Synology Accès extérieurs au NAS, plusieurs solutions en même temps ?

M

Maracas

Nouveau membre
Membre Confirmé
17 Juin 2023
9
0
1
Bonjour,

Ayant acquis un NAS récemment pour des besoins professionnel et personnel, je viens vers vous pour quelque conseil avant de me lancer dans la configuration de celui ci.

Tout d'abord, ce NAS va servir :
- de stockage fichier, de photos et de vidéos traitées et bruts. (photos de famille et photos/vidéos professionnels)
- de centre de téléchargement, ayant réussi à installer et paramétrer NZBget, Sonarr et Radarr.
- de partage de fichier entre collaborateur.

Je dois y avoir accès en local sur MAC et Windows et je dois pouvoir y avoir accès depuis l’extérieur.


Je pensais tout simplement utiliser File station pour créer mes dossiers et stocker mes photos, est-ce réellement utile le paquet Synology photo ?

Concernant NZBget, Sonarr et Radarr, j'aimerai que NZBget télécharge à travers un VPN commercial. J’ai trouvé un tuto pour ça mais je me demande encore si tout le NAS sera sous ce VPN ou si uniquement NZBget (c'est une grosse inconnue, ça me questionne notamment pour le paramétrage du pare-feu... ou peut être que je mélange tout !)

Pour finir, j'ai besoin que des collaborateurs externes aient accès à un dossier (un par collaborateur) dans lequel ils pourront créer des sous dossier et déposer des fichiers. Il faut que cet accès soit sécurisé mais que ce pas trop compliqué non plus d'y accéder. En cherchant, j'ai d'abord trouvé la solution avec de DDNS mais finalement ce n'est pas si sécurisé, VPN c'est assez complexe pour leurs donner accès puis je suis tombé sur le reverse Proxy. N'était pas fin connaisseur, j'ai aucune idée de quelle solution serait la plus adaptée et sécurisée, help !


J’ai trouvé pléthore de tutoriels très bien fait sur ce forum et sur YouTube mais parfois les informations se contredisent (exemple, faut il ou non modifier le port par défaut 5000 et 5001 ? A priori pas). Après avoir épluché plusieurs solutions, plusieurs tutoriels, je m'y perds... Dois-je avoir une connexion à la fois DDNS pour les collaborateurs externes et une connexion VPN pour mes connexions à moi, depuis l’extérieur car mon compte me donne accès à la totalité du NAS dont le DSM ?



J'en appelle à vos lumières car j'aimerai bien faire et je suis à même d'appliquer un tutoriel mais je n'ai pas toutes les connaissances pour faire les bons choix de solutions.

Merci par avance !
 
File station pour créer mes dossiers et stocker mes photos, est-ce réellement utile le paquet Synology photo ?
Cliquez pour agrandir...
File station peux suffire mais Synology photo permet plus de souplesse surtout pour les accés externe.
Pour le reverse proxy : le but est de tout faire arrivé sur le port 443 du nas ; puis c'est le reverse proxy qui re-dispache la requete en interne .
exemple pour avoir accés aux photos je peux faire : photo.mondomaine.fr et accés au fichiers : file.mondomaine.fr
Il faudra créer un utilisateur par personnes utilisant le Nas ; mais tu peux les regrouper par groupe ayant les mêmme droits . Ensuite à toi de gérer les permissions : lecture seule ; écriture/lecture ; pas d'accés.
Pour les ports 5000 /5001 c'est l'accés par défaut à DSM . En plus de DSM : DS File ; DS photo utilisent par défaut le même port ; mais tu peux personnalisée ces ports via le portail de connextion . ( obligatoire si tu utilise le reverse proxy )
Pour la sécurité : Il faut césser d'avoir peur ( je sais qu'ici c'est un peu la mode ) . Il faut des règles de base : déactivé les comptes admin et guest .
créer un utilisateur " administrateur" . Si tu utilise un nom de domaine tiers tu sera peut-être moins impacté qu'avec un xxx.synology.me
 
Bonjour, je n'ai pas eu la notification de réponse pardon !
Merci pour ton retour

File station peux suffire mais Synology photo permet plus de souplesse surtout pour les accés externe.
Cliquez pour agrandir...
Plus de souplesse dans quel sens ? Pour le partage ou simplement pour la visualisation ?

Pour le reverse proxy : le but est de tout faire arrivé sur le port 443 du nas ; puis c'est le reverse proxy qui re-dispache la requete en interne .
exemple pour avoir accés aux photos je peux faire : photo.mondomaine.fr et accés au fichiers : file.mondomaine.fr
Cliquez pour agrandir...
C'est exactement l'idée que je me fais du partage en terme d'accès en terme d'URL, est-ce compliqué à mettre en oeuvre ?

Il faudra créer un utilisateur par personnes utilisant le Nas ; mais tu peux les regrouper par groupe ayant les mêmme droits . Ensuite à toi de gérer les permissions : lecture seule ; écriture/lecture ; pas d'accés.
Cliquez pour agrandir...
Oui c'est prévu, la gestion me semble plus simple ainsi.

Pour les ports 5000 /5001 c'est l'accés par défaut à DSM . En plus de DSM : DS File ; DS photo utilisent par défaut le même port ; mais tu peux personnalisée ces ports via le portail de connextion . ( obligatoire si tu utilise le reverse proxy )
Cliquez pour agrandir...
Donc en cas de reverse proxy, dans tous les cas ces ports seront changés ? Tout passera par le 443 c'est ça ? Et quand on préconise de sécuriser l'accès à DSM en l'autorisant qu'à un adminBis qui n'a que cet accès, c'est toujours conseillé dans ce cas ?

Si tu utilise un nom de domaine tiers tu sera peut-être moins impacté qu'avec un xxx.synology.me
Cliquez pour agrandir...
A vrai dire j'ai déjà un nom de domaine pour mon site internet, je peux l'utiliser pour remplacer .synology.me ?


Merci par avance
 
Bonjour @Maracas
J'ai fait un tuto pour ce que tu souhaites faire, mais avec un nom de domaine Synology.
Pour la partie reverse proxy et configuration du parefeu, tu pourras t'en servir même avec un nom de domaine autre que Synology.
En revanche, si tu veux un certificat Wildcard (valable pour ton-ndd.tld et *.ton-ndd.tld pour ton ndd, il faudra mettre les mains dans le cambouis du NAS... Car il n'y a pas de méthode simple...
Ce certificat wildcard est nécessaire pour utiliser nas.ndd.tld et photos.ndd.tld et tous les autres dérivés, afin qu'ils soient tous protégés par le même certificat.
Il y a deux solutions de contournement que tu peux mettre en place dans DSM :
  1. Si tu n'as pas beaucoup de domaines à créer (j'entends par là vraiment quelques-uns, comme 2-3 aller 4-5...). Tu peux créer un certificat pour chacun. Ça fonctionnera très bien, mais ça sera fastidieux à configurer, et à paramétrer pour les services.
  2. Tu peux aussi placer tous tes domaines dans la case "Autre nom de l'objet" (voir capture ci-dessous). Mais il y a deux soucis :
    • Niveau sécurité c'est bof car tous les domaines apparaissent dans le certificat en clair. Donc en examinant le certificat, on peut voir tous les autres domaines accessibles que tu possèdes.
    • Ensuite, la case est limitée en nombre de caractères... donc si tu as pas mal de domaines, tu ne pourras pas tous les placer ici. (je le sais par exépérience...)
    Ce sont ces deux points qui m'ont fait passer à une autre solution, plus complexe, mais beaucoup plus pratique à l'usage et sécurisée.
    1687502177187.png
Voilà, dit nous si tu veux tenter une méthode plus complexe pour avoir un certificat *.ton-ndd.tld & ton-ndd.tld.
 
Bonjour @MilesTEG1

Merci pour ta réponse. J'ai commencé par suivre ton mini-tuto et malgré l'avoir suivi à la lettre, impossible de me connecter via le partage de connexion de mon téléphone (donc la 4G, connexion externe au LAN) :
ERR_CONNECTION_RESET

Une idée ?
Merci


EDIT :
Dans mon souhait de partager des collaborateurs des fichiers, j'avais dans l'idée de :
- Créer un dossier partager "Société"
- Créer dans le dossier "Société" plusieurs sous dossier "Marie" ; "Jacques" ; "Arthur" ...
- Donner accès à Marie uniquement son sous dossier "Marie"

J'ai beau chercher, je ne trouve pas l'information si cela est possible ou pas..
 
Dernière édition:
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas