UGREEN Accès à distance : Ugreen Link ? DDNS ? Tailscale ?

  • Vague de SPAM

    Suite à une vague de spam sur le forum, les inscriptions sont temporairement limitées.

    Après votre inscription, un membre de l'équipe devra valider votre compte avant qu'il ne soit activé. Nous sommes désolés pour la gêne occasionnée et vous remercions de votre patience.
CyberFR a dit:
Si tu veux te simplifier la vie, force l'IPV4 sur le NAS UGREEN. À la place de l'enregistrement AAAA chez Infomaniak crée un enregistrement AAA. Après il suffit d'ouvrir le port 443 qui est sécurisé dans le firewall et éventuellement le port 80 suivant la façon dont tu accèdes au NAS mais le port 80 n'est pas ouvert dans le firewall chez moi par mesure de sécurité.

Tu peux appliquer ce qui figure dans la copie d'écran ci dessous. Tu ne seras pas dépaysé puisque tu possèdes 2 NAS Synology :)

Les deux premières règles autorisent des adresses IPV4 locales, la troisième autorise le trafic IPV6 local, la quatrième le trafic VPN.

Je ne sais pas comment le firewall se présente chez UGREEN mais n'oublie surtout pas d'ajouter une règle qui bloque tout accès pour les ports qui ne figurent pas dans le firewall.

Pour l'instant je te recommande d'oublier Taliscale et de te concentrer sur les problèmes d'accès au NAS. Tu peux y accéder par son IP locale définie au niveau de la box Internet.

Voir la pièce jointe 17328
Cliquez pour agrandir...
Hello
Merci pour ton message.
Pour Tailscale, je suis d'accord, je verrai cela après. Step by Step...
Ok pour appliquer stricto sensu ce qui et dans ton image partagée, mais j'aime bien aussi comprendre et jej ne pige pas tout.
j'ai néanmoins quelques petites interrogations !

Dans l'image jointe, a quoi correspond l'IP de la première ligne 172.16.0.0 et le masque 255.240.0.0 ? Qu'est ce ca vient faire dans mon cas ?
je suis bien allez voir ici https://www.hobbesworld.com/reseaux/netmask.php mais je ne pige pas plus, même si j'ai lu que 176.16.0.0 est réservé pour les adresses privées et donc j'imagine que 255.240.0.0. est donc son masque ?! Mais perso , je n'ai pas d'IP commençant par 176 sur mon LAN.
La tu dois te dire, purée, y'a du boulo, le vieux n'est pas à la page ! 😂

Pareil pour les IP 10.0.0.0 ! ? réservées aux IP locales.
et pour le VPN, je suis chez Mullvad mais les IP ne commencent pas par 10...?
j'avoue être perdu.

et pour "Je ne sais pas comment le firewall se présente chez UGREEN mais n'oublie surtout pas d'ajouter une règle qui bloque tout accès pour les ports qui ne figurent pas dans le firewall.", je vais essayer et donc je bloque tout sauf le 443, si j'ai bien compris ?
dans ce cas la ligne avec le port 80 revient a mettre tous les ports en refuser et la ligne suivante d'ouvrir le 443..
D'ailleurs je crois me souvenir que l'ordre des règles à son importance , non ?
 
Dernière édition:
Hello,

1 - 172.16.0.0 - 255.240.0.0 sont la plage d'adresses des conteneurs docker.
docker.png
2 - 10.8.0.0 - 255.255.255.0 sont la plage d'adresses pour les VPN installés sur ta machine (OpenVPN-WireGuard..)

3 - la règle à ajouter en dernier est la suivante :

firewall.png

ou de cette manière si le firewall UGreen le permet :

firewall2.png.
4 - L'ordre d'exécution est de la 1er à la dernière, tout ce qui est avant la dernière est ouvert sur le Nas.

5 -Ne pas oublier de rajouter son Lan 192.168.x.x - 255.255.255.0 pour ne pas s'auto-bloquer une fois le firewall activé.

Après pour le reste, n'étant pas utilisateur Tailscale, je ne pourrais pas t'aider. ;)
 
Dernière édition:
  • J'aime
Réactions: CyberFR
lacouelle a dit:
Dans l'image jointe, a quoi correspond l'IP de la première ligne 172.16.0.0 et le masque 255.240.0.0 ? Qu'est ce ca vient faire dans mon cas ?
je suis bien allez voir ici https://www.hobbesworld.com/reseaux/netmask.php mais je ne pige pas plus, même si j'ai lu que 176.16.0.0 est réservé pour les adresses privées
Cliquez pour agrandir...
Si tu changes de FAI cela t'évitera de te demander pourquoi le firewall ne fonctionne plus car ce dernier peut attribuer les adresses locales sur cette plage. D'autre part, comme indiqué par @PackTu, c'est la plage utilisée par Docker quand des applications ont besoin de se connecter sur un site externe. Mon NAS utilise donc actuellement les IP locales gérées par Free (en 192.X.X.X) et les IP locales internes de Docker (en 172.X.X.X).
lacouelle a dit:
Pareil pour les IP 10.0.0.0 ! ? réservées aux IP locales.
et pour le VPN, je suis chez Mullvad mais les IP ne commencent pas par 10...?
Cliquez pour agrandir...
On ne parle pas des fournisseurs de VPN comme Mullvad, NordVPN et autres mais des VPN gérés par le NAS dans grâce au paquet Synology "VPN Server".
lacouelle a dit:
dans ce cas la ligne avec le port 80 revient a mettre tous les ports en refuser et la ligne suivante d'ouvrir le 443.
Cliquez pour agrandir...
Ce n'est pas le cas et @PackTu t'a répondu sur ce point. La règle sur le port 80 existe dans mon firewall (et cela peut sembler étrange a priori) parce que j'ai besoin d'ouvrir ce port lors du renouvellement des certificats Let's Encrypt. Donc plutôt que d'avoir à créer une règle qui ouvre le port 80 à chaque fois puis à la supprimer je bascule simplement la règle en "autoriser", procède au renouvellement puis la rebascule en "refuser".
.
 
J'aurai pratiqué de manière inverse.
j'aurai désactivé le firewall du nas et fait tes configs comme tu le souhaites, soit vpn, soit tailscale.
Ensuite, j'aurai activé le firewall du nas. Car comme ca, tu sais que ta config fonctionne et que si ca ne fonctionne plus une fois le firewall activé, eh bien ca vient de là.

Mais....pkoi activer le firewall du nas, si tu ne t'y connectes que depuis un vpn ou tailscale ? il ne fera rien de plus en fait.
 
Merci messieurs
Intéressant tout ça, mais je vais attendre d être devant les bécanes car pour le moment je suis en distant, sur smartphone , c’est pas le plus simple pour gérer
 
CyberFR a dit:
Si tu veux te simplifier la vie, force l'IPV4 sur le NAS UGREEN. À la place de l'enregistrement AAAA chez Infomaniak crée un enregistrement AAA. Après il suffit d'ouvrir le port 443 qui est sécurisé dans le firewall et éventuellement le port 80 suivant la façon dont tu accèdes au NAS mais le port 80 n'est pas ouvert dans le firewall chez moi par mesure de sécurité.

Tu peux appliquer ce qui figure dans la copie d'écran ci dessous. Tu ne seras pas dépaysé puisque tu possèdes 2 NAS Synology :)

Les deux premières règles autorisent des adresses IPV4 locales, la troisième autorise le trafic IPV6 local, la quatrième le trafic VPN.

Je ne sais pas comment le firewall se présente chez UGREEN mais n'oublie surtout pas d'ajouter une règle qui bloque tout accès pour les ports qui ne figurent pas dans le firewall.

Pour l'instant je te recommande d'oublier Taliscale et de te concentrer sur les problèmes d'accès au NAS. Tu peux y accéder par son IP locale définie au niveau de la box Internet.

Voir la pièce jointe 17328
Cliquez pour agrandir...

Hello
désolé pour le retour plus que tardif, comme je suis rentré il n'y a pas tres longtemps et j'ai du géré un souci sur l'imprimante 3D entre autres.

Alors, je n'ai pas de service AAA mais soit A soit AAAA, c'est presque comme l'andouillette mais sans l'aligot ou sans moutarde de dijon...Ca y est jai la dalle.

donc j'ai essayé A en ipV4 et AAA en IPV6...bon ca ne marche pas...c'est normal , je ne savais pas quel port ouvrir.
Allez j'y vais je vais tenter !

Bon j'ai tenté sur le 443...sans succès.
J'ai jeté un coup d'oeil sur l'appli Ugreen /connexion de l'appareil / nom de domaine perso, et j'ai vu en tout petit qu'il etait indiqué ,non pas 443 mais 9443 !

C'est pareil nativement chez vous ?

et parebleu, ca a fonctionné avec une https://.....:9443 :D
 
Dernière édition:
Salut tout le monde,
Je me demandais si quelqu’un ici avait déjà testé d’installer Headscale directement sur son NAS ? J’aime bien Tailscale pour sa simplicité, mais le truc qui me bloque, c’est que ça passe par les serveurs externes de Tailscale. Du coup, je préférerais garder tout sur mon serveur perso avec Headscale.


Si quelqu’un a des retours d’expérience, des conseils ou des pièges à éviter, je suis preneur !


Merci d’avance 😊
 
  • J'aime
Réactions: Stephane_974
Stephane_974 a dit:
@Zindien974 Bonjour je vais me pencher sur la question d'ici quelques jours en attendant qu'il y est de retour ...

Bonne journée a tous
Cliquez pour agrandir...

Zindien974 a dit:
Merci à toi par avance, pour info j'ai aussi le nas UGREEN DXP4800 plus.
cdlt
Cliquez pour agrandir...
Je crois qu'il y a quelqu'un ici qui a parlé de Headscale.Jaime bien le principe de l'autohebergé (comme pour matrix.org d'ailleurs), mais je ne me sens pas de faire de la maintenance non plus...
Tailscale c'est qd meme un quasi no-brainer....si il pouvait y avoir la meme chose en France, ou en, Europe, n'en déplaise à la hyène, ca me plairait bien.
Je veux bien regarder aussi si besoin pour aider avec qu'un mais les réseaux, c'est pas mon truc du tout.

Ah non ,ce n'est pas ici que j'en ai discuté , ca y est je me souviens ....c'est un groupe sur discord.
je vais aller demander
 
Zindien974 a dit:
Salut tout le monde,
Je me demandais si quelqu’un ici avait déjà testé d’installer Headscale directement sur son NAS ? J’aime bien Tailscale pour sa simplicité, mais le truc qui me bloque, c’est que ça passe par les serveurs externes de Tailscale. [..]
Cliquez pour agrandir...

Bonjour Zindien,

Pourquoi est-ce un souci ? À ce que j'ai compris, je crois que les serveurs ne sont là que pour créer des tunnels Wireguard entre chaque paire d'appareils connectés sur notre «tailnet» et gérer les autorisations et la sécurité; je ne crois pas que les données y transitent.

Mais pour répondre à la question, il y a l'excellente chaîne IT-Connect, avec le youtubeur Florian, qui a installé Headscale avec Docker sur son NAS (mais un NAS Synology). Le document d'accompagnement de sa vidéo est ici: https://www.it-connect.fr/nas-synology-installer-un-serveur-headscale-avec-docker/ et sa vidéo se trouve là:

 
Marino a dit:
Bonjour Zindien,

Pourquoi est-ce un souci ? À ce que j'ai compris, je crois que les serveurs ne sont là que pour créer des tunnels Wireguard entre chaque paire d'appareils connectés sur notre «tailnet» et gérer les autorisations et la sécurité; je ne crois pas que les données y transitent.

Mais pour répondre à la question, il y a l'excellente chaîne IT-Connect, avec le youtubeur Florian, qui a installé Headscale avec Docker sur son NAS (mais un NAS Synology). Le document d'accompagnement de sa vidéo est ici: https://www.it-connect.fr/nas-synology-installer-un-serveur-headscale-avec-docker/ et sa vidéo se trouve là:

Cliquez pour agrandir...
Bonjour Marino, j’ai regardé la vidéo de IT-Connect, mais sur le NAS Ugreen, il n’y a pas de reverse proxy intégré comme sur Synology. Je suis bloqué à ce niveau : j’ai déjà installé Nginx et cela fonctionne en local. Mon but est d’accéder à certains de mes containers depuis l’extérieur, sans utiliser de DDNS gratuit ni acheter de nom de domaine
 
Bonjour a tout le monde et merci pour toutes ces informations.

Bon voici une question ;

Je suis en mesure d'avoir acces a l'interface de mon NAS Ugreen via mon nom de domaine (sousdomaine.domaine.ovh) depuis un navigateur internet.
Parcontre impossibe d'etablire la connexion depuis l'exterieur via l'application Ugreen. Avez vous une idée ? Je ne desire pas utilisé le UgreenLink.

Si vous avez des idées . Merci d'avance
 
@Frank-Pomme, merci pour ta réponse.
J'utilise un Reverse Proxy afin de n'exposer que le port 443 de ma box. Tout passe part ce port et c'est le reverse qui transfert en direction du port local suivant l'adresse demandé.
J'ai vérifié et oui, le port est ouvert. Je suis en mesure d'avoir acces a l'interface de mon nas sur un navigateur, via cette adresse : nom.nom.ovh, et impossible via l'application de Ugreen.
 
Je pense que c'est normal, il me semble que l'application passe que sur une ip local du réseau
 
hello
Bon, j'ai finalement réussi à installer Nginx proxy manager en suivant ce post https://www.forum-nas.fr/threads/mi...niveau-intermédiaire.17834/page-3#post-176294. et aussi le post de marius hosting.

Entre temps j'avais crée des sous-domaines chez duckdns et infomaniak via l'ajout d'enregistrement CNAM pour accéder ma box, mon NAS pour commencer.

J'ai aussi ajouté le support DDNS dans le panneau de config du NAS en mettant celui du duckdns.org, et l'état est vert , sur normal.

Les adresses monnas.duckdns.org et monnas.mondomaine.fr fonctionnent à partir du moment ou j'y ajoute le port 9443 dans l'url, ca marche d'ailleurs aussi avec le 9999. Sinon, je tombe sur ma B&You.
c'est donc pour éviter de me souvenir des ports que j'ai installé Nginx. c'est bien à ca que ca sert n'est ce pas ?!

Sur ma B&You les NAT sont bien faites et fonctionnelles, car j'ai testé plusieurs scénarii en désactivant soit les NAT et là ca bloque de suite, soit en refusant le port 80 du firewall du NAS avec les NAT activent. un check sur un port forwading tester me confirmait l'ouverture ou fermeture du port.
voir les 2 print-screens ci dessous.

le print screen Nginx ci dessous montre que monnas.duckdns.org devrait forwarder en http sur 192.168.1.212 (mon nas) sur le port 9999 et j'ai bien le letsencrypt en vert. j'ai aussi essayé en https sur le 9443.

monnas.duckdns.org:9443 ou 9999 ok
monnas.mondomaine.fr:9443 ou 9999 ok

monnas.duckdns.org > je tombe sur l'UI de la B&You alors que j'ai aussi le DDNS actif sur le NAS.
monnas.mondomaine.fr > je tombe sur l'UI de la B&You
le DDNS du NAS pointant sur duckdns.org ne semble pas fonctionner puisque je n'ai rien en retour.

j'ai aussi ajouté ces domaines autorisés dans Pihole.

Je ne pige pas ou je merdouille soit sur la config du nas , soit les NAT de la B&You, ou soit sur Nginx.

ma b&you
Capture d’écran 2025-10-06 à 13.39.29.png

Monnas firewall
Capture d’écran 2025-10-05 à 08.02.50.png


Nginx - Proxy host
Capture d’écran 2025-10-06 à 13.52.09.png


NAS : parametres du portail / service web

Capture d’écran 2025-10-06 à 14.03.00.png
 
bon , c'est bon j'ai trouvé.
En fait pour les certificats ssl c'était mes pihole sous unbound qui me mettait en internal error. et donc en changeant le dns , j'ai obtenu tous les certificats pour les proxy hosts.

Pour les proxy-host, c'est le truc en le siege et la machine, c'est à dire moi, qui avait mal compris et je m'embrouillais entre le ddns chez coincoin et les sous domaine chez infomaniak

j'ai réussi à faire fonctionner tout ca ; chez Infomaniak ou se trouve mon domaine, j'ai donc créé des CNAME par exemple monnas.mondomain.fr qui pointent sur la cible ,c-a-d mon-ddns.duckdns.org

ce que je faisais et qui ne fonctionnait pas : créer mon-ddns.duckdns.org puis monnas.duckdns.org les 2 pointant sur mon IP Publique.
puis sur npm , mon proxy-host etait monnas.duckdns.org qui pointait sur mon IP_Lan_NAS sur le port 9443....un gentil petit merdier, mais j'apprends, ok pas vite !

ceci dit , j'ai vu chez infomaniak qu'il avait maintenant le service ddns...ca existait peut etre avant, mais je ne l'avais pas vu...
Bref...
 
Dernière édition:
@PackTu @CyberFR
ci dessous le firewall de mon DXP.
j'ai bien compris qu'il fallait bloquer le port 80 pour ne pas l'exposer.
ceci dit, quand je le ferme , et bien mon je n'ai plus accès à mes proxy hosts définis dans le ngnix proxy manager qui écoute ce port.

Donc je fais comment ? y' qd meme un truc qui m'échappe
yCapture d’écran 2025-10-07 à 15.38.19.png
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour