentre l'adresse du début, par exemple 192.168.1.0
la case en dessous, tu rentre le masque, par exemple 255.255.255.0

et voici le résultat :

Adresse Reseau = 192.168.1.0 Adresse Broadcast = 192.168.1.255 Masque de Sous-Reseau = 255.255.255.0 Masque Inverse (Wildcard)= 0.0.0.255 Nombre de Machines = 254 Premiere machine = 192.168.1.1 Derniere machine = 192.168.1.254 --------------------- OU ----------------- Premiere machine = 192.168.1.0 Derniere machine = 192.168.1.255
Cliquez pour agrandir...
Alors, attention ici.
Trop restreindre les IP LAN c'est aller au-devant de quelques soucis si jamais la box change et/ou si la plage du DHCP change.
Il faut aussi penser aux réseaux VPN du serveur VPN qui peuvent aussi être dans une plage comme 192.168.10.x.

Moi j'aime bien ces deux sites pour calculer les masques de sous-réseau, car il y la version CIDR et la version avec le 255.255.x.x.
balthazar a dit:
Il me semble avoir lu quelque part dans ce post, que pour les connexions via les applis smartphone, il fallait rajouter dans l'url le port utilisé à la fin. Je ferai un test demain.
Cliquez pour agrandir...
Ça va dépendre des applications, mais en majorités, sur iOS, oui il faut préciser le port 443 parce que ça n'est pas le port par défaut.

Ce que je vais dire ensuite, est à prendre avec des pincettes, car mon RP c'est SWAG... pas le nginx de DSM, même si SWAG est un nginx quand même.
Il faut préciser le port pour ces applications (seules que j'utilise) :
  • DSFile
  • Photos
Mais pour celle-là, ça n'est pas nécessaire :
  • Drive

Et attention, pas de RP pour la synchronisation Drive... Et là, tu es marron si tu veux utiliser ça sur plusieurs NAS en même temps...
 
ça a l'air super pratique ces calculateurs que vous indiquez toi et bliz, sauf que je comprends pas comment ça fonctionne...
 
  • Haha
Réactions: MilesTEG
En gros, ce qu'il faut comprendre, c'est que le masque comprend 4 suite de chiffre, et que chacun deux correspond à chacun des suite de nombre des ip

Le masque va maxi avec le chiffre 255

donc, si tu rentre une ip 192.168.1.0
et un masque 255.255.255.253 255-253=2 tu ne peut utiliser ques les 2 ip 192.168.0.0 (ip que tu as fourni)+192.168.1.1
et un masque 255.255.255.0 255-0=255 tu ne peut utiliser ques les ip allant de 192.168.0.0 (ip que tu as fourni) à 192.168.1.255
et un masque 255.255.253.0 255-253=2 et 255-0=255 + tu ne peut utiliser ques les ip allant de 192.168.1.0 (ip que tu as fourni) à 192.168.2.255
et un masque 255.255.0.0 255-0=255 et 255-0=255 + tu ne peut utiliser les ip allant de 192.168.1.0 (ip que tu as fourni) à 192.168.255.255

Ce n'est pas la peine d'alourdir la réservation de table de routage en aillant 65025 ip possible (255*255 dernier cas), alors que dans le deuxième cas, vous avez la possibilité de connecter 255 appareils. là, avec 65025 ip, ça commence à être une entreprise moyenne, voir grande, et au dessus, c'est les entreprises internationale qui eux, utilisent des ponts (réseaux) en plus
 
Je commence à comprendre.
Je comprends surtout que ça sert à rien d'indiquer dans le pare feu un plage trop importante d'ip possibles, c'est ça ? Mais pourquoi ? Parce que si j'autorise des ip (je dis n'importe quoi) de 192.168.1.2 à 192.168.1.200, ça va obliger "je sais pas qui" à vérifier que l'ip qui demande l'autorisation de "rentrer" appartient bien à la place autorisée ;
alors que si je donne dès le départ comme plage autorisée ma plage d'ip restreinte, ça va moins surcharger le processeur ?

Désolé de m'exprimer aussi peu clairement :) mais ce sont pas des notions super familières pour moi.
 
c'est ça, lorsque l'on autorise l'ouverture d'un parefeu, c'est que l'on connait d'où ca vient.
Imagine qu'un virus prennent une ip en 192.168.3.20, il aura accès au nas, surtout si tu as laissé l'utilisateur guest, il aura acces à tous ce que guest peut voit (ça c'est la parti facile), après, il lui suffira d'une connexion vpn externe et op, pas besoin d'ouvrir des port sur la livebox, le vpn contourne tout ça.

bref, l'explication est un peu farfelu, mais la règle d'un parefeu, on ouvre que ce qui est obligatoire, donc pour une livebox, c'est :

192.168.1.0 et le masque 255.255.255.0, tu ouvre toutes les ip possible de la livebox, regarde le masque dans la livebox, rubrique
"Paramètres du serveur DHCP", le masque est 255.255.255.0
 
oui je comprends, et je peux que dire ok.
J'ai limité dans le dhcp de la livebox les adresses lan possibles à la plage 192.168.1.100 à 192.168.1.110. Ça veut dire qu'il faudrait idéalement que, en fonction de cette plage autorisée, je limite l'accès dans le parefeu du nas à ces ip LAN ? Le seul truc qui m'embête un peu là-dedans, c'est que mon NAS 2 a gardé un ip fixe en 102.168.1.34 que je lui avais attribué via l'adressage DHCP d'une ancienne Livebox, et il l'a gardé. Et comme il n'apparaît plus dans la liste des baux DHCP fixes, je ne peux pas le changer.
 
et pour avoir un parefeu absolument parfait, je me demande si je peux supprimer cette ligne, si je me trompe pas c'est pour la synchro horaire (elle est sur un de mes NAS uniquement, je sais pas pourquoi).

Capture d’écran 2023-06-18 à 19.59.00.png


merci !
 
Pour la livebox, tu peux laisser tout par défaut, ça evite de changer si il n'y a pas assez de place et 255 appareil connecté, c'est déjà pas mal

pour le nas 2, tu dois l'avoir passé en ip fixe sur le nas, normalement, si c'est en ip fixe sur le nas, l'appareil n'apparait plus dans Baux DHCP statiques, c'est pour cela qu'il vaut mieux le laisser en auto sur le nas (sauf si on veut utiliser un dns différent comme 8.8.8.8 ou 1.1.1.1)
Message automatiquement fusionné :

balthazar a dit:
et pour avoir un parefeu absolument parfait, je me demande si je peux supprimer cette ligne, si je me trompe pas c'est pour la synchro horaire (elle est sur un de mes NAS uniquement, je sais pas pourquoi).

Voir la pièce jointe 9335


merci !
Cliquez pour agrandir...
oui, on peut la décocher, c'est si vous voulez partager les synchro de l'heure sur internet, perso, je le fait qu'en intranet
 
ok c'est décoché pour la règle dans le parefeu, je m'en doutais un peu.

pour le nas 2, je me souviens vraiment pas lui avoir assigné son ip fixe via le nas lui-même, mais bon; je me dis que si ça fonctionne...

et pour la livebox, toi tu me conseille de plutôt laisser la plage d'adresses dhcp maximale, sans restreindre ?
 
oui, après, nous ne sommes pas dans le département informatique, il faut de la souplesse, ou alors, on va passer notre temps à modifier les paramètres

Perso, j'ai gardé par défaut

Capture d’écran 2023-06-18 223139.jpg


et pour le nas, fixer l'ip, c'est ici :


Capture d’écran 2023-06-18 223441.jpg

donc, chez moi aussi, elle n'apparait pas dans Baux DHCP statiques, car j'ai voulu prendre autre chose que les dns de orange qui filtre trop
 
oui, merci @bliz , c'est ce que j'ai dû faire quand j'ai paramétré ce NAS pour la toute première fois il y a quelques années : une ip fixe via le nas et non pas via la table des baux statiques de ma LB.
J'ai simplement (je crois) fixé une plage bcp plus restreinte dans la LB, je crois une dizaine d'IP, pas plus, car j'en ai pas besoin.
 
  • J'aime
Réactions: bliz
par contre je sèche pour mes contacts : avec la refonte complète de mon pare feu et la mise en place des reverse proxy, mes contacts iphone ne vont plus se synchroniser avec ceux du nas comme ils le faisaient avant. Et je n'arrive pas à trouver l'url à indiquer sur l'iphone pour importer ces contacts NAS.
 
même punition, accéder aux contact depuis l'extérieur avec un pc, mac, ect ...

1.png


il faut cliquer sur les 3 point verticaux de mes contacts
 
  • J'aime
Réactions: MilesTEG
oh m... j'aurais pu trouver... désolé ! :)

je vais regarder tout de suite si ça fonctionne !
 
  • J'aime
Réactions: bliz
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas