Synology Accès sécurisé à Plex (Docker) sur NAS Synology avec VPN (port 443) actif sur le routeur

[Lhc]

Bonjour à tous,

Je cherche à sécuriser l’accès à mon serveur Plex installé dans un conteneur Docker (installation réalisée via le super tuto de @EVO ) sur mon NAS Synology, afin que mes proches et moi puissions lire le contenu de ma bibliothèque depuis l’extérieur de mon réseau local.

Contexte réseau

• Mon routeur Synology RT6600ax gère un VPN SSL sur le port 443 (indispensable pour l'accès à mon réseau local en externe et que je ne souhaite pas modifier).
• Mon NAS n’est pas ouvert vers l’extérieur, et son pare-feu est activé.
• Plex est installé dans un conteneur Docker sur le NAS.
• Aucun reverse proxy ou accès HTTPS externe n’est actuellement configuré pour Plex.
• Pour des tests, j’ai ouvert le port 32400 avec redirection sur le routeur, et Plex fonctionne très bien via ce port.

Objectif

• Pouvoir accéder à Plex de façon sécurisée depuis l’extérieur sans passer par le VPN (afin que mes proches puissent l’utiliser facilement).
• Maintenir un niveau de sécurité élevé sur Plex et le NAS.
• Améliorer la sécurité de l’accès par rapport au simple port 32400 exposé.

Contraintes principales

• Le port 443 externe est déjà pris par le VPN et ne peut pas être redirigé.
• Le NAS doit rester protégé par son pare-feu et ne pas être directement exposé sur Internet.

Question

• Quelle est la meilleure méthode pour rendre Plex accessible de façon sécurisée depuis l’extérieur dans ce contexte, sans toucher au port 443 du VPN ?

Merci d’avance pour vos conseils et retours !

 

[morgyann]

Bonjour,

Aucun reverse proxy ou accès HTTPS

Le NAS doit rester protégé par son pare-feu et ne pas être directement exposé sur Internet.

C'est ton choix de configuration.

• Cela veut dire que tu n'as pas de DDNS Syno, QuickConnect ou de NDD déclaré ?
• Tous les accès à tes machines (et routeur) se font en local (ex 192.168.1.20:5000) sauf pour le routeur via VPN ?
• Que ta box est en bridge (Free ?) donc désactivation du UPnP aussi bien pour la box que pour le routeur ?

Plex accessible de façon sécurisée depuis l’extérieur

Concernant Plex - qui est un logiciel propriétaire - l'accès extérieur (+ transcodage + utilisateurs supplémentaires + Tél portable ...) ne peut s'opérer qu'avec un Plex-Pass. As-tu souscrit à cet abonnement ? Aussi, tes proches devront être inscrit (gratuit sur Plex.tv) pour avoir un compte sur ton serveur (à mettre en mode Plex Home pour pouvoir profiter de tes avantages du PlexPass).



Aussi, l'accès à Plex peut toujours se faire automatiquement via l'adresse web (que tu ais ouvert un port spé ou pas) : https://app.plex.tv/



Pour que Plex fonctionne, il faut qu'il soit connecté à l'externe
1. soit en mode automatique via UPnP de ta Box ou routeur, ou
2. soit avec un NDD dédié (en 443) -> Accès à distance désactivé, ou



3. soit ce qui correspondrait à ta demande : ouvrir un port (au choix) sur ton routeur dédié à Plex ex : 27501



Puis, Activer l'accès à distance :



et, spécifier le port choisit (ouvert sur le routeur)



Et le tour est joué :



Je rappelle une fois encore que pour Plex, l'accès se fera toujours automatiquement via l'adresse https://app.plex.tv

façon sécurisée depuis l’extérieur sans passer par le VPN (afin que mes proches puissent l’utiliser facilement).

Si tu n'as pas de PlexPass - inutile d'aller + loin ou il faut que ton VPN permette de créer un (seul) compte dédié à tous tes utilisateurs (qui devront passer par ce VPN).

Si tu veux quelque chose de + sécurisé - il te serait sans doute + simple d'installer Jellyfin (tout gratuit : transcodage, compte utilisateur, tél portable ...) et de le mettre sur un Wilcard DDNS Syno (en 443) et d'utiliser un VPN en docker type WG-easy à mettre aussi sur un Wilcard (en 443).

 

[Lhc]

Bonjour,

Merci pour ton retour rapide et construit (c’est plaisant !)

Pour préciser mon contexte :
• J’ai bien un DDNS Synology sur le routeur (toto.synology.me), il est utilisé pour mon VPN SSL sur le port 443 via mon RT6600ax
• Tous mes accès se font soit en local, soit en VPN quand je suis à l’extérieur (pour le moment, car j’envisage d’ouvrir le port 6690 pour la synchro Synology Drive de mon PC)
• L’UPnP est désactivé (box et routeur)
• Mon routeur est en DMZ derrière ma box Orange
• Et j’ai bien un Plex Pass actif


Du coup, mon objectif reste le suivant :
• Permettre à mes proches d’accéder à Plex sans VPN, tout en gardant un bon niveau de sécurité


Concernant Plex, je comprends bien que :
• L’accès via https://app.plex.tv fonctionne même sans ouverture manuelle mais repose quand même sur une accessibilité externe du serveur
• Et donc en pratique, ça revient soit à ouvrir un port, soit à utiliser un reverse proxy / une autre solution équivalente


Là où j’ai un doute dans ta réponse :
Le port 443 n’est pas exploitable sur le NAS dans mon cas, car il est déjà utilisé par mon VPN SSL sur le routeur (je souhaite garder ce port exploitable pour mon VPN, car il est ouvert sur le pare-feu de mon boulot et de façon générale, dans la quasi-totalité des infrastructures réseau où je mets les pieds).

Ouvrir un port dédié (ex : 27501 ou 32400) fonctionne (j'ai pratiquer cette méthode pendant des mois) mais reste une exposition directe de Plex, ce que je cherche justement à sécuriser davantage (si possible). Je suis tout de même prêt à entendre que ça reste une solution fiable et sécurisée : c’est tout l’intérêt de mon post, avoir un avis objectif dans un premier temps et des recommandations sur les bonnes pratiques dans un second.


Du coup, ma vraie question serait plutôt :
• Est-ce qu’une solution type reverse proxy (sur un autre port externe que 443) avec HTTPS + authentification (voire couplée à un filtrage IP ou fail2ban) serait plus pertinente dans mon cas ?
• Ou bien existe-t-il une méthode plus propre (en tenant compte de ma situation qui j'imagine est loin d'être un cas isolée) pour éviter d’exposer directement le port Plex tout en restant simple pour des utilisateurs externes ?

Merci d’avance pour ton retour et les éventuelles interventions d’autres personnes (il est top ce forum!)

 

[morgyann]

Je ne suis pas un expert de la cyber sécurité - d'autres ici sont + calés que moi - cependant :

Ouvrir un port dédié (ex : 27501 ou 32400) fonctionne (j'ai pratiquer cette méthode pendant des mois) mais reste une exposition directe de Plex,

Plex est installé en Docker, je suppose en mode "host" il est donc dans cette config pas isolé de ton système NAS (contrairement au mode Bridge comme Jellyfin)
L'accès se fait via l'app Plex - app.plex.tv - en mode https - donc normalement sécurisé
Pour l'ouverture externe tu choisis le port que tu veux (et que tu peux changer à tout moment)
Aussi, que tu ouvres un port dédié vers le 32400 (du docker) ou que tu rediriges ce dernier vers un NDD en 443 = l'accès externe à Plex se fera toujours via https://app.plex.tv
Donc dans ton cas, le + simple reste d'ouvrir un port au choix vers Plex - en terme de sécu, je pense que ce sera du pareil au même

existe-t-il une méthode plus propre

En dehors du port dédié ou du NDD - je n'en vois pas d'autres pour Plex (identification obligatoire + app.plex.tv)