Synology [Mini-Tuto] Reverse-Proxy pour les applications natives Synology et applications extérieures

[morgyann]

Ce mini-tuto est un complément à celui de @MilesTEG (que vous devez suivre au préalable) – c’est une proposition d’alternative pour la configuration du Reverse-Proxy https://www.forum-nas.fr/threads/mini-tuto-création-dun-nom-de-domaine-synology-gratuit-utilisation-du-reverse-proxy-pour-les-applications-configuration-du-pare-feu-du-nas.18791/

Synology intègre dans son interface DSM la fonction de reverse-proxy (accès extérieur via un NDD ou un port spécifié en https) – pour l’accès au DSM ainsi qu’à ses Applications natives.

Vous pouvez donc configurer via les onglets dédiés (Panneau de Conf -> Portail de Connexion), l’accès externe à :

• DSM via un NDD (Nom De Domaine)
• Applications natives et développées par Synology (via NDD)
• Applications tierces et/ou Docker et/ou VM (Machine Virtuelle) et/ou installées sur d’autre(s) machine(s) de votre réseau local (via NDD).

Accès à DSM :

Vous devez dans un premier temps vous rendre à Panneau de Configuration -> Accès Externe -> Avancé

Vous indiquez les ports 80 et 443 ainsi que le NDD d’accès à l’interface : METTRE QUE LE NDD ET RIEN DANS LES PORTS ( je referais le tuto au propre d'ici peu)


Dans un second temps, Panneau de configuration -> Portail de connexion -> DSM

Vous indiquez les Ports http et https + votre nom de domaine (indispensable pour un accès local (via une adresse type 192.168.1.20 :5000) :


Voilà vous accédez à votre DSM directement en tapant uniquement votre NDD sur votre navigateur.

Accès aux Applications natives et développées par Synology (via NDD)

Vous indiquez simplement le NDD correspondant (pour un accès local, il vous suffit de cliquer sur l’icône de raccourci de l’app sur DSM).



Accès Applications tierces et/ou Docker et/ou VM (Machine Virtuelle) et/ou installées sur d’autre(s) machine(s) de votre réseau local (via NDD).

Pour les applications tierces ou docker installées sur votre nas – vous suivez le tuto de @MilesTEG référencé ci-dessus (en adaptant bien sûr ports et ndd correspondants).

Concernant les VM ou des apps installées sur des machines externes vous indiquez l’adresse locale attribuée à la machine (surlignage jaune).



Si toutes vos apps sont associées à des ndd (wildcard ou « sous-domaine »), vous n’aurez à ouvrir sur votre Box-Routeur que le port 443.

Je conseille aussi, de configurer le pare-feu dans un second temps – après avoir vérifier que vos apps fonctionnent bien en https://monapp.ndd.fr

 

[Igman]

Bonjour

Ca fonctionne en interne mais pas en externe. j'ai ouvert le port https de 443 vers mon nas 443 sur ma livebox et... ERR_CONNECTION_RESET

j'ai lu qlq part que Mode de connexion : Dual Stack pouvait poser problème ? je deviens fou !!

 

[morgyann]

Ca fonctionne en interne mais pas en externe.

Pour des apps Syno ou des apps docker ?

Au niveau "sécurité" les NDD sont bien certifiés + en correspondance avec le service ex: monapp.nas.fr = monapp.nas.fr

Il me sera compliqué d'envoyer (mettre à jour des captures d'écran) - mon Proxy Inversé est installé sur un autre serveur.

 

[Igman]

Pour des app syno (je débute hein ?) DSM et FILE (station)

J'ai trouvé les erreurs :
1- j'ai mis dsm.monsyno.synology.me dans domaine pour DSM (??)
2- sur la live box paramètres réseaux avancés dans l'onglet DNS j'ai rempli la case DNS avec "monsyno.synology.me" au niveau de mon Nas
3 ouvert correctement le port 443 Secure Web Server (HTTPS) (live box)
4- qlq restrictions au niveau du pare feu du NAS et voilà
5- je n'ai pas encore fermé les ports 45000 et 45001 (par exemple) pour l'acces au DSM sans reverse mais je pense que ca devrait le faire.

Merci pour tous ces tutos instructifs... en mettant les mains de la mélasse on progresse

La question est maintenant : quid des partages de fichier ? quel lien crée le nas ? Mon souhait est de créer un lien sans quickonnect et sans port visible ET accessible à tout ceux avec qui je le partage , je teste demain et je fais un EDIT

PS, si vous voulez des screenshots, n'hésitez pas.

 

[Igman]

Suite et fin (je ne peux pas éditer mon post précédent)

1-j'ai supprimé "dsm" dans le nom de domaine et ca fonctionne très bien

2-j'ai fait un reverse sur WebDav serveur pour monter des emplacements réseaux à l'extérieur (ma femme pour ne pas la citer) c'est nickel

3-Etonnement : le lien créé pour les fichiers partagés dépend non pas du portail dans lequel vous les avez créés (192.168.xxx ou monsyno.xxxx.xx) MAIS du portail depuis lequel on fait un CC pour le partager. exemple : si j'accède au file station (ou DSM) en interne mon lien (déjà) créé commencera par https://monnas.synology(par ex).me:xxxx/........... et xxxx correspondant au port interne du DNS==>> (aucune chance de partager quoique ce soit si le même port n'est pas ouvert en externe) et le même lien ressemblera à https://monnas.synology(par ex).me/........... si je le copie en accedant au Nas depuis l'exterieur https://monnas.synology(par ex).me

4- le pare feu du Nas m'a demandé de créer une règle pour accéder au DSM en interne (en cliquant sur le Nas dans les emplacements réseaux) et par défaut, il ouvre tous les ports externes (que j'ai limité à ceux en interne) alors que j'avais déjà tout ouvert en interne (?? je n'ai pas compris pourquoi ) La page web du serveur étant en interne 192.168.1.xx:xxxx (port interne du DSM)

Le trait noir est une règle supprimée

5-J'ai supprimé les règles de redirection de mon NAS sur la livebox (même WebDav)

Je ne sais pas si j'apporterai ma pierre à l'édifice, mais c'est mon retour d'expérience de débutant.

 

[zypos]

Ca fonctionne en interne mais pas en externe. j'ai ouvert le port https de 443 vers mon nas 443 sur ma livebox et... ERR_CONNECTION_RESET

J'ai également une Livebox et cela fonctionne très chez moi

2- sur la live box paramètres réseaux avancés dans l'onglet DNS j'ai rempli la case DNS avec "monsyno.synology.me" au niveau de mon Nas

Inutile , tu peux le supprimer , ce DNS sert à identifier les appareils sur le réseau local . Cela fonctionne assez mal sur les Livebox

La question est maintenant : quid des partages de fichier ?

Pour le partage de fichier cela peut poser pb si utilisation d'un nom de domaine personnalisé . Mais on peut éditer /modifier manuellement le lien fourni

 

[Igman]

2- Pour le DNS dans la livebox, j'ai fait tellement de bidouilles en même temps...que bon ca pouvait peut être aussi venir de là.

pour la partage des dossiers, ça ne pose plus de pb faut juste savoir par où on est rentré pour le copier (le lien créé diffère si on le copie en interne ou en externe). C'est déroutant quand on contrôle ses liens . Et oui, j'ai vu par la suite qu'on pouvait les modifier en les faisant pointer au bon endroit.

Merci d'avoir pris le temps de me répondre.

 

[Igman]

Ca y est, je redeviens fou !! Impossible d'acceder au DSM depuis mon tel mobile. ET JE N AI TOUCHE à RIEN !!

Lorsque que tape monNas.synology.me (depuis mon tel)>>>ERR_CONNECTION_RESET

Idem pour le Drive, MAIS DS File fonctionne (le tout depuis mon mobile). Plein le dos !

Si qlq un à une idée. Je suis preneur parce que, du coup, mes liens partagés ne sont plus accessibles depuis un mobile

 

[morgyann]

Si qlq un à une idée. Je suis preneur

Il te fau déterminer l'origine du problème :

1. Désactive le pare feu du nas et fais tes essais
2. Tu te connectes de quelle façon à DSM via un NDD/DDNS (seul) ou avec un port dédié ?
3. Pour Drive il te faut obligatoirement ouvri le port 6690

 

[zypos]

Pour se connecter via les applis mobile quand tu utilises les noms de domaine personnalisés , il faut indiquer 443 en fin d'URL ;
Apparemment les applis sont préconfigurer pour utiliser les ports par défaut
Pour DSfinder :toto.ndd.synology.me:443 , pour Drive idem : tu peux utiliser dans l'appli la même URL que pour DSfinder (avec le port 443) mais pour DS File je n'ai pas indiquer de n° de port et cela fonctionne chez moi.

 

[Igman]

1. Désactive le pare feu du nas et fais tes essais

Ca ne change rien

2. Tu te connectes de quelle façon à DSM via un NDD/DDNS (seul) ou avec un port dédié

Via DDNS seul : monNas.synology.me

3. Pour Drive il te faut obligatoirement ouvrir le port 6690

Sur ma box ? 6690 vers 6690 ou 443 vers 6690 (je l'ai mis en reverse, juste en ouvrant le port 443 ca fonctionne en sur un ordi)

Pour se connecter via les applis mobile quand tu utilises les noms de domaine personnalisés , il faut indiquer 443 en fin d'URL ;
Apparemment les applis sont préconfigurer pour utiliser les ports par défaut
Pour DSfinder :toto.ndd.synology.me:443 , pour Drive idem : tu peux utiliser dans l'appli la même URL que pour DSfinder (avec le port 443) mais pour DS File je n'ai pas indiquer de n° de port et cela fonctionne chez moi.

DSfile, j'ai indiqué le port (file.monNas.synology.me:443) ca fonctionne, mais lorsque que je crée un lien (pour partager un fichier) et que je le CC pour le partager, le lien renvoi sur ERR_CONNECTION_RESET lorsque la personne a qui je l'ai envoyé veut récupérer le fichier

Drive sans port fonctionne aléatoirement (https://drive.monnas.synology.me)

Jen peux plus de ce truc, j'ai parfois l'impression qu'il faudrait que je change de config à chaque fois que je fais un partage suivant le device et le reseau depuis lequel je fais le partage

EDIT : Tout fonctionne en WIFI en interne

EDIT 2 : ma tablette Android qui a une carte sim (même opérateur que mon tel) et WiFi coupé n'a aucun pb pour accéder au DSM

 

[morgyann]

Sur ma box ? 6690 vers 6690

Oui ouvrir à l'externe ce port (à l'intention du Nas)

(je l'ai mis en reverse, juste en ouvrant le port 443 ca fonctionne en sur un ordi)

En local ???

Ce port ne peut pas (et ne doit pas) être mis en Proxy inversé - c'est pour la fonction Drive Synchronisation (le port 6690)

Pour l'app en NDD (à mettre sur les apps Syno) est pour le Drive Cloud (que tu peux mettre en 443)

Attention : il ne faut pas doubler la fonction du Proxy Inversé concernant les apps Syno
- Soit tu indiques le NND au portail de connection des Apps (fonction intégrée à Syno)
- Soit tu le fais manuellement sur le tableau du logiciel du Proxy Inversé.

 

[Igman]

En local ???

En externe avec le reverse syno intégré. (Et maintenant que j'y pense en interne aussi, je n'ai pas parametré l'appli du bureau en 192.168....)

Attention : il ne faut pas doubler la fonction du Proxy Inversé concernant les apps Syno

En même temps ce n'est pas trop possible, le système dit que le nom de domaine est déjà utilisé

 

[morgyann]

(https://drive.monnas.synology.me)

ça c'est pour accéder au mode "cloud" (page collabirative)

file.monNas.synology.me:443

Au niveau de Panneau de Conf -> Sécurité -> Certificats
Les NDD correspondent bien aux services respectifs
ex drive.nas.fr = drive.nas.fr - photo.nas.fr = photo.nas.fr - etc

Si par ex drive.nas.fr = dsm.nas.fr (certif par défaut) cela dysfonctionnera (erreur de sécu)

Perso, j'avais mis files, photo et drive sur mon tél sur NDD - et sans port au bout (?) - et cela fonctionnait nickel ...

 

[Igman]

Je regarde ça et je te dis demain.

 

[zypos]

Si par ex drive.nas.fr = dsm.nas.fr (certif par défaut) cela dysfonctionnera (erreur de sécu)

A ma connaissance il n'y à pas de certificat SSL pour les sous-domaine avec un nom de domaine en synology.me . Si le nom de domaine en synology.me est le seul utiliser sur le NAS , le domaine et tous les sous-domaine se retrouve avec le certificat "maître" . On peut le vérifier dans Panneau de configuration / Sécurité / Certificat /paramètres

 

[morgyann]

il n'y à pas de certificat SSL pour les sous-domaine avec un nom de domaine en synology.me .

Oui effectivement - dans le cas d'un wildcard (syno ou autre) le sous domaine est rattaché au maitre *.monnas.fr
Dans mon cas, j'avais affecté des NDD perso à ces apps propriétaires Syno donc pas en wildcard.

@Igman les NDD (sous domaines DDNS) sont-ils des wildcard de Syno ?
ex : Pour DSM -> monnas.i234.me - certif mis par défaut pour les services DSM + le service *.monnas.i234.me (autorisation de wildcard)
Si tu as associé un service par ex files - il faut le valider en SSL comme par ex files.monnas.i234.me et ce certificat / service sera rattaché de fait à *.monnas.i234.me

 

[Igman]

Si tu as associé un service par ex files - il faut le valider en SSL comme par ex files.monnas.i234.me et ce certificat / service sera rattaché de fait à *.monnas.i234.me

Ils ne se valident pas automatiquement ? J'ai ça :



Et tout fonctionne sauf l'acces au DSM via mon tel en données mobiles (c'est OK en WiFi quel que soit le réseau). J'ai testé avec un Iphone en données mobiles et ça fonctionne. Le but n'est pas d'ouvrir le DSM avec un tél (c'est à peu près inexploitable) mais de faire le partage de connexion avec mon ordi pour avoir acces au Nas qui ne fonctionne pas non plus et je pense que c'est lié. Etonnamment cela fonctionne avec ma tablette (android aussi et même réseau mobile 5G) et même marque.
Clairement, je me demande si cela ne vient pas du tel. De plus, le lien généré pour le partage de fichiers est inopérant sur les autres tel Android

 

[zypos]

Ils ne se valident pas automatiquement ? J'ai ça :

Comme dit plus haut , le certificat qui est indiqué est celui du domaine maître en ndd.synology.me ; pour moi cela semble bon

Et tout fonctionne sauf l'acces au DSM via mon tel en données mobiles (c'est OK en WiFi quel que soit le réseau)

J'ai un peu de mal à comprendre , en Wi-Fi normalement tu es chez toi sur ton réseau local ,si tu utilise un autre WiFi extérieur cela devrais fonctionner

Le but n'est pas d'ouvrir le DSM avec un tél (c'est à peu près inexploitable) mais de faire le partage de connexion avec mon ordi pour avoir acces au Nas

Avec un partage de connexion , cela devrais fonctionner . Tu accède à ton NAS via un navigateur

 

[Igman]

Avec un partage de connexion , cela devrais fonctionner . Tu accède à ton NAS via un navigateur

C'est là que ca merde, je n'ai pas acces au DSM via le navigateur de mon tel en donnée mobile, mais j'y ai acces en wifi via le même mobile, e cet quel que soit le WIFI (chez mois, chez des copains etc...)

C'est incompréhensible. !

Via wifi :


Via données mobiles :


Avec la même adresse