Synology Aide pour bloquer DSM de l'extérieur

Cron

Nouveau membre
27 Octobre 2024
8
0
1
Bonjour,

Voilà une bonne grosse journée que je suis dessus sans y trouver la solution. Je souhaiterais rendre DSM et uniquement DSM inaccessible sur internet mais pas les autres app (File Station / Audio Station / Drive etc.), j'ai une ip fixe et un ndd.ovh (j'ai bien un champ A qui redirige vers mon ip et un CNAME *.ndd.ovh)

Dans la situation ci-dessous tout fonctionne correctement mais la règle "Interface de Gestion" que j'ai mis en "Refuser" ne semble rien donner de l'extérieur lorsque je test en 4G car j'arrive à accéder à DSM. Si je décoche la règle "Web Station" correspondant au port 80 et 443, plus rien n'est accessible (ce qui est normal).

J'ai bien redirigé les ports 80 et 443 sur ma freebox.

Capture d’écran 2024-10-31 à 18.18.04.png

Je ne dirais pas non à un petit conseil pour rendre cela possible. Merci par avance.
 
Bonjour,

Je dirais que au lieu des services pré configuré, fait tes propres règles en utilisant les ports que tu as choisi.

Par exemple tu gardes les règles 1 a 3 puis tu autorise le port 443 et 80 et tu refuse le reste.
Ton NAS est connecté uniquement via l'interface 3 ?

Enfin lors de tes tests vérifie que ton téléphone n'est pas en 4g + wifi.


Tu peux aussi t'aider de la partie configuration du pare-feu de ce tutoriel
 
Hello Neo !

Merci pour ton aide et le lien du mini-tuto que je viens de lire attentivement et d'essayer d'appliquer, je t'avoue que je n'ai pas réussi à mettre en place le Reverse Proxy avec succès. J'ai toutefois, me semble t-il, trouvé la solution à mon problème même si j'ai un doute sur l'aspect sécurité de ce que j'ai mis en place, peut-être peux-tu m'indiquer si cela te semble normal ou non? Ou éventuellement des optimisations à faire.

Tout d'abord, je rappel que que j'ai IP Fixe et un ndd chez ovh, je souhaite fermer l'accès de DSM à internet (pour qu'il soit uniquement accessible en local) mais ouvrir l'accès à internet à certaines app synology (le reverse proxy semble bon pour pour Docker si j'ai bien tout compris)


J'ai ouvert ces ports sur ma freebox: (Destination -> ndd chez ovh)

Capture d’écran 2024-11-01 à 00.24.27.png

Ensuite, j'applique mes sous domaines, file.ndd.fr etc. sur les app que je souhaite rendre accessible sur internet, en indiquant le port personnalisé en HTTPS uniquement.

Capture d’écran 2024-11-01 à 00.16.38.png

Et voici mon pare-feu en autorisant l'accès aux ports personnalisés des apps :
(un petit doute sur l'utilité de laisser ou non les 2 régles que j'ai décoché)
Le NAS est sur le LAN 3, j'ai cru comprendre en lisant ici qu'il vallait mieux faire un profil par interface et non sur l'onglet toutes les interfaces.

Capture d’écran 2024-11-01 à 00.18.32.png


Si tout est bon, j'appliquerai la même méthode avec les autres app :)


EDIT:
Alors après vérification, ce qui est dommage c'est que j'ai plus accès aux apps sur internet par le biais de sousdomaine.ndd.fr comme je pouvais avoir avant avec les ports 443/80 ouverts et DSM accessible. Je dois désormais mettre ndd.fr:7001 (pour file par exemple) pour que cela fonctionne.
 
Dernière édition:
Alors après vérification, ce qui est dommage c'est que j'ai plus accès aux apps sur internet par le biais de sousdomaine.ndd.fr comme je pouvais avoir avant avec les ports 443/80 ouverts et DSM accessible. Je dois désormais mettre ndd.fr:7001 (pour file par exemple) pour que cela fonctionne.
Je n’ai pas trop suivi la discussion mais il semblerait que ton reverse proxy ne soit pas configuré correctement.
Reprends moi tuto depuis le début.
Ps : si tu utilises un autre nom de domaine que celui de Synology il faudra créer manuellement le certificat let’s encrypt, en mettant bien les sous domaines souhaités dans autre objet (pas sur de cette appellation…).
 
Je n’ai pas trop suivi la discussion mais il semblerait que ton reverse proxy ne soit pas configuré correctement.
Reprends moi tuto depuis le début.
Ps : si tu utilises un autre nom de domaine que celui de Synology il faudra créer manuellement le certificat let’s encrypt, en mettant bien les sous domaines souhaités dans autre objet (pas sur de cette appellation…).
Je n'utilise pas de reverse proxy ni de DDNS, j'ai un nom de domaine chez OVH. J'ai d'ors et déjà créé un certificat LE en y incluant les sous-domaines dans la case autre.
 
Je n'utilise pas de reverse proxy
Pour les applis Synology qui sont présente dans Portail de connexion / Applications , cela reviens à utiliser le reverse proxy avec le nom de domaine personnalisé .
Tu n'a que les ports 80/443 à ouvrir vers le NAS . Cela fonctionne très bien avec un nom de domaine OVH .
Pour l'accès à DSM si rien n'ai indiqué dans : Portail de connexion / DSM /Domaine . Tu ne devrais pas y avoir accès depuis l'extérieur.
Le but est de n'ouvrir que les ports 80/443 et de se servir du reverse proxy ou du portail de connexion pour rediriger vers le service choisi .
 
Pour les applis Synology qui sont présente dans Portail de connexion / Applications , cela reviens à utiliser le reverse proxy avec le nom de domaine personnalisé .
Tu n'a que les ports 80/443 à ouvrir vers le NAS . Cela fonctionne très bien avec un nom de domaine OVH .
Pour l'accès à DSM si rien n'ai indiqué dans : Portail de connexion / DSM /Domaine . Tu ne devrais pas y avoir accès depuis l'extérieur.
Le but est de n'ouvrir que les ports 80/443 et de se servir du reverse proxy ou du portail de connexion pour rediriger vers le service choisi .
Merci pour ces indications.

Du coup j'ai uniquement laissé les ports 80/443 vers le NAS sur ma freebox et j'ai enlevé mon nom de domaine dans Portail de connexion / DSM / Domaine (case vide) pour faire un test. J'ai toujours bien accès aux services via file.ndd.fr, photo.ndd.fr. Cependant je n'ai plus accès à DSM, ni sur internet (4G), ni en local via mon ndd (logique me semble t-il). Le seul moyen d'y avoir accès désormais c'est via mon IP: port https avec un message me disant que la connexion n'est pas privée.

Je pensais qu'en laissant mon ndd.fr dans la case Portail de connexion / DSM / Domaine et en refusant l'accès aux ports http/https de DSM, cela marcherait mais non.

Je ne comprends pas pourquoi la règle "Interface de Gestion" (correspondant à mon port Services Web DSM, http et https) n'est pas prise en compte alors qu'elle est activée. L'accès à DSM reste toujours ouvert de l'extérieur (test en 4G).
Capture d’écran 2024-11-01 à 12.35.41.png
 
Dernière édition:
Je ne comprends pas pourquoi la règle "Interface de Gestion" (correspondant à mon port Services Web DSM, http et https) n'est pas prise en compte alors qu'elle est activée. L'accès à DSM reste toujours ouvert de l'extérieur (test en 4G).
Capture d’écran 2024-11-01 à 12.35.41.png
Tu as quoi dans les autres interfaces ?
Est-ce que ton NAS est connecté à ton réseau avec un autre port que le LAN3 ?
 
Tu as quoi dans les autres interfaces ?
Est-ce que ton NAS est connecté à ton réseau avec un autre port que le LAN3 ?
Rien dans les autres interfaces.
Le NAS est connecté sur un switch (LAN3) Unifi avec un iMac sur le switch également, le switch est directement relié à la freebox.
 
Bonjour,

Après pas mal de recherches et de tests en tout genre, j'essaye toujours de trouver la solution la plus sécurisé à ce que je souhaite faire.

J'ai finalement installé le VPN Tailscale.

J'aimerais :
- Utiliser mon ndd.fr de chez OVH pour avoir accès à DSM et aux services (exemple: file.ndd.fr / audio.ndd.fr etc.) à l'extérieur, n'importe où, en 4G etc. via le VPN Tailscale.
- Utiliser le même ndd.fr de chez OVH pour avoir accès à DSM et aux services (exemple: file.ndd.fr / audio.ndd.fr etc.) en local ET sans devoir lancer Tailscale lorsque je suis chez moi.
- Fermer l'accès à tout en dehors des solutions ci-dessus.

J'avoue avoir du mal à mettre en oeuvre les 2 solutions en même temps.

Chez OVH, j'ai ajouté deux entrées A dans la zone DNS de mon ndd.fr, à savoir:
- 1 vers mon ip fixe
- 1 vers mon ip tailscale 100.XXX.XXX. (correspondant à mon nas synology)

et 1 CNAME
- *.ndd.fr vers la cible nas.tailnetnamequejaigénéré.ts.net

Dans DSM>Portail de connexion>Applications, j'ai ajouté un domaine personnalisé pour chaque service que je souhaite utiliser avec monduservice.ndd.fr

J'ai 2 certificats, 1 généré par le vpn tailscale avec nas.tailnetnamequejaigénéré.ts.net et 1 autre avec ndd.fr via LE

Dans Paramètres, j'ai sélectionné le certificat en fonction de ce que je voulais faire mais j'ai un gros doute si ça sert à quelque chose et si je fais bien:

service: ndd.fr --> certificat --> ndd.fr

Mon pare-feu est paramétré comme ceci avec un TOUS / TOUS / REFUSER à la fin. Rien d'autre.

Capture d’écran 2024-11-04 à 13.25.44.png

Et seul le port 443 est ouvert sur ma freebox.


Lorsque je me connecte en 4G (sans VPN), je n'ai accès à rien. Ca semble OK.
Lorsque je me connecte en 4G/Local (avec VPN), j'ai accès à ndd.fr ou file.ndd.fr
En Local (sans VPN), j'ai accès à ndd.fr mais plus à file.ndd.fr par exemple.

Si vous avez une solution, je suis preneur.
Est-ce également bon d'indiquer 2 entrées A à mon registrar pour faire cela ? et de jouer avec 2 certificats différents.
 
Dernière édition:
vous parlez de vpn et d'ouverture de port sur votre box, si vous utilisez un vpn, l'ouverture de port ne se fait pas sur la box, mais sur le vpn, et pour cela, le vpn doit faire du port forwarding, sans ça, c'est mort
 
vous parlez de vpn et d'ouverture de port sur votre box, si vous utilisez un vpn, l'ouverture de port ne se fait pas sur la box, mais sur le vpn, et pour cela, le vpn doit faire du port forwarding, sans ça, c'est mort
Alors je suis en partie d'accord mais si je ferme le port 443 --> nas de ma box, je n'ai plus accès à DSM en local via mon ndd.fr
 
utilise un vpn avec port forwarding et n'ouvre que les applications, ça évite l'accès direct à dsm, si vous voulez passer par dsm, rien n'empêche de changer le port de dsm dans panneau de configuration, accès externe, avancé. Si ovh fait du proxy inversé, alors l'utilisser pour dirigerr le port 443 vert le port ouvert

Mais là, le vpn rentre en conflit avec la box