Synology Aidez-moi à configurer l’accès à distance de mon NAS (Reverse Proxy + Freebox) 🙂

[PEMtl]

Bonjour,

J'aurai besoin d'aide afin de rendre accessible certaines de mes applications conteneurisées sur URL publique.
Je dispose d'un NAS DS224+ ainsi qu'une connexion fibrée Freebox.

Dans cet exemple pour Jellyfin :

https://jellyfin.nomdedomaine.synology.me

J'y accède sans problème via mon réseau local grâce au NDD Synology + certificat Let's Encrypt mais impossible à distance (je suis perdu dans le paramétrage réseau de ma Freebox et n'y ai fait encore aucune action)
Pour info, j'ai changé les ports par défaut de DSM en HTTP 65000 et HTTPS 65001.

- Installation Jellyfin
- NDD Synology + certificat Let's Encrypt valide
- Accès en local sur port 65001 + via le nom de domaine Synology
- Accès extérieur

J'aimerai également avoir le mode opératoire pour les prochains applicatifs que je compte installer (probablement Vaultwarden, Immich, Netxcloud etc)

Merci d'avance

 

[morgyann]

Bonjour,

Tu souhaites, je suppose, accéder à chacune de tes apps via un NDD dédié comme pour Jellyfin = jelly.monnas.i234.me

1. Au niveau de ta Box :

Accède à l'interface et ouvre les ports 443 et 80 à l'attention de l'IP locale de ton NAS - onglet DHCP
Met ton NAS - IP locale en Bail permanent (DHCP)
C'est tout pour ta box.

2. Au niveau du Serveur NAS Syno

Si tes sous domaines sont des wildcards du DDNS Syno vérifie que dans l'onglet Sécurité - Certificat qu'il y ait bien d'inscrit *.monnas.syno.me (étoile et . avant le DDNS). Si c'est le cas, tes sous domaines se valideront automatiquement quand tu les créeras au niveau du Proxy Inversé.

Au niveau du Proxy inversé, quand tu as créés une pile, par ex Jellyfin :

Tu inscris au niveau du tableau du Proxy inversé :
Source -> https + jelly.monnas.syno.me + port 443 + valide hsts
Destination -> http + adresse locale de ton nas type 192.168.1.x ou localhost + port 8096 (pour jelly)
Si ta pile nécessite le websocket ouvre aussi l'onglet suivant pour le créer
Valide le tout
Retourne sur Sécurité et Certificat et vérifie si le sous domaine jelly.monnas.syno.me est inscrit sous le certif principal.

3. Connexion

Normalement c'est tout ce que tu as à faire vérifie chez toi sur un navigateur si tu accèdes à la page de Jelly via :
l'ip locale du nas : 8096 et jelly.monnas.syno.me

et par ex sur un tél portable en désactivant le wi-fi en tapant l'adresse sur un navigateur : jelly.monnas.syno.me

 

[PEMtl]

Bonjour @morgyann,

1. C'est précisément la partie de config sur freebox OS sur lequel je sèche.. Voilà où j'en suis pour le moment.



2. Non je ne pense pas que ça soit le cas, dois-je supprimer cela et ajouter un nouveau certificat sur mon nouveau NDD Synology "ndd.synology.me" ?

 

[zypos]

Pour la BOX : Au niveau de ton NAS tu as bien une IP_statique . Maintenant tu dois faire les ouvertures de ports 443 et 80 vers ton NAS ; pour Free tu as des tuto ici .
Pour le certificat : il ne faut pas demander un certificat pour un sous-domaine (jellyfin.ndd.synology.me) mais pour le domaine maître ndd.synology.me . Ce certificat servira pour tout les sous-domaine .
Pour le reverse proxy : Panneau de configuration /Portail de connexion / Avancé / Proxy inversé


Il faudra remplir le port dans destination

 

[PEMtl]

Bonjour @zypos ,

J'ai fait le nécessaire côté box et voici la configuration → cela ne fonctionne plus du tout (ni en local ni avec l'URL publique).
Peut-être ai-je oublié une étape ?

Autre info : j'ai changé le port par défaut de mon NAS en HTTP 65000 et HTTPS 65001, cela a une impacte à ce niveau en principe non ?
J'avoue ne pas être totalement au clair sur ce sujet.

 

[zypos]

Pour la BOX cela me semble bon ( je ne suis pas chez Free ) ; le reverse proxy aussi ; mais tu devrais créer une EN-tête personnalisé "WebSocket" tu devrais avoir ceci :



Tu as bien modifier le Certificat pour le nom de domaine uniquement : ndd.synology.me ?

 

[PEMtl]

Pour la BOX cela me semble bon ( je ne suis pas chez Free ) ; le reverse proxy aussi ; mais tu devrais créer une EN-tête personnalisé "WebSocket" tu devrais avoir ceci :

Voir la pièce jointe 18343

Tu as bien modifier le Certificat pour le nom de domaine uniquement : ndd.synology.me ?

Oui j'ai bien modifié le certificat sur ndd.synology.me, mais toujours bloqué (plus rien rien local ni via l'URL publique)
J'ai également rajouté ceci dans mon interface Freebox :

 

[morgyann]

Certificat pour le nom de domaine uniquement : ndd.synology.me

Comme l'indique @zypos c'est le DDNS qui doit être mis par défaut pour pour tous les services du NAS Syno.
Quand c'est fait et que tu "déplies" la section, l'ensemble des services joignables doit apparaître et vérifier que *.monnas.syno.me soit présent dans "Pour :"

 

[PEMtl]

En principe c'est OK mais même problème, j'accède sans problème sur mon réseau local mais pas en dehors.
Par contre je ne vois pas de "*" je ne sais pas comment configurer cela pourtant j'ai bien ajouter un certificat essentiellement pour mon ndd.synology.me seul.

 

[morgyann]

Autre info : j'ai changé le port par défaut de mon NAS en HTTP 65000 et HTTPS 65001, cela a une impacte à ce niveau en principe non ?
J'avoue ne pas être totalement au clair sur ce sujet.

Non le principe pour joindre un service via un NDD c'est de n'ouvrir que le port 443 (et 80) et de ne pas t'amuser à ajouter un port à chaque sous domaine.
Ta première config était la bonne au niveau de la box c'est bon avec le port 80 et 443
et au niveau de la pile Jellyfin en proxy inversé était bon aussi

Au niveau de la sécurité, ta dernière capture est la bonne.

Message automatiquement fusionné : Hier à 10:39

j'accède sans problème sur mon réseau local mais pas en dehors.

As tu fait une config spéciale au niveau du Pare feu de ton Nas ?

 

[PEMtl]

Non le principe pour joindre un service via un NDD c'est de n'ouvrir que le port 443 (et 80) et de ne pas t'amuser à ajouter un port à chaque sous domaine.
Ta première config était la bonne au niveau de la box c'est bon avec le port 80 et 443
et au niveau de la pile Jellyfin en proxy inversé était bon aussi

Au niveau de la sécurité, ta dernière capture est la bonne.

Message automatiquement fusionné : Hier à 10:39

As tu fait une config spéciale au niveau du Pare feu de ton Nas ?

Ok mais pour autant l'accès à distance est toujours KO, j'avoue que je ne comprend plus..
Par contre dans mon certificat dans :
"Autre nom de l'objet :" je n'ai pas de "*", je ne sais pas comment régler cela (voir capture dans mon post précédent)

 

[morgyann]

Ok mais pour autant l'accès à distance est toujours KO

Repart avec la config "jelly.monnas.syno.me" le rajout du port en https est normalement fait pour un NDD simple comme monnas.syno.me:5001
Là ça fait un peu redondant tu rediriges 2 ports en https ...

As tu fait une config spéciale au niveau du Pare feu de ton Nas ?

la config du post #9 semble bonne - au niveau de la box c'est ouvert. Si tu peux joindre en local via https c'est que normalement ça fonctionne en externe.
Je réitère : as tu modifié le pare feu du nas ou est il resté par défaut ? (si il est resté par défaut laisse le comme cela pour l'instant).

Peux tu joindre l'interface de ton Nas via le navigateur de ton tél portable (ou en externe) via nas.synology.me:5001 ???

 

[PEMtl]

Repart avec la config "jelly.monnas.syno.me" le rajout du port en https est normalement fait pour un NDD simple comme monnas.syno.me:5001
Là ça fait un peu redondant tu rediriges 2 ports en https ...

la config du post #9 semble bonne - au niveau de la box c'est ouvert. Si tu peux joindre en local via https c'est que normalement ça fonctionne en externe.
Je réitère : as tu modifié le pare feu du nas ou est il resté par défaut ? (si il est resté par défaut laisse le comme cela pour l'instant).

Peux tu joindre l'interface de ton Nas via le navigateur de ton tél portable (ou en externe) via nas.synology.me:5001 ???

Non, nas.synology.me:5001 n'a pas l'air de marcher non plus (sur réseau local OK, en extérieur KO)
Pour éviter les complications je suis repassé sur les ports standards DSM (5000 et 5001)
L'ensemble est toujours KO, je m'arrache les cheveux je dois dire

 

[morgyann]

nas.synology.me:5001 n'a pas l'air de marcher non plus

Si cela ne marche pas ? pas la peine pour l'instant d'essayer avec un sous domaine type jelly.nas.syno.me.
Ouvre le port 5001 au niveau de ta box (mais il a dû s'ouvrir déjà en UPnP).

As-tu la possibilité de vérifier l'accès via un PC (autre pour l'instant qu'un tél portable) à l'extérieur de chez toi ???

(sur réseau local OK,

C'est qu'il y a bien une com externe vu que tu es en https sur ton navigateur même si c'est en local.

As tu fait une config spéciale au niveau du Pare feu de ton Nas ?

3ème fois

 

[zypos]

Pour moi tu as un pb de certificat , le certificat que tu obtiens pour ton nom de domaine Synology doit être de type DDNS Certificate ( comme sur ton post #3) et pas de type RSA/ECC
Quand tu utilise le reverse proxy il faut bien comprendre que la requête arrive sur le port 443 et est rediriger vers le port de l'appli .
Les ports 65000 et 65001 que tu as ouvert ne sert que pour DSM et les applis Synology ( file station .....) Mais tu peux utiliser des nom de domaine personnalisé
Portail de connexion / DSM et portail de connexion /Applications ;
De cette manière tout passe par le port 443 et inutile d'ouvrir les ports dans la box .

Message automatiquement fusionné : Hier à 11:28

cela ne marche pas ? pas la peine pour l'instant d'essayer avec un sous domaine type jelly.nas.syno.me.
Ouvre le port 5001 au niveau de ta box (mais il a dû s'ouvrir déjà en UPnP).

Normal que cela ne marche pas il à changer les ports 65000/65001

 

[morgyann]

Normal que cela ne marche pas il à changer les ports 65000/65001

Pour éviter les complications je suis repassé sur les ports standards DSM (5000 et 5001)

 

[PEMtl]

Si cela ne marche pas ? pas la peine pour l'instant d'essayer avec un sous domaine type jelly.nas.syno.me.
Ouvre le port 5001 au niveau de ta box (mais il a dû s'ouvrir déjà en UPnP).

As-tu la possibilité de vérifier l'accès via un PC (autre pour l'instant qu'un tél portable) à l'extérieur de chez toi ???


C'est qu'il y a bien une com externe vu que tu es en https sur ton navigateur même si c'est en local.

3ème fois

Si cela ne marche pas ? pas la peine pour l'instant d'essayer avec un sous domaine type jelly.nas.syno.me.
Ouvre le port 5001 au niveau de ta box (mais il a dû s'ouvrir déjà en UPnP).

Rien côté UPnP, mais j'ai ouvert un nouveau et 3ème port côté Freebox.

As tu fait une config spéciale au niveau du Pare feu de ton Nas ?

Je ne maîtrise pas encore ce sujet, il est pour le moment désactivé.

Pour moi tu as un pb de certificat , le certificat que tu obtiens pour ton nom de domaine Synology doit être de type DDNS Certificate ( comme sur ton post #3) et pas de type RSA/ECC

@zypos, en effet je l'ai à nouveau réglé

 

[PEMtl]

Après un tas d'itérations j'arrive enfin à me connecter à jellyfin.MONNAS.synology.me:5001

Afin de documenter, voici mes étapes de résolutions :
- Ouverture d'un port 5001 sur ma freebox (quid du 5000?)
- Suppression totale de mon DDNS et réouverture de ce dernier avec un certificat Let's Encrypt
- Passage en port 5001 sur le Proxy Inversé de Jellyfin
- Désactivation de mon Parfe-feu (règles probablement mal faites → à reconfigurer)

Merci à vous pour votre patience, principe le thread peut à présent être clôturé.

 

[morgyann]

Bon ok tout semble bien configuré :
Box OK
Certif OK
Pare-feu non actif (pour l'instant)

Passage en port 5001 sur le Proxy Inversé de Jellyfin

Non - L'accès à Jellyfin doit être : jelly.nas.syno.me SANS PORT et surtout pas celui qui est attribué à DSM (5001)

 

[PEMtl]

Bon ok tout semble bien configuré :
Box OK
Certif OK
Pare-feu non actif (pour l'instant)

Non - L'accès à Jellyfin doit être : jelly.nas.syno.me SANS PORT et surtout pas celui qui est attribué à DSM (5001)

Oui, j'ai update de 5001 au port 443 comme conseillé précédemment.
L'ensemble est OK et fonctionnel
Merci pour votre patience.