Synology Livebox 7 Orange et NAT/PAT port 443

[daniel225]

Bonjour à tous,
Nouveau sur ce forum, je crée ce nouveau sujet. Désolé si ces questions ont déjà été traitées. J’ai fait des recherches, mais je ne trouve pas de réponse.

Je possède une Livebox 7 Orange et un NAS Synology DS225+. J’ai suivi à la lettre le mini-tuto de MilesTEG (merci à lui). Sur ma box, j’ai configuré le NAT/PAT afin d’ouvrir le port 443 pour HTTPS. (je n'ai pas ouvert le port 80 ni aucun autre ?)

J’essaie ensuite de me connecter à mon NAS depuis mon iPhone via les adresses suivantes :

• photos.mon-ndd.myds.me
• mon-ndd.myds.me
• dsm.mon-ndd.myds.me

Résultat : connexion impossible.

• Le fait d’utiliser mon iPhone, qui est sur mon réseau privé, peut-il engendrer ce blocage ?
• Ou, plus embêtant encore : j’ai contacté l’assistance Orange et une charmante dame m’a indiqué qu’il était impossible d’ouvrir des ports sur une Livebox 7 non Pro, même si l’on peut apparemment configurer le NAT/PAT sur la version « domestique ».

Avez-vous un avis sur ces questions ?
Merci pour vos retours.

 

[bliz]

impossible d’ouvrir des ports sur une Livebox 7 non Pro

cela me paraît étonnant, j'ai une livebox 4 ou 5 (je ne sais plus) et on peut aisément ouvrir les ports, à mon avis, c'est du marketing mensonger pour passer au pro

le problème doit se situé au niveau du parefeu si le routage est bien fait, si le parefeu du nas est activé, il faut ouvrir le port 443 dans le nas

 

[daniel225]

cela me paraît étonnant, j'ai une livebox 4 ou 5 (je ne sais plus) et on peut aisément ouvrir les ports, à mon avis, c'est du marketing mensonger pour passer au pro

le problème doit se situé au niveau du parefeu si le routage est bien fait, si le parefeu du nas est activé, il faut ouvrir le port 443 dans le nas

Voir la pièce jointe 19296

 

[daniel225]

cela me paraît étonnant, j'ai une livebox 4 ou 5 (je ne sais plus) et on peut aisément ouvrir les ports, à mon avis, c'est du marketing mensonger pour passer au pro

le problème doit se situé au niveau du parefeu si le routage est bien fait, si le parefeu du nas est activé, il faut ouvrir le port 443 dans le nas

Voir la pièce jointe 19296

Merci Bliz,

Voici les règles de mon pare-feu. Je pense que c'est OK sous ''HTTS,Reverse Proxy'' le port 443 est ouvert uniquement pour la France ? Est-ce vraiment OK ? je découvre toutes ces notions de réseau serveur/client et je suis vraiment dans le brouillard, je navigue à vue.

Par ailleurs J'ai vu dans ce forum que pour l'ouverture des port 443 et autres il n'y avait pas de soucis avec les livebox 4 et 5 mais que pour le 6 & 7 certains rencontrent des problèmes. Comme je l'ai mentionné dans mon premier post, ce qui m'étonne c'est que l'on a accès à la config NAT/PAT pour une livebox 7 non PRO ??? J'ai bien une adresse IP interne DHCP fixe pour mon NAS du style 192.168.1.xx, Je patine , d'autres configs sont elles nécessaires
sous l'interface Livebox ?

 

[bliz]

vous avez quoi exactement comme défaut ?

le certificat est il bon pour le https ?



par contre, ans le parefeu, je n'ai rien en https, tu peut éditer pour voir si c'est bon et l'afficher ici, car dans application, dans le parefeu, moi, je n'ai pas https

 

[daniel225]

vous avez quoi exactement comme défaut ?

le certificat est il bon pour le https ?

Voir la pièce jointe 19307

par contre, ans le parefeu, je n'ai rien en https, tu peut éditer pour voir si c'est bon et l'afficher ici, car dans application, dans le parefeu, moi, je n'ai pas https

Voir la pièce jointe 19306

Merci pour votre réactivité.
Pour info, si cela est utile, ma version de DSM est / 7.3.2-86009
Ci joint détails de mon certificat Synology LE:
je n'ai pas les mêmes applications :

 

[zypos]

Perso j'ai une Livebox 7 version1 (Wi-Fi 6 ) non Pro . Chez Orange toutes les Livebox fonctionnent pratiquement de manière identique . La fonction NAT/PAT de ma BOX fonctionne très bien . Par contre il semblerait que certain client Orange peuvent se trouver en IPv4 partagée (CG-NAT)
Ce n'est pas mon cas , mais à vérifier chez toi.

 

[daniel225]

Perso j'ai une Livebox 7 version1 (Wi-Fi 6 ) non Pro . Chez Orange toutes les Livebox fonctionnent pratiquement de manière identique . La fonction NAT/PAT de ma BOX fonctionne très bien . Par contre il semblerait que certain client Orange peuvent se trouver en IPv4 partagée (CG-NAT)
Ce n'est mon cas , mais à vérifier chez toi.

Merci Zypos pour cette info que je découvre. Ma box est je pense la V2 (Wi-Fi 7).
Je suis allé sur ton lien CG-Nat. Sur la copie d'écran Réseaux il y a la case CGN correspondante à cette mutualisation de l'IPv4.
Dans mon interface Livebox Réseau, je n'ai pas cette case.

Je viens de changer de box 6 vers 7 et mon adresse IP est restée la même, donc je ne devrai pas avoir ce soucis.
Sauf si maintenant Orange généralise ce CG-Nat sans en informer ses clients ? (nouveaux contrats particuliers vs pros ???)
Cette info est importante et à surveiller dans l'avenir.

Une question au passage :
Mon pare-feu livebox est configuré sur Moyen (recommandé par orange) C'est OK ou pas ?

 

[bliz]

Pour @zypos , cochez la case et faite enregistrer



je vient de vérifier, il m'a été désélectionner, je vient e le réactiver

Le certificat est actif, mais vous n'avez pas coché le https dans le parefeu, cochez le

vous avez donné l'accès à dsm par le net, ce n'est pas une bonne idée, moi j'y accède que par vpn

si vous utilisez un proxy inversé pour les application utilisez plutôt ceci :




puis vérifier que c'est activé au parefeu



et vérifier que le certificat est bien associé



et ceci avec toutes les applications

 

[daniel225]

@bliz merci pour tout ces conseils. J'ai bien coché le https dans le pare feu, c'était juste une copie d'écran pour indiquer les applications en ligne sur mon NAS.
je vais regarder de plus près pour DSM pour couper la liaison sur le net. Je ne testerai par la suite que l'accès à Photos ce qui est mon but principal pour les clients extérieurs familles, amis..... j'espère que je vais trouver pourquoi ça ne marche pas encore en repartant de vos exemples.

 

[bliz]

essayez d'abord d'ouvrir l'application dans un navigateur web (chrome par exemple), si ça fonctionne pas, il va donner un numéro d'erreur qui aide à trouver la panne

 

[daniel225]

Je vais regarder avec chrome pour ouvrir : photos.mon-ndd.myds.me (c'est bien correct comme domaine complet ? )
En continuant mes recherches je suis tombé sur cela dans accès externe > Configuration du routeur > Détecter l'information du routeur :
Remarque : Aucun routeur UPnP détecté.....
Est ce nécessaire de procéder à l'installation manuelle ? utile ou non ? je patauge.

 

[bliz]

En continuant mes recherches je suis tombé sur cela dans accès externe > Configuration du routeur > Détecter l'information du routeur :

avec la loivebox 4 ou 5, ça ne fonctionne pas, il faut le configurer manuellement sur la livebox

photos.mon-ndd.myds.me (c'est bien correct comme domaine complet ? )

oui, si c'est bien configuré, photos.nd.myds.me ouvre synology photo

 

[daniel225]

@bliz, encore merci pour votre aide.
Pour l'accès à uniquement Synology photos (changement port => reverse proxy = > 443) :
Je viens de placer une photo et créer un album sous synology/photos.

En local :
J’ai tapé : photos.ndd.myds.me => bloqué
J’ai tapé : https://photos.ndd.me => accès avec nom utilisateur et pw
Maintenant quand je tape plusieurs fois : photos.ndd.myds.me => accès avec nom utilisateur et pw (cache Safari vidé à chaque fois)
Pourquoi le fait d’avoir une fois taper https:// a débloqué l’accès ?
(J’ai l’impression de me loger de l’extérieur du LAN ? C’est bien ça)

En extérieur sur mon iPhone démarche :

J’ai tapé : photos.ndd.myds.me => bloqué
J’ai tapé : https://photos.ndd.me => accès avec nom utilisateur et pw
Maintenant quand je tape plusieurs fois : photos.ndd.myds.me => accès avec nom utilisateur et pw
Pourquoi le fait d’avoir une fois taper https:// a débloqué également l’accès ?

Maintenant en créant un lien sous synology/photo sur cet album du style :
https://ndd.myds.me/Photos/mo/sharing/E9XugJGbf
En copiant ce lien sur un mail. => accès à uniquement l’album pour clients extérieurs. c'est parfait


Pour l’UPnp idem je découvre je vais essayer de comprendre et de configurer si c’est obligatoire ?

 

[bliz]

Je ne connais pas safari, mais sur chrome, lorsque l'on met une adresse, le navigateur l'interprète comme du https, peut être que safari l'interprète comme du http

Je ne pense pas que l'upnp ddu nas sait gérer la livebox, les ouvertures de ports sur la livebox doivent être manuelles

 

[daniel225]

j'avais testé avec chrome, ça ne passait pas , et maintenant nouveau test c'est OK ??? Mystère.
Pour l'UPnP je pensait à celui de la livebox. J'ai bien ouvert je pense le port 443 (Nat/Pat). Une appli pour détecter l'ouverture des ports existe t elle ?

La charmante dame de l'assistance Orange dont je parlai sur le premier post m'a recontacté c'est après-midi. Elle devait confirmer ou non son affirmation de l'ouverture des ports uniquement sur la livebox Pro soit disant impossible sur la livebox particuliers. Elle me confirme un nouveau rdv tel avec un technicien le 23 après midi pour cette ouverture de port !!. Je vous tiendrai au courant de cette future discussion.

J'ai une autre question : de mémoire (lointaine, très lointaine) on pouvait créer un alias pour se loger sur une adresse IP locale , dans un truc genre /etc/hosts. C'est toujours possible , Sécurité ? car taper 192.168.1.xx:XXXXX c'est un peu lourd, un autre moyen du genre ''Nas'' pour entrer en local ?

 

[bliz]

alors, l'upnp sert a lorsque un appareil (pc-nas) demande une ouverture de port (comme avec les jeux pc et console), le pc ouvre directement le port sur la livebox le temps du jeux par exemple. LE nas ne fait pas ça avec la livebox, ça ne fonctionne pas, il faut ouvrir le port directement sur la livebox

rdv tel avec un technicien le 23

attention, c'est payant, ça sent le marketing pour la prime de noël e l'assistante au téléphone : https://www.orange.be/fr/support/de...it-le-technicien-orange-lors-de-linstallation

j'avais testé avec chrome, ça ne passait pas , et maintenant nouveau test c'est OK ??? Mystère.

si vous avez coché la case comme je vous l'ai dit, vous étiez peut être en cgnat (ip mutualisé) et peut être que vous êtes passé en unique possesseur de cette ip, donc tous les ports maintenant, vous pouvez y toucher contrairement à avant ou certains ports étaient destiné à d'autres personnes

Une appli pour détecter l'ouverture des ports existe t elle ?

si vous avez accès à l'application depuis l'extérieur, c'est que le port est ouvert, sinon, sur un anddroid, il y a celui-ci

net analizer – Applications Android sur Google Play

Profitez de millions d'applications Android récentes, de jeux, de titres musicaux, de films, de séries, de livres, de magazines, et plus encore. À tout moment, où que vous soyez, sur tous vos appareils.

play.google.com

( barres puis tools puis ports)

ou https://play.google.com/store/search?q=network+utilities&c=apps

et plein d'autres

J'ai une autre question : de mémoire (lointaine, très lointaine) on pouvait créer un alias pour se loger sur une adresse IP locale , dans un truc genre /etc/hosts. C'est toujours possible , Sécurité ? car taper 192.168.1.xx:XXXXX c'est un peu lourd, un autre moyen du genre ''Nas'' pour entrer en local ?

en local, le https avec une ip, ça ne fonctionne pas, mais sachez que la livebox (contrairement à d'autres boxe de fai) fait le loopback, ça veut dire qu'une fois le ndd bien configuré, ça fonctionne avec internet, mais aussi intranet, ddonc pas besoin d'alias ou je ne sais quoi

sinon, pour les alias, pour répondre a ta question, ça se passe ici :

 

[daniel225]

@bliz Merci pour toutes ces précisions.

-- Pour le technicien orange et le coté payant, je n'ai pas été prévenu, je vais vérifier.
Si c'est le cas je vais annuler. J'aurai bien aimé savoir ce qu'il avait à me dire.

-- Je ne pense pas être en Ipv4 mutualisé. Je n'ai pas la case dans mon interface Livebox RESEAU CGN.

-- J'ai testé dans le Terminal Mac le port 443 :
commande : nc -vz www.ndd.myds.me 443 ''Enter''
retour : Connection to www.ndd.myds.me port 443 [tcp/https] succeeded!
J'ai bon ?

-- Je n'arrive toujours pas à entrer dans le NAS avec le ndd en local.
Par contre c'est OK avec l'IP 192.168.1.XX:XXXXX.
Je passe à coté de quelque chose, mais quoi, ou je mélange tout ?
Je vais bientôt entrer dans le 4ème âge, c'est peut être l'explication.

-- Je vais regarder le coté ALIAS comme tu me le suggères

 

[bliz]

donc le port est ouvert, vous avez assayé en intranet ou à distance, ça a son importance surtout si sur votre parefeu, vous avez ouvert tous les ports en local comme dans le tuto

 

[bliz]

Je n'arrive toujours pas à entrer dans le NAS avec le ndd en local.
Par contre c'est OK avec l'IP 192.168.1.XX:XXXXX.

j'avais passé à coté, vue que je suis en couleurs sombre, le noir pour moi devient invisible

Si c'est l'accès à dsm par internet, que je déconseille fortement, il faut ouvrir le port sur la livebox et aussi l'indiquer sur le nas. Perso, je préfère y accéder par le serveur vpn du nas, ça évite aussi certaines failles. Sinon, ça se passe ici



chez moi, les ports ne sont pas ouvert sur la livebox, donc ça ne fonctionne pas

Sinon, vous pouvez utiliser le nom du nas, ddonc genre http://nom-du-nas:5000

nom du nas que l'on retrouve ici :