Synology Applications non fonctionnelles à distance après configuration du proxy inversé

[Bibou]

Bonjour à tous,
J'avance petits pas par petits pas dans la configuration et la sécurisation de mon Synology DS 918+
J'utilise les différentes applications de base synology à distance (dsvideo, dsget, ds audio, synology drive, ds file) ainsi que Plex
Au départ j'avais redirigé les ports sur ma box internet et sur le pare feu du NAS et activé le DDNS avec un nom de domaine synology.me
Tout fonctionnait, y compris la lecture des vidéos dans DSVIDEO. Je précise que j'ai 2 ordinateurs fixes en W10 que je connecte en local avec mon adresse IP locale: en 192.168.X.X et un ordinateur portable en W10 que je connecte avec le nom de domaine ndd.synology.me. J'ai aussi un smartphone, une tablette android, 2 box android TV.

J'ai configuré le proxy inversé dans le Nas en suivant un tuto. Dans le portail des applications, j'ai utilisé un port spécifique pour les applications audio station, video station, download station, file station et synology drive.
J'ai paramétré le proxy inversé pour passer à travers le port 443 et basculer vers un nom de domaine pour chaque application du style musique.ndd.synolgy.me pour dsaudio par exemple.

Sur ma box internet, j'ai retiré tous les ports que j'avais redirigé en ne laissant que les ports 80 et 443.
Idem dans le pare feu du NAS, je n'ai ouvert que ces 2 ports là.
Sauf que depuis, lorsque je me connecte à distance, le drive client n'arrive plus à se connecter. ds video ne lit plus aucune vidéo sur smartphone, tablette ou pc portable, download station ne télécharge plus rien, et lorsque je veux accéder à plex media server sur l'ordi portable en cliquant sur l'icône du bureau de DSM, la page ne s'affiche pas. Je peux y accéder par contre en tapant plex.ndd.synology.me
A chaque connexion on me dit que le certificat n'est pas fiable. J'ai pourtant souscrit à un certificat Let's encrypt et les différents sous domaines sont correctement ajoutés à celui-ci. j'ai supprimé le certificat auto signé de synology pour éviter les couacs.
Sur androidtv, dsvideo refuse de se connecter à ma bibliothèque à cause de ce certificat non fiable.

Je suis un peu perdu. Lorsque je me connecte avec mon nom de domaine, cela revient à une connexion depuis l'extérieur c'est cela? Même si je me connecte en Wifi chez moi?
Parce que ça expliquerait pourquoi en renseignant l'adresse IP plutôt que le nom de domaine, il n'y a pas de soucis. J'essaie de comprendre.
Pourquoi le drive ne fonctionne plus? Pourquoi DSvideo ne lit plus les vidéos? Pourquoi je ne peux plus accéder à plex media server en cliquant sur l'icone de DSM? Pourquoi le certificat est considéré comme non fiable?

Je me demande si le fait d'ouvrir uniquement les ports 80 et 443 ne fait en sorte que de laisser l'accès à l'application mais n'autorise pas le flux de données à passer... Je suis sur la bonne voie?
Dans ce cas, il y aurait d'autres ports à ouvrir et rediriger pour que les applications soient fonctionnelles?

Merci à vous, je trouve le sujet du NAS passionnant mais je patine un peu...

 

[zypos]

Tu peux utiliser ton nom de domaine aussi bien en local que depuis l'extérieur . Le nom de domaine est obligatoire si tu utilise un certificat Let's Encrypt .
J'accède tjrs à mon Nas avec son nom de domaine : xxxx.synology.me même en local
La seule chose à faire est de rediriger les ports dans la Box vers le Nas . (443 et 5001)
Perso je pense qu'il est inutile de passer par le reverse proxy pour utiliser les appli Synology (Ds vidéo ; ds photo ; ect ect ....)
J'utilise le reverse proxy avec Plex , l'adresse dans ce cas est : plex.xxxx.synology.me j'accède ainsi au serveur Plex hébergé sur le Nas depuis l'extérieur .
Le port d'accès au sous domaine plex est 443 et le port de destination 32400 (rediriger en htpp localhost)
Le certificat let'S Encrypt peut très bien être utilise avec un sous domaine à condition de le déclarer au moment de la création du certificat , les sous domaine doivent être séparer par des virgules : plex.xxxx.synology.me , toto.xxxx.synology.me, .............

 

[Bibou]

Merci beaucoup pour ta réponse,
Justement je passais uniquement par le nom de domaine avant mais depuis que j'ai configuré le proxy inversé, plus rien ne fonctionne.
C'est pour ça que je suis repassé en adresse IP en local.
En désactivant le pare feu et en me connectant au nom de domaine, le drive se reconnecte par contre... j'y comprends rien.
C'est pour ça que je me demandais si par nom de domaine ça ne correspondait pas à une connexion extérieure et s'il faut donc que j'ouvre/ redirige d'autres ports dans le pare feu/ Box.
Pour toi c'est normal alors que le lien plex serveur de l'icône du bureau DSM ne soit plus valable alors? il n'y a pas moyen de changer le lien vers plex.ndd.synology.me?
L'intérêt pour moi ça serait justement de ne pas ouvrir le port 5001 pour sécuriser un peu plus l'accès. Je ne comprends pas pourquoi ça ne fonctionne pas en ouvrant les ports 443 et 80.
Et pourquoi on me dit constamment que le certificat n'est pas fiable.

Des idées?

 

[zypos]

Perso je n'ai pas activé le pare feu sur le Nas , cela fait un peu double emploi avec la Box . Par contre il faut absolument rediriger les ports vers le Nas dans la Box .
En redirigeant les ports 443 et 5001 , les risques de piratage sont très faible . Pour sécuriser le Nas il faut :
Désactiver le compte admin et guest et créer un utilisateur ayant les droits administrateur . Il faut également activé le blocage auto dans : sécurité / compte avec une règle type:
Blocage de l'IP au bout de 4 tentatives en 15 minutes .
Pour les appli Syno type Ds photo , Ds File .... ect . ces applis ne sont pas prévu pour fonctionner avec le reverse proxy . Que ce soit en Wi-fi ou en 4G je me connecte tjrs avec mon non de domaine .
L'intérêt du reverse proxy est pour les appli tierce comme Plex .
Je pense que tu as peut-être un conflit entre le reverse proxy et ce que tu veux faire : exemple je peux très bien me connecter à DSM via le reverse proxy à condition de le configurer et dans ce cas l'adresse sera dsm.xxxx.synology.me en redirigeant dans la destination vers localhost port 5001 en https

 

[Bibou]

En fait le reverse proxy fonctionne pour ces applications. Je leur ai appliqué un port spécifique et ensuite un nom de domaine pour chacune. Par exemple quand je tape audio.ndd.synology.me, j'arrive bien directement sur l'appli audio station (et non sur le bureau DSM), quand je tape video.ndd.synology.me, j'arrive sur videostation, fichier.ndd.synology.me j'arrive sur File station etc... l'accès à ces applications fonctionne.
Le soucis est pour après car dans videostation j'ai accès à ma bibliothèque mais je ne peux lire aucun film.
Dans download station je peux ajouter un téléchargement mais rien ne se lance.
Sur le drive client de W10, je ne peux plus me connecter à l'aide de drive.ndd.synology.me, on me dit connexion impossible.
Je peux accéder à plex par plex.ndd.synology.me mais en me connectant à dsm avec mon nom de domaine, si je clique sur l'îcone plex serveur, on m'envoie sur une addresse ndd.synology.me:32400 qui est le port de plex mais la page se s'affiche jamais puisque je l'ai redirigé vers plex.ndd.synology.me.
Voilà pourquoi je demandais s'il n'y avait pas moyen de changer le lien du raccourcis.

Par contre je viens d'ouvrir les ports de synology drive server tcp 6690 du pare feu du NAS (et non de synology drive qui est utilisé en reverse proxy sur le port 443) et celui pour le téléchargement tcp 16881 (et non le port de download station qui est utilisé sur le port 443) et j'ai redirigé ces ports dans la box et les 2 refonctionnent!
Le drive se connecte et se synchronise et je peux lancer un téléchargement. Je pense vraiment qu'au delà de l'accès à l'application (port 443) il fallait aussi ouvrir les ports du flux de données à travers le pare feu et la box.

Par contre j'ai encore un soucis avec video station. aucune vidéo ne se lit
Sur une box android tv, on me refuse de me connecter parce que le certificat n'est pas fiable. grrr

 

[Bibou]

En tout cas j'avais déjà suivi tes conseils en créant plusieurs utilisateurs. A la configuration initiale, DSM désactive automatiquement les compte admin et guest
J'avais redirigé également le port 5001 et j'avais ajouté 443 et 80 pour le proxy inversé.
J'avais ajouté le blocage auto et la protection DoS.
Par contre avec l'usage de proxy inversé avec les applications synology qui sont normalement sur le port 5001 (audio station, video station etc) j'ai lu que l'activation de l'option "rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM" cassait le reverse proxy de ces applications. Je l'ai donc décoché.

Dans video station, quand je coche HTTPS, on m'indique que la lecture de certaines vidéo peut ne pas fonctionner en HTTPS. Mon soucis viendrait de là?

 

[zypos]

A vrai dire je n'ai jamais tester les applis Syno ( Ds photo ; Ds vidéo ......) avec le reverse proxy :x je ne les utilise pas
Pour plex : plex.xxx.synology.me , je suis rediriger sur la page d'accueil de Plex serveur et je doit m'identifier avec mon compte Plex.
"rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM". Egalement décoché chez moi
Sur les Syno il y a moyen de forcer les connexion en https . j'avais fait un petit tuto ici : https://www.forum-nas.fr/viewtopic.php?f=56&t=14284
Les ports 80 et 443 sont rediriger vers le Nas dans la Box

 

[Bibou]

oui pareil que toi j'ai redirigé les ports 80 et 443.
Pour plex j'ai comme toi aussi mais je parlais plutôt de quand tu te connectes à l'interface du NAS DSM via https://ndd.synology.me:5001
Tu te connectes à ton compte utilisateur synology et tu as le bureau qui s'affiche. En cliquant sur l'îcone de Plex, il cherche une page https://ndd.synology.me:32400 qui n'existe plus.
il faudrait qu'il renvoie automatiquement vers la page plex.xxx.synology.me configurée avec le reverse proxy. Je sais pas si c'est clair ce que je dis

En tout cas je me suis connecté à DSVIDEO sur pc en http via: http://ipdunasprivéeorthttpdevideostation et la lecture de film fonctionne.
J'ai l'impression que c'est bien le https qui pose problème.

 

[zypos]

En cliquant sur l'îcone de Plex, il cherche une page https://ndd.synology.me:32400 qui n'existe plus.

Chez moi également mais je pense que c'est normal car tu passe par le reverse proxy , perso j'ai créé un favori dans mon navigateur qui pointe vers : plex.xxx.synology.me
Je ne passe plus par l'icone de l'interface DSM

 

[Bibou]

En cliquant sur l'îcone de Plex, il cherche une page https://ndd.synology.me:32400 qui n'existe plus.

Chez moi également mais je pense que c'est normal car tu passe par le reverse proxy , perso j'ai créé un favori dans mon navigateur qui pointe vers : plex.xxx.synology.me
Je ne passe plus par l'icone de l'interface DSM

Effectivement j'avais pas pensé au favoris dans le navigateur, c'est malin. Je suis rassuré de savoir que chez toi aussi tu ne peux plus cliquer sur l'icône Plex également.
J'ai essayé de faire du double chiffrement (port spécifique HTTPS pour Vidéo station et reverse proxy sur ce port) et curieusement, en me connectant via ndd.synology.me à video station sur mon ordi portable, ça fonctionne! les films se lisent.
Par contre, sur android (smartphone et tablette), vlc tourne dans le vide. Sur android tv, l'application refuse de se lancer à cause du certificat non fiable...

Une idée?

 

[Bibou]

J'ai du nouveau:
Je pensais que les ports 6001-6010 ne correspondaient qu'au Airplay. Etant donné que je n'ai pas d'appareils Apple, j'ai décidé de ne plus les traiter. Sauf qu'apparemment ça enlève aussi les périphériques chromecast!
Je ne les vois plus apparaitre sur mon téléphone dans audio station, uniquement "le nom de mon téléphone". Je les ai re-natté et ré-autorisé et c'est revenu... Je pense donc que ces ports autorisent plus que Airplay.
J'en ai profité pour re-traiter 9025-9040 car je ne voyais plus les périphériques dans video station non plus.

D'ailleurs concernant les périphériques distants, je me suis aperçu d'un truc dingue. Lorsque je me connecte à audio station avec un compte admin, je vois les périphériques DLNA mais pas les périphériques chromecast (alors qu'avec DS audio sur smartphone je vois les 2). MAIS SURTOUT, si je me connecte avec un compte utilisateur qui a accès à tous les dossiers du nas et toutes les applications, je ne vois plus aucun périphérique!!!!!! Uniquement "Mon ordinateur". J'ai refait le test en faisant appartenir cet utilisateur au groupe administrateur également et là je peux voir les périphériques DLNA... J'y comprends rien.
Idem dans Video Station, il faut un compte administrateur pour voir les différents périphériques de lecture!! Et alors pourquoi les périphériques chromecast ne sont visibles que dans l'appli smartphone... Mystère!!

Sinon à propos de DS video j'ai du nouveau. Dans la configuration du proxy inversé j'ai fait en sorte de ne passer qu'en HTTP via le port 80 et le port spécifique HTTP de video station. J'ai essayé avec le smartphone en me connectant en HTTP comme ça et ça fonctionne... les films sont lus. Il y a donc un soucis quand je me connecte en HTTPS...
Comment faire en HTTPS?

 

[Bibou]

J'ai du nouveau pour DS video sur smartphone.
Il y a une étape importante que je n'avais pas faite (je ne savais pas qu'elle était à faire car c'est traitre...) c'est d'ajouter les sous domaines synology.me pour les applications du proxy inversé au certificat let's encrypt. En effet on voit dans le certificat: "Pour Drive, video.ndd.synology.me, music.ndd.synology.me mais en fait ces sous-domaines ne sont pas inscrits dans le certificat. Il faut remplacer le certificat et réécrire un par un les sous domaines dans "autres noms". Bref un problème de réglé!

Depuis je n'ai plus de message comme quoi le certificat est non fiable. Je peux accéder directement à la page de connexion des applications via un navigateur.
Pour DS video, en reconfigurant le reverse proxy en https, la lecture des films fonctionne en local via wifi en me connectant via video.ndd.synology.me:443 et en activant https sur la page de connexion.
C'est très bien mais je constate qu'en 4g ça ne fonctionne toujours pas. La lecture ne se fait plus. Mais je touche au but!

 

[Bibou]

​J'ai trouvé!
Après avoir remplacé le certificat Let's Encrypt en ajoutant les sous noms de domaine des applis et après avoir appliqué un double chiffrement dans le proxy inversé pour Video Station (port 443 vers port HTTS local de Video Station), tout fonctionne! Je peux me connecter à toutes les applis.

Par contre j'ai un petit soucis:
J'ai configuré le NAS en serveur VPN également pour accéder à DSM à distance. L'intérêt pour moi c'est de ne pas rediriger le port spécifique DSM dans ma box. Lorsque je me connecte avec OpenVPN ça fonctionne. En entrant l'adresse IP Locale 192.168.X.X ou l'adresse VPN 10.8.X.X, j'arrive à DSM.
Par contre, que ce soit en wifi local ou en VPN via 4g, lorsque je rentre le nom de domaine ndd.synology.me, je n'aboutis à rien. Les applications configurées dans le proxy inversé fonctionnent toutes. C'est uniquement pour accéder à DSM par cette voie qu'il y a un soucis.
Est ce que cela est dû au fait que je passe par l'extérieur à cause de la résolution DNS interne de mon ndd synology.me?

Si c'est le cas, comment savoir si ma box fait du loopback pour résoudre le problème?
Sur la box je ne redirige que les 2 ports du proxy inversé, le port 6690, le port 16881 et le port OpenVPN. Je ne fais pas celui de DSM. Idem dans le pare feu, j'ai décoché celui de DSM et je n'autorise que les ports précédents.
​