Synology Aide pour connexion à distance

[Bouyaka]

Bonjour,

Je viens vers vous car je souhaiterais mettre en place mon NAS pour un accès principalement distant, l’accès local ne serait que pour l’administration. Pas de streaming, de download ou autre chose. Vraiment un accès familial.

Je suis sous environnement Apple (MacOS & iOS). Ma box/routeur vient de chez Bouygues (Full Stack, IP Fixe d’après le technicien, ma box ne semble pas gérer le LoopBack). Pas de routeur supplémentaire entre la box et mon ordinateur.

Voici ma situation :
- à domicile je me connecte en 192.x.x.x.
- pas de QuickConnect.
- @ddns + certificat LE normal
- actuellement dans le pare-feu de mon NAS j’ai restreint les accès aux @IP 192.168.1.0/255.255.255.0, 172.16.0.0/255.240.0.0 et 10.0.0.0/255.0.0.0.

Je cherche à avoir accès à mon NAS depuis l’application mobile Drive + le navigateur (pour le moment je souhaite pas installer l’application de bureau). Pas d’autres souhaits d’applications car Drive gère tout ce que je souhaite d’un seul tenant.

Actuellement mon pare-feu empêche les accès externes.
J’ai donc installé OpenVPN mais je n’arrive pas à avoir accès à mon NAS.

Le fichier .conf OpenVPN pointe sur mon @ddns Synology.me.
En rentrant mon @ddns dans l’application, rien ne se passe.

Comme je n’ai pas de LoopBack sur ma box, ni de Server DNS ni Reverse Proxy, je tourne donc en rond.

Je viens de lire le tuto de @MilesTEG Ici (merci beaucoup) et je me demandais :
- puis-je avoir accès depuis le WAN à mon LAN en sécurité ? Cela ne va-t-il pas me faire tourner en rond vu que je n’ai pas de server DNS pour le LoopBack ?
- le tuto de MilesTEG est-il applicable pour avoir accès à Drive sous OpenVPN dans mon cas ?
- Dois-je passer par l’achat d’un nom de domaine ?


En somme je me doute bien que ce n’est pas un gros projet pour les plus aguerris mais étant novice et pas au point sur tout, je cherche surtout à maximiser la sécurité étant donné que des membres familiaux devront y avoir accès (OpenVPN pour avoir ensuite accès à Drive, mobile ou navigateur).

J’espère avoir été assez précis dans ce que je souhaite mettre en place… Merci de vos retours et suggestions !

 

[Bouyaka]

Bonjour,

Je relance une bouteille à la mer !
C’est que je me noie dans les commentaires multiples et ne trouve pas de cas spécifique au mien…

Cela fait plusieurs jours que j’ai beau chercher des infos malgré, je présume, que le sujet a été abordé plusieurs fois et j’en suis désolé…

 

[FX Cachem]

Hello,

Avant tout, tu as bien fait une ouverture et redirection du port OpenVPN sur ta box internet (ou routeur) ? Tu as utilisé VPN Server directement sur le NAS ?
Si OK, tu désactives le pare-feu du NAS (temporairement). Tu essayes de te connecter à ton VPN avec ton adresse IP publique (celle fournie par ton opérateur à la maison) et non avec le nom de domaine depuis un téléphone en 4G/5G par exemple. Essaye de faire un ping de ton NAS ou de te connecter à l'interface d'administration de ton NAS (une fois la connexion VPN monté). Attention, tu n'es pas sur la même plage IP lorsque tu utilises un VPN.
Par exemple : tu est en 192.168.1.100 en local chez, mais quand tu passes par le VPN tu es en 10.0.0.14

Je ne sais pas si j'ai été très clair.

 

[Bouyaka]

Bonsoir FX,

Le port 1194 est ouvert et redirigé à dans la Bbox (pas de routeur supplémentaire dans le workflow).

Étant donné que mon @synology.est toujours activée, je peux me connecter aussi bien via ddns que IP Publique dans OpenVPN. Je vois dans le journal que je suis connecté (que ce soit wifi ou 4G sur les deux adresses).

Depuis Safari sur mobile, OpenVPN activé, j’atterris sur la page non sécurisée. Je ne vais pas plus loin pour ne pas influer sur le cache du téléphone.

Je vais essayer sans le pare-feu dès que possible et je reviens vers vous.

 

[Bouyaka]

Bonjour FX,

Je viens d'effectuer ce que vous m'avez demandé.
J'ai une @IP Fixe Full Stack sur ma Box.
J'ai une @synology.me d'activée en statut normal.
J'ai désactivé le Pare-feu Syno (pour informations, les règles sont toutes dans l'interface LAN1).
Le port 1194 est ouvert et redirigé dans la Bbox.

Depuis mon Macbook connecté à mon iPhone en 4G, sous OpenVPN pointant vers mon IP Publique, je suis bien vu comme connecté à OpenVPN.

Depuis mon Macbook connecté à mon iPhone en 4G, le ping :
- vers mon NAS (en 192.x.x.x) échoue, les paquets sont perdus (Request Timeout).
- vers mon Nas (@synology.me qui pointe vers mon IP Publique), échoue, les paquets sont perdus (Request Timeout).
- vers mon NAS (10.8.0.1), les paquets sont bien distribués.


Depuis mon Macbook connecté à mon iPhone en 4G, dans Safari :
- une connexion vers 192.x.x.x:https échoue (Aucune connexion internet alors que bien connecté en 4G à mon iPhone).
- une connexion vers 10.x.x.x est effectuée, mais je tombe sur la page d'une connexion non privée (certificat du certificat non valide).


Pour information, je ne sais pas si cela est utile de le dire mais je préfère informer, depuis mon MacMini, en local RJ45, le ping :
- vers mon NAS (en 192.x.x.x), les paquets sont bien distribués.
- vers mon Nas (@synology.me qui pointe vers mon IP Publique), les paquets sont bien distribués.



Bien cordialement.

 

[Bouyaka]

Après avoir parcouru quelques pages sur internet, je pense voir ce qui ne va pas dans ma configuration :

1- dans mon routeur je n’ai qu’une redirection : le port d’OpenVPN. Par soucis de sécurité je n’ai ni ouvert le port 5000 ni le 5001.

2- j’ai créé une @ddns avec certificat LE alors que j’ai une @IP Fixe. De ce que je lis, cela est inutile. Dois-je supprimer mon @ddns et modifier le certificat Synology en demandant un LE ?

3- quand je cherche à contacter mon NAS avec OpenVPN, étant donné que ça cherche à joindre une @ddns et que la Bbox (Sagemcom 5330b-r1 V2) ne semble pas gérer le loopback, je n’accède à rien.

4- quand je cherche à contacter mon NAS de puis l’extérieur, je cherche à joindre en réalité une @IP locale. Mais comme j’ai une @ddns activée, j’obtiens cette info de certificat non valide (car un certificat ne s’applique qu’à un nom de domaine et non à une @IP de ce que j’ai lu).

Serait-ce l’@ddns qui pose problème au-delà du reste ?

 

[bliz]

1 - le port d'openvpn par défaut est 1194 par défaut, si la redirection ne fonctionne pas, vérifiez auprès de votre opérateur que votre ip n'est pas partagé entre plusieurs client du fai, si c'est le cas (comme chez FREE), demandez une ip full Stack

2 - L'utilisation d'un dns permet d'inserer un certificat, donc de chiffrer la connexion, donc oui, c'est important

3 - le loopback n'étant pas géré, ça ne sert à rien de se connecter en vpn sur un reseau intranet etde toute façon, un vpn, sauf pour des essaie, ne sert à rien sur un réseau intranet. Par contre vérifiez que votre ddns fonctionne bien sur le nas, exemple :


90.10X.XXX est mon ip internet que je doit retrouver la même par exemple sur ce site : https://www.mon-ip.com/


puis on règle le certificat qui va avec. exemple :



et pour acceder aux autres appareil intranet depuis le vpn, il faut cocher cette case :

 

[Bouyaka]

Bonjour @bliz

J’ai bien une @IP dédiée, Full Stack.
J’ai bien une @ddns qui est appliquée, statut Normal et l’adresse indiquée est bien celle retournée sur Whatsmyip/no-ip.
Par contre, dans OpenDNS je suis actuellement en Split Tunneling et non pas Full Tunneling, car je ne souhaite accéder à rien d’autre qu’à Drive depuis l’extérieur de chez moi via OpenVPN. En interne j’en utilise que l’@IP du NAS.

Pour info, dans votre 2ème screenshot, votre @ddns est visible dans votre certificat

 

[bliz]

Pour info, dans votre 2ème screenshot, votre @ddns est visible dans votre certificat

Merci de m'avoir prévenu

Donc le problème n'est pas le DDNS, ni l'IP partagé, la redirection de port sur le routeur est chez moi en tcp sur le port 1194 et non en UDP car je l'avais mis comme ça dans vpn server, section openvpn, à vérifier sur le box internet

En ce qui concerne OPENDNS, je ne sais pas de quoi il s'agit (à priori une redirection de dns) et donc je m'abstiendrais de répondre sans connaître vraiment le principe, mais les plus grande chances seraient de lui que provient le problème.
Essayez donc sans lui et si ça fonctionne, c'est que le problème provient de lui

 

[Bouyaka]

Au temps pour moi, c’était l’auto-correcteur, il s’agit bien d’OpenVPN et non pas OpenDns.
Actuellement c’est l’UDP qui est configuré sur la Bbox pour OpenVPN.

Mon certificat est bien appliqué à Synology Drive Server.

Dans cette screenshot, je vois que mon @ddns apparaît 2 fois dans "Autre nom de l'objet".
Dans le pare-feu du NAS, je n'ai pas activé Drive Server. Probablement pour çà, mais je préfère déjà régler mon souci avant d'aller plus loin.




Je pense que l’@ddns met le bazar car la box ne gère pas le loopback (le technicien ne savait pas ce que c’était).

 

[bliz]

Pour faire les essaies avec une boxe qui ne gère pas le loopback, il faut essayer avec un téléphone portable en coupant le wifi et donc utiliser le gsm en ayant installé openvpn (https://play.google.com/store/search?q=openvpn&c=apps). Si la connexion fonctionne, il l'indique. Pour l'essaie, cela ne va utiliser que quelques ko

Orange fait le loopback si cela vous intéresse, je suis chez eux en fibre 1000/400 soit 115 mo/s en descendant et 50 mo/s en montant

ha j'oubliais, dans le fichier de config téléchargé depuis vpn server, il faut éditer avec un éditeur dde texte comme notepad par exemple et modifier ceci :

dev tun
tls-client

remote XXXXXX.ddns.net 1194

# The "float" tells OpenVPN to accept authenticated packets from any address,
# not only the address which was specified in the --remote option.
# This is useful when you are connecting to a peer which holds a dynamic address
# such as a dial-in user or DHCP client.
# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it's
# default network gateway through the VPN.
# It means the VPN connection will firstly connect to the VPN Server
# and then to the internet.
# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto tcp-client

script-security 2

donc si votre dns no-ip est blanche.ddns.net, il faudra remplacer remote YOUR_SERVER_IP 1194 par remote blanche.ddns.net 1194 puis enregistrer la modification et refaire la configuration du vpn sur le téléphone et le pc

 

[Bouyaka]

Comme je disais dans les post précédents, j’utilise une adresse ddns Synology.
Pour le fichier config, j’en ai déjà 2 existants, l’un pointe vers l’@ddns, l‘autre vers mon IP Publique.

Tous les deux se connectent à OpenVPN. Mais c’est après que je rencontre des problèmes : que ce soit depuis l’application mobile Drive ou depuis Safari sur mobile, je n’arrive pas à avoir accès au NAS.

 

[MilesTEG]

Avec OpenVPN il y a des petites modifications à faire au fichier de configuration client pour que tout le trafic passe par le tunnel et pour accéder au LaN.
Attention : si tu veux utiliser un nom de domaine pour ton NAS en passant par le tunnel von il va te falloir un serveur dns local aussi pour résoudre ce ndd.

Sinon l’accès via ton ndd fonctionne-t-il sans passer par le vpn ? Pour savoir si tu as bien tout configuré.
J’ai fait un tuto utilisant le ndd Synology : voir ma signature (ou mon profile pour les liens vers mes tutos)

 

[bliz]

Comment vous vous connectez à drive ? avec le ddns ou ou l'ip local du nas.

Une fois que vous êtes connecté en vpn (d'après ce que je comprend, ça vous y arrivez), il faut utiliser les ip local du réseau intranet

Perso, après me connecter au nas par le vpn openvpn sur mon nas, je me connecte aux applications sous cette forme :

http://ip-local-du-nas:port-de-l'application et après, je m'identifie avec pseudo et password de connexion au nas

exemple : http://192.168.0.125:3068

 

[Bouyaka]

@MilesTEG

Je n’ai rien ouvert sur la box hormis OpenVPN.

Sans OpenVPN, aucune connexion.

En 4G, avec OpenVPN, que ce soit via l’@ddns ou l’@IP publique, j’ai créé 2 fichiers de configuration distincts pour test, pour du Split Tunnel seulement (accès ressources LAN non activées).

Je suis bien connecté à OpenVPN en 4G, par contre, que ce soit avec le fichier .conf menant vers mon @ddns ou @IP Fixe :

- dans l’application mobile Drive, impossible de me connecter avec l’@ddns, l’@OpenVPN ou l’@NAS (pas de port 443 ou 5001 ouverts me dit-il pour ce dernier).

- depuis le navigateur mobile, avec l’@ddns je n’accède à rien, avec l’@NAS je n’accède à rien et avec l’@OpenVPN je tombe sur la page du certificat non valide.

En effet je penche aussi pour le DNS Local si le Loopback n’est pas pris en charge dans ma Bbox (ce qui commence à se confirmer au final).


@bliz
Pour l’instant je n’ai pas affecté de port à l’application Drive dans DSM. Il y a que DSM HTTPS qui est configuré sur DSM (sûrement une erreur de ma part ici pour le coup).

Depuis Safari sur mobile, en rentrant l’@NAS:https ou sans le port, je n’accède à rien.
En rentrant l’@OpenVPN:https j’ai une Bad Request. Sans mettre le port j’ai la page du certificat non valide.

 

[bliz]

en vpn, (et de mémoire, pour que le loopback fonctionne, il faut rediriger le port sur la boxe au minimum 443 pour le https), sans loopback, il faut rentrer les adresses ip, essaye de rentrer un port pour l'appli drive en http seulement et voir si ça fonctionne. et pour acceder en local depuis un vpn, le dns ne sert que pour le vpn, le restant se fait avec les connexion en http et non https avec l'ip du nas et le port.

Par exemple, le port 5000 sert seulement à accederà dsm en http et seulement en http, pour acceder en https, donc port 5001, il faut le loopback ou configurer le serveur dns avec un dns local donc (c'est du bricolage).

par exemple, une fois connecter en vpn :



je me connecte à drive en tapant http://192.168.0.25:9898

 

[jeu2]

Je pense que l’@ddns met le bazar car la box ne gère pas le loopback (le technicien ne savait pas ce que c’était).

Le loopback n'intervient pas depuis une connexion externe ^^.
C'est pour du LAN LAN. Il permet d'utiliser ton nom de domaine depuis ton LAN pour accéder à ton NAS.

 

[Bouyaka]

@bliz
J’essayerai dans le doute. OpenVPN c’est vraiment pour l’extérieur, quand je suis chez moi en wifi je n’ai pas besoin d’avoir le ddns mais si c’est plus ergonomique.

@jeu2
Je comprends mais le cas de l’utilisation d’OpenVPn avec l’@Synology.me pour me connecter à Drive depuis l’extérieur de mon domicile, comme je suis vu comme étant sur le LAN à la recherche de mon NAS, j’ai donc besoin d’installer DNS Server ?

N’hésitez pas à me dire si je me trompe bien évidemment !

 

[jeu2]

Je comprends mais le cas de l’utilisation d’OpenVPn avec l’@Synology.me pour me connecter à Drive depuis l’extérieur de mon domicile, comme je suis vu comme étant sur le LAN à la recherche de mon NAS, j’ai donc besoin d’installer DNS Server ?

Si tu es à l'extérieur, tu n'es pas sur le LAN, il ne faut pas tout mélanger.

 

[bliz]

J’essayerai dans le doute. OpenVPN c’est vraiment pour l’extérieur, quand je suis chez moi en wifi je n’ai pas besoin d’avoir le ddns mais si c’est plus ergonomique.

si tu te connecte en vpn, ta connexion est considéré comme du LAN

Intranet (Private network) 【Réservés adresses】 ----> https://fr.ntunhs.net/IPInfo/FR/10/8.htm

donc, en connexion en vpn depuis l'extérieur, tu es considéré comme en LAN, car l'addresse 10.8.***.*** est considéré tout comme 198.168.***.****

d'ailleurs, les entreprises utilisent plus souvent le 10.***.***.*** que les 169

d'ailleurs, que je me connecte en lan ou en vpn, mes adresse ip sont les même pour acceder aux applications