Synology Besoin d'aide - Configuration plusieurs sites/domaines sur un seul NAS (DSM7)

[FuRy]

Spoiler aux courageux: ATTENTION: Il risque d'y avoir de la lecture car je vais essayer de décrire au mieux les difficultés rencontrées (après une petite intro).

CONTEXTE (bla bla bla):

Spoiler

Je viens d'avoir mon premier NAS (DS220+), je l'ai installé/branché et j'ai effectué les premières configurations de base (config basique de pare-feu, création de comptes/autorisations etc...) et commencé à explorer le DSM et tous les outils inclus pour me familiariser avec.

Avant de commencer à mettre des données sur mon NAS, je prépare le terrain (exemple: je créé des dossiers partagés pour la structure du volume mais qui restent vides pour le moment, j'utilise des fichiers "test", j'installe divers paquets utiles etc). Je veux juste attendre que mon NAS commence à être correctement configuré, sécurisé etc avant de l'utiliser vraiment. J'ai testé ma RAM (6Gb), mes disques (en RAID1) et ça commence à fonctionner pas mal...

Tout ça me permet de faire des tests, mes configs etc (et d'accéder à mon NAS de divers appareils) sans prendre de gros risques pour le moment. Ainsi il n'y a pas de données sensibles exposées. Et même si au pire des cas, je devais tout recommencer et repartir de zéro (si j'avais mal commencé), je perdrai rien d'important. Je ne vais pas tout vous raconter des étapes de config de mon NAS mais juste celles liées à mon problème par la suite. Faut pas trop que je raconte ma vie quoi! Bref...

DEDICACE:
Je me débrouille vraiment pas mal pour tout ce qui est informatique en général mais je ne connais pas grand chose aux NAS et je suis surtout très nul pour tout ce qui est config réseaux/ports etc. Du coup, je lis pas mal d'articles pour savoir où je vais et pas poser des questions sans chercher un minimum avant. Je tiens à remercier @FX Cachem (au passage) car j'ai lu pas mal de ses articles et regardé certaines de ses vidéos qui m'ont aidé à mieux m'en sortir avec mon NAS. ( /HS off)


DÉTAILS DE MON PROBLEME:
Je vais avoir un usage assez basique de mon NAS mais par contre je souhaite y héberger plusieurs sites web (2 sites pour le moment mais p'tet 3 plus tard). Ce sera de petits sites simples (juste de l'HTML/CSS avec un peu de JS et/ou de PHP, c'est tout, même pas de CMS ou de Frameworks...). Ils auront un faible trafic demandant peu de ressources: Du coup, ça doit tenir largement sur les perfs de mon petits NAS, là n'est pas le problème. C'est plutôt sur la configuration (les redirections, les ports, les certificats etc) que ça peut se compliquer. J'ai pas mal cherché d'infos de mon côté mais je suis pas sûr de bien faire, d'où ce Post.

J'ai bien-sûr commencé par installer Web Station pour le déploiement de site web mais c'est prévu pour un seul site à la base (situé dans le dossier web du NAS et utilisant le certif SSL créé du nom de domaine du NAS pour le HTTPS) si j'ai bien compris. Du coup, ça se complique déjà pour renvoyer vers 2 sites alors j'ai cherché des solutions (création de virtual host, redirections etc...).

Pour le moment, dans l'état actuel des choses, mon problème est que j'ai une erreur 403 quand j'essaie de me connecter aux sites de mon NAS par leurs noms de domaines "Virtual Hostés" (à priori ce code erreur renvoi vers un problème de droits/autorisations ou de sécurité d'accès):



J'ai étudié quelques pistes (certifs SSL, droits de lecture/écriture du groupe http, ouvertures des ports web etc...) mais comme je n'arrive pas à savoir d'où mon problème peut venir et que je tourne en rond à chercher depuis 48h (presque jour et nuit), je me tourne vers vous! Si ça s'trouve c'est un truc à la con auquel je ne pense pas ou un truc spécifique au NAS le problème. Ou p'tet que je fais mal quelque chose, que j'oublie un truc essentiel dans ma config NAS... J'espère que l'un d'entre-vous va me donner une piste qui m'aidera à m'en sortir...

Du coup, je vais essayer de détailler un peu plus mes étapes pour en arriver là (ci-dessous) pour que vous puissiez mieux cibler mon problème (encore désolé pour la lecture):


Ayant déjà acheté 2 noms de domaine chez LWS (pour les 2 sites que je veux mettre en ligne), j'ai voulu les rediriger vers des Virtual Host créés sur mon NAS. Ces 2 Virtual Host (aux 2 noms de domaine distincts) renvoient chacun vers leur sous-dossier respectifs (dans le dossier web du NAS):





Pour les tests, côté Back-End, mes Virtuals Host ont été configuré avec Apache HTTP serveur 2.4 et PHP 8.0. J'ai laissé la config proposée avec les ports 80/443 et j'ai testé avec et sans le HSTS coché (sans voir de différence).

Les sites qui seront déployés dans ces 2 dossiers ne sont pas encore finis (en brouillon dans mon IDE sur l'ordi) et ils seront uploadés dans le NAS pour la mise en ligne définitive ultérieurement. Là je ne suis qu'en phase de tests et configurations de mon NAS. Ainsi, pour tester si l'hébergement web fonctionne sur mon NAS, je me contente d'un simple fichier index.html dans chaque dossier (en plus de celui automatiquement créé à la racine du dossier Web). Le but est juste de voir si la page HTML (super basique) s'affiche quand je rentre le nom de domaine, j'ai pas besoin de mettre les fichiers d'un site complet dans mes dossiers Web.


Alors avant qu'on me pose la question, je précise que j'ai bien changé l'adresse IP de section "A" @ (redirection) chez l'hébergeur de mes noms de domaine. Mes 2 domaines ont été redirigé vers l'adresse externe du NAS (à la place de l'IP de l'hébergeur). Je n'ai pas redirigé le mailing vers mon NAS (encore chez LWS) mais seulement le domaine des sites web (je pense que ça suffit):



Autre précision: J'ai bien attendu que la nouvelle IP de redirection de domaine soit prise en compte (j'ai testé avec DNS Checker pour être sûr que le domaine redirige bien vers mon NAS et plus vers l'hébergeur) avant d'effectuer mes essais! Le problème ne vient donc pas de la redirection du nom de domaine mais bien de chez moi (soit de la Box, soit du NAS).


Afin d'éviter de faire des messages à rallonge pour décrire mon problème et d'aérer un peu le pavé d'texte que ça fait (et aussi d'éviter de perdre tout ce que j'écris, en cas de coupure de courant ou autres), je vais déjà poster ce message là sur le Forum et continuer à préciser comment j'ai paramétré mon NAS, ma Box et Web Station dans les messages à la suite de celui-ci. J'espère que mes explications seront assez claires et suffiront à comprendre mon soucis pour que quelqu'un puisse éventuellement m'aider, me conseiller....

 

[FuRy]

Les "PORTS" sur ma BOX:
Sur ma Box, j'ai ouvert quelques Ports pour qu'il puisse y avoir quelques accès externes au NAS (en dehors de mon réseau WorkGroup Local):

- Même si je préfère accéder au DSM en local seulement, j'ai quand même ouvert les ports 5500 et 5501 sur ma box (c'est ces numéros de ports que j'ai désigné dans la config du NAS pour l'accès DSM) au cas où je doive accéder exceptionnellement au NAS en déplacement (par exemple).

- Pour le Web, j'ai laissé les numéros de Ports natifs en configurant mon NAS (pas changés comme pour DSM ou File Station par exemple). J'ai donc ouvert aussi les Ports 80 et 443 sur ma Box.


- J'ai pas trop envie d'ouvrir trop de ports sur la Box (le minimum sera le mieux). Si par exemple, j'ai besoin d'utiliser des services FTP (filezilla etc), je préfèrerai que ça se limite aux appareils en local. Si j'ai bien compris l'truc, les ports ouverts de la Box, c'est uniquement pour les accès externes (c'est différents du réseau chez moi). Du coup, si j'ouvre pas des ports correspondants aux accès FTP à l'externe sur la box, je les bloque à l'extérieur mais je pourrai quand même les utiliser via mon réseau local avec mon compte autorisé. C'est un peu hors sujet ça mais c'est pour expliquer comment je pense avoir compris le truc, je me trompe peut-être. Bref, c'est pas mon fort les params réseaux/internet et c'est hors sujet ici.


Si je suis ma logique de n'ouvrir que le strict nécessaire sur la Box, ça fait pas beaucoup de ports en vrai.

En gros voici donc les seuls ports que j'ai autorisé pour le moment (pour un accès externe) sur ma Box:



Ca se limite donc à 5500 et 5501 pour un accès DSM externe (mobile ou PC hors réseau local) et à 80 et 443 pour l'accès à mes sites web à tout visiteur de mes noms de domaine hostés (les sites hébergés sur le NAS).

Bien sûr J'ai attribué une IP locale fixe (192.168.1.16) à mon NAS sur ma Box pour éviter les soucis... C'est le seul appareil en IP fixe sur mon réseau local: j'ai pensé ça nécessaire pour les configs diverses!


S'il existe un autre Port à ouvrir (en plus du 80 et du 443) pour autoriser l'accès à mes sites web (genre un des services à ouvrir en plus des services Web), je ne le sais pas. Dans ce cas, merci à vous de me le préciser afin que je l'ajoute et règle le problème! Merci d'avance!!!


Ps: j'ai aussi ouvert un autre Port sur ma box depuis ce screen (le 25565) car j'ai testé avec succès l'hébergement d'un serveur Minecraft sur mon NAS (c'est juste pour tester car la méthode avec Docker n'est pas ma préférée et si je devais héberger un serveur de ce jeu, je ferai autrement). C'était juste pour préciser qu'un autre port était ouvert mais vu la plage du numéro, ça n'a rien à voir avec mon problème de sites web!

 

[MilesTEG]

@FuRy
Bonjour,
Avant d'essayer de résoudre ton souci, je te conseillerais de masquer ton nom de domaine complètement, et de le remplacer par une chaine générique du style : ndd.fr, ou service.ndd.fr
Car avec lui, on peut remonter à ton adresse IP.

 

[MilesTEG]

ALors, après avoir vu ton second post, je me dis qu'il faut que tu lises mon tuto sur le nom de domaine synology dans ma signature, il peut s'adapter à un nom de domaine autre, sauf pour la partie certificat wildcard.

Mais surtout, il est vital de ne pas ouvrir les ports DSM sur internet... À la limite, change le port par défaut de DSM, mais n'ouvre pas du tout le port HTTP, que le port HTTPS...
Je dirais même pour le moment, tant que tu ne maitrises pas le sujet, n'ouvre que le 80 et 443 sur internet pour ton site web.

edit : il est également vital pour toi de paramétrer correctement le parefeu du nas, voir tuto nom de domaine dans ma signature.

 

[FuRy]

Je vais tenter de répondre de manière organisée à tes messages...

il est également vital pour toi de paramétrer correctement le parefeu du nas, voir tuto nom de domaine dans ma signature.

MES REGLES DU PARE-FEU DU NAS: (J'allais y venir justement, ne me sentant vraiment pas à l'aise avec ça)

Comme j'ai activé le Pare-feu du NAS, j'imaginais qu'il fallait aussi autoriser certains Ports dessus (ouvrir sur la Box ne suffit pas). D'ailleurs certains Tutos ou vidéos que j'ai vu me confirmaient ça. Même si tous n'expliquent pas pareil comment faire les règles du pare feu Syno et que ça m'a un peu embrouillé.

Du coup, étant encore très novice pour faire une config "bien fouttue" et bien sécurisée pour le moment, j'ai tenté de n'autoriser que le strict minimum (en me disant que je paramétrerai mieux ensuite):


Je pense que c'est très mal configuré et que je vais devoir améliorer mes règles du pare-feu. Je voulais un truc provisoire pour tester si l'accès à mes sites web marchait là. J'ai pas assez creusé côté Pare-feu encore.
J'ai vu que certains ne géraient pas que les ports "autorisés" (avec ou sans régions, plages d'IP...) mais ajoutaient aussi des règles de ports refusés! Si c'est la meilleure méthode je vais devoir m'y mettre aussi...

Mais surtout, il est vital de ne pas ouvrir les ports DSM sur internet... À la limite, change le port par défaut de DSM, mais n'ouvre pas du tout le port HTTP, que le port HTTPS...
Je dirais même pour le moment, tant que tu ne maitrises pas le sujet, n'ouvre que le 80 et 443 sur internet pour ton site web.

Si y'a un risque avec DSM sur le net, je vais suivre ton conseil et le retirer donc. Il va me falloir retirer les ports 5500 / 5501 des autorisations sur ma Box mais aussi sur le Pare-Feu du NAS alors.

Si j'ai bien suivi, mes accès DSM via le réseau local ne seraient pas impactés si j'enlève les ports DSM du Pare-feu du NAS (l'ouverture n'impacte que les accès externes à ce que j'ai compris). De toute façon, j'suis pas chaud à l'idée d'ouvrir DSM sur le net à la base et je pensais tout faire de chez moi sur le réseau local. Si je veux exceptionnellement et ponctuellement utiliser DSM en déplacement, je peux p'tet autoriser un accès via un QuickConnect (et laisser les ports DSM fermés) par exemple. Bref, je vais devoir fermer mes ports 5500/5501. Merci du conseil.

... ..., je me dis qu'il faut que tu lises mon tuto sur le nom de domaine synology dans ma signature, il peut s'adapter à un nom de domaine autre, sauf pour la partie certificat wildcard.

... ...

edit : il est également vital pour toi de paramétrer correctement le parefeu du nas, voir tuto nom de domaine dans ma signature.

Ca fait 48h que je bouffe plein de sujets sur ce Forum (ou sur plein d'autres endroits) pour essayer de m'en sortir seul avec mon NAS, configurer et règler mes problèmes de sites. J'ai aussi regardé beaucoup de vidéos tutos et à vrai dire, tout le monde ne conseille pas les config Synology pareillement (on ne sait pas toujours qui suivre...). D'ailleurs ton tuto je l'avais déjà regardé aussi et je m'en suis inspiré pour certains trucs.

Par exemple, je me suis servi de ton tuto pour créer mon nom de domaine Synology dans la partie DDNS. Alors j'ai pas encore créé et configuré de sous domaines (file, dsm, photos...) comme toi avec. Mais ce domaine Syno est pour le moment utilisé comme nom de domaine personnalisé dans la partie DNS (j'ai pas fait de sous domaine ou de reverse proxy: mon nom de domaine m'amène direct sur le DSM en fait, ne l'utilisant pas pour faire du web). Au pire je modifierai ça aussi. Je vais p'tet essayer aussi de reprendre les choses à ta façon finalement et tester le reverse proxy. Ca fera pas de mal même si ça règle pas le problème.

Mais je vais revenir au problème initial (même si tous vos conseils "autres" sont bons à prendre pour m'améliorer): En lisant ton tuto hier, j'avais vu que tu parlais de sous domaines à inclure dans le certificat Syno, je suis resté bloqué là dessus en fait (me disant que je pourrais pas lier d'autres noms de domaines achetés comme on le ferait avec des sous domaines du compte Syno au certificat).

Du coup j'ai tenté d'autres pistes comme essayer de demander des certificats SSL directement avec les noms de domaines que je veux rediriger mais ça n'a pas l'air de régler le problème non plus.


M'enfin tout ça c'est un casse tête... En plus d'avoir d'avoir beaucoup de nouvelles choses à découvrir avec ce NAS, pas mal de trucs à configurer, je me bats pour tenter d'afficher mes sites web via leurs domaines!

 

[FuRy]

Avant d'essayer de résoudre ton souci, je te conseillerais de masquer ton nom de domaine complètement, et de le remplacer par une chaine générique du style : ndd.fr, ou service.ndd.fr
Car avec lui, on peut remonter à ton adresse IP.

J'avais pas vu qu'il y avait eu un autre message avant. OUPS


Du coup je vais répondre à celui là aussi mais j'ai pas bien saisi le conseil en fait.


Quand tu parles de "masquer le nom de domaine complétement", tu parles du nom de domaine Syno ou des 2 noms de domaine associés à mes sites web ? Désolé si j'ai l'air d'un débile en posant ces questions mais je veux clarifier le truc.

... ... remplacer par une chaine générique du style : ndd.fr, ou service.ndd.fr

Je suis pas sûr de bien comprendre non plus. En gros tu me dirais de remplacer le nom de domaine du site par un nom bidon (pas un nom de domaine valide acheté)? Et c'est où que je changerai ça? Dans le nom d'hôte du Virtual Host ?


Vraiment désolé si je pose des questions bêtes qui peuvent vous paraitre évidentes....

 

[zypos]

Masquer les noms de domaine et les remplacer par une chaine générique : le but c'est d'éviter des attaques , n'importe qui peut venir sur ce forum et laisser un nom de domaine en clair peut inciter des personnes mal intentionner . De plus il existe des outils qui à partir d'un nom de domaine permette d' avoir son adresse IP et même sa localisation.
Pour le pb des certificats SSL : dans mon cas j'ai deux noms de domaine qui pointent vers mon NAS avec 2 certificats let'S Encrypt
Cela se configure dans le panneau de configuration / sécurité /Certificats . Les deux certificats apparaissent et sont bien actifs .
Je pense que dans ton cas il faudrait générer un certificats pour chaque nom de domaine ; mais j'ignore s'il y a une limitation au niveau du nb de certificats possibles;

 

[FuRy]

Masquer les noms de domaine et les remplacer par une chaine générique : le but c'est d'éviter des attaques , n'importe qui peut venir sur ce forum et laisser un nom de domaine en clair peut inciter des personnes mal intentionner .

Ah, j'avais pas compris du tout. Vous parlez pas de changer mes noms de domaines dans les paramétrages du NAS en fait mais simplement de les flouter ou de les remplacer dans mes screens postés sur le forum , c'est ça?
Ca me rassure si c'est ça! Je pensais devoir changer mes noms dans les paramètres et je comprenais pas le but.

En vrai, dans les screens que j'ai posté plus haut, j'avais déjà flooté ou tronqué partiellement la plupart des données personnelles (adresse IP externes, coordonnées diverses, noms d'utilisateurs etc...). Mais je pensais pas que laisser le nom de domaine concerné en clair pouvait aussi être risqué.

Du coup, j'ai édité mes messages précédents et ainsi flooté mes noms de domaines sur les photos. Merci du conseil.

... De plus il existe des outils qui à partir d'un nom de domaine permette d' avoir son adresse IP et même sa localisation...

Perso, j'ai sélectionné l'option Whois IP anonyme quand j'ai acheté mes noms de domaine! Je pensais que ça suffisait à pas divulguer de données personnelles via mes nom de domaine et à ne pas être contacté sur mon mail etc via ce nom. Après y'a p'tet d'autres moyens de m'emmerder via mon nom de domaine alors dans le doute, vaut mieux se protéger oui. Alors je flouterai les noms de domaine sur les photos comme conseillé sur ce Forum désormais.

 

[FuRy]

Pour le pb des certificats SSL : dans mon cas j'ai deux noms de domaine qui pointent vers mon NAS avec 2 certificats let'S Encrypt
Cela se configure dans le panneau de configuration / sécurité /Certificats . Les deux certificats apparaissent et sont bien actifs .
Je pense que dans ton cas il faudrait générer un certificats pour chaque nom de domaine ; mais j'ignore s'il y a une limitation au niveau du nb de certificats possibles;

J'ai tenté cette méthode du coup. Ca règle p'tet pas tout mais c'est une piste pour le certif déjà!

En plus des 2 certificats initiaux (en haut sur l'image: le certif DDNS Syno et un 2ème certif QuickConnect que j'avais fait pour tester quick truc aussi), j'ai demandé des certificats de mes 2 noms de domaine de redirection pour mes 2 sites web sur le NAS (les deux entouré en rouge sur l'image et ajoutés y'a quelques minutes):




J'ai toujours mon erreur 403 (qui doit venir d'autre chose) mais pour le moment, je vais laisser comme ça et tenter d'autres pistes.


J'aurai pas pensé que c'était autant un casse tête de paramétrer 2 redirections de noms de domaines vers mes sites sur un NAS et surtout de les faire fonctionner.

Là je vais devoir encore chercher d'autres pistes (p'tet dans les paramètres utilisateurs du groupe http). C'est par rapport à ce groupe que se calquent les paramètres d'accès des répertoires (lecture/écriture) sur mes sites web ?

 

[pierre liths]

Je pense que tu n'as pas trop le choix que de passer par un reverse proxy pour faire pointer deux sites. As-tu bien réglé celui intégré à Synology ?

 

[zypos]

Ah, j'avais pas compris du tout. Vous parlez pas de changer mes noms de domaines dans les paramétrages du NAS en fait mais simplement de les flouter ou de les remplacer dans mes screens postés sur le forum , c'est ça?

Tu as parfaitement compris . Pour les certificats SSL j'ai oublier une info : une fois le certificat créer dans certificat / sécurité il faut cliquer sur paramètres et affecter le certificat au nom de domaine voulu .

 

[FuRy]

Tu as parfaitement compris . Pour les certificats SSL j'ai oublier une info : une fois le certificat créer dans certificat / sécurité il faut cliquer sur paramètres et affecter le certificat au nom de domaine voulu .
Voir la pièce jointe 7938

Et bah c'est marrant car ton conseil m'a fait remarqué autre chose. Quand je vais dans "paramètres" du certificat principal de domaine Synology, je vois chaque lignes de services qui lui sont attribuées. Et les 2 lignes de la fin correspondent aux 2 adresses de mes domaines externes (qui sont d'ailleurs déjà attribuées au certificat Synology).

Du coup, créer des certifs à part pour mes 2 domaines externes est probablement inutile (ils avaient déjà été inclus dans mon certificat Synology par défaut et j'avais pas remarqué). Du coup, j'ai sûrement pas besoin de rajouter des certificats supplémentaires pour les noms de domaine de mes 2 sites web.

Bref, encore une piste à exclure car mon problème (erreur 403) ne vient donc sûrement pas du certificat!

A force de suivre toutes les pistes et réglages conseillés (même s'ils sont indépendants de mon problème de site web), mes paramétrages de NAS vont finir par être meilleurs. Et surtout, en éliminant les psites de mauvais réglages ou paramètres uns par uns, je vais finir par trouver ce qui produit mon erreur! Je perds pas espoir.

 

[FuRy]

Je pense que tu n'as pas trop le choix que de passer par un reverse proxy pour faire pointer deux sites.

Même si le problème d'affichage de mes sites (l'erreur 403) ne vient pas de là, de toute façon améliorer mes paramétrages en Reverse Proxy (comme l'a conseillé @MilesTEG1 dans son tuto) ne peut être que bénéfique pour la suite et les autres services!

Je n'avais pas encore tout fini de paramétrer sur mon NAS car je voulais surtout régler cette histoire de sites web avant (pour me rassurer sur comment faire). Mais de toute façon, il faudra que je passe par là pour avoir une meilleure config du NAS et de ses services. Et surtout qu'il soit sécurisé avant d'y mettre de vraies données!

Du coup, si l'utilisation de Virtual Hosts n'est pas suffisante pour héberger 2 sites et qu'il faut absolument coupler ça avec un reverse proxy, j'essaierai ça aussi. Mais l'erreur 403 montre qu'il trouve le chemin de mes site (c'est pas une 404 ou autres...) mais que c'est plutôt une histoire d'autorisation pour y accéder à priori!

As-tu bien réglé celui intégré à Synology ?

Justement cette question pointe vers un nouvel indice, enfin c'est ce que je me dis! Mon site web sur l'adresse Synology ne marche pas non plus. Ca semblerait aller dans le sens du fait que mon erreur ne viendrait pas de problèmes de certifs, domaines, virtuals hosts etc...

Si on fait le lien avec le site web de base pointé par Synology (dans le répertoire web), j'ai exactement le même soucis que pour mes 2 sites (à part dans les autres dossiers) en Virtual Host: j'ai aussi une erreur 403!!!

- En fait comme je n'utilisais pas le site web pointé par l'adresse Synology DDSM, j'ai utilisé cette adresse en direct pour qu'elle m'amène plutôt sur le portail DSM (via la personnalisation dans Portail de connexion/DSM/domaine)
.
- Mais si pour tester, je l'enlève de cette redirection, elle retourne à son état inital (C.a.d qu'elle pointe vers le site web de base et l'index.html situé dans le dossier web). Du coup, quand je la laisse d'origine (qu'elle est sensée m'amener sur le site web (du répertoire web) de l'adresse Synology). Mais d'origine donc, avec des régalages normaux, j'ai aussi une erreur 403 comme pour mes 2 autres sites web.
Je sais pas si j'explique bien mais dans ma tête ça parait clair!


Du coup que ce soit pour le site web de base (pointé par le domaine Synology) ou pour mes autres sites (ceux que je veux héberger au final), il faut que je trouve qu'est ce qui procure ce problème d'accès (erreur 403): des droits utilisateurs? de groupe? autorisation de NAS? ou autre chose?

 

[MilesTEG]

Oula, il y a eu du dialogue
je n'ai pas eu le temps de tout lire, mais une chose qui m'a sauté aux yeux, c'est l'histoire du reverse proxy et des virtuals hosts.
Il ne faut pas cumuler les deux !
Et pour des sites hébergés sur le NAS, via webstation, il n'y a pas le choix que de passer par des virtual host...
Je vais essayer de faire un exemple dans un moment.
Et quand j'aurais davantage de temps, je relairais tout le sujet ^^

Mais sinon, as-tu bien paramétré Webstation ? Serveur apache ou nginx ? version de PHP ? etc...

 

[MilesTEG]

Bon je viens de faire un test rapide avec un site internet dans mon dossier web.
J'ai créé un VirtualHost, basé sur le nom, pointant sur le dossier du site web. Avec soit Apache ou Nginx comme serveur Web (les deux fonctionnent bien, mais je préfère laisser le travail à Apache). Et avec PHP8.0.
Une dernière chose à faire, c'est d'affecter le bon certificat LE au nom de domaine voulu pour le site web.
Et voilà, via le nom de domaine, j'accède bien au site internet.

Je précise que je n'ai fait aucune entrée dans le reverse proxy pour le site internet.
Donc voilà ^^

@FuRy : As-tu bien affecté le bon certificat au nom de domaine après la création du virtualhost ?

Autres questions :
- as-tu défini un profil de contrôle d'accès ?
- As-tu bien activé PHP ?
- As-tu modifié les règles de ton parefeu ?
- As-tu essayé l'accès au site web depuis le LAN ou bien depuis l'extérieur, via une connexion 4G par exemple ?
- Tu es chez quel FAI ? Vu que l'interface du modem est celle d'une Livebox, je suppose que c'est Orange ou Sosh Normalement pas de soucis d'IP partagée chez eux.

Je pense que c'est très mal configuré et que je vais devoir améliorer mes règles du pare-feu. Je voulais un truc provisoire pour tester si l'accès à mes sites web marchait là. J'ai pas assez creusé côté Pare-feu encore.

Pourtant, c'est le premier truc que tu devrais faire ! Avant même d'rouvrir les ports sur la box, surtout des ports par défaut, donc objets d'attaques importantes !
Voir §3 de ce post : https://www.forum-nas.fr/threads/mi...uration-du-pare-feu-du-nas.18791/#post-121486
(lire les autres, notamment le début et la fin du §2 pour la modification des ports par défaut, et pour la configuration du certificat pour une utilisation du Virtual Host (même démarche que pour le reverse proxy).

- As-tu modifié les ports de DSM ? Et enlevé ces redirections dans la Livebox ?

Ca fait 48h que je bouffe plein de sujets sur ce Forum (ou sur plein d'autres endroits) pour essayer de m'en sortir seul avec mon NAS, configurer et règler mes problèmes de sites. J'ai aussi regardé beaucoup de vidéos tutos et à vrai dire, tout le monde ne conseille pas les config Synology pareillement (on ne sait pas toujours qui suivre...). D'ailleurs ton tuto je l'avais déjà regardé aussi et je m'en suis inspiré pour certains trucs.

Par exemple, je me suis servi de ton tuto pour créer mon nom de domaine Synology dans la partie DDNS. Alors j'ai pas encore créé et configuré de sous domaines (file, dsm, photos...) comme toi avec. Mais ce domaine Syno est pour le moment utilisé comme nom de domaine personnalisé dans la partie DNS (j'ai pas fait de sous domaine ou de reverse proxy: mon nom de domaine m'amène direct sur le DSM en fait, ne l'utilisant pas pour faire du web). Au pire je modifierai ça aussi. Je vais p'tet essayer aussi de reprendre les choses à ta façon finalement et tester le reverse proxy. Ca fera pas de mal même si ça règle pas le problème.

Alors, on ne crée pas les sous-domaines ^^ On les utilise dans le reverse proxy ou dans les virtual host. C'est cette utilisation qui va les "créer" et les faire apparaitre dans la liste des services pour les certificats.

Du coup j'ai tenté d'autres pistes comme essayer de demander des certificats SSL directement avec les noms de domaines que je veux rediriger mais ça n'a pas l'air de régler le problème non plus.


M'enfin tout ça c'est un casse tête... En plus d'avoir d'avoir beaucoup de nouvelles choses à découvrir avec ce NAS, pas mal de trucs à configurer, je me bats pour tenter d'afficher mes sites web via leurs domaines!

Je vois que tu essayes diverses choses ^^
En soi c'est bien, mais le soucis c'est que ça peut complexifier notre démarche pour trouver où ça bloque...
Il faudrait que tu défasses tout ce que tu as fait
Garde le nom de domaine Synology et les certificats associés. (J'espère que tu as fait un certificat Wildcard pour celui là ^^)
Il est à savoir que pour un nom de domaine autre que Synology, tu ne peux pas avoir de certificat Wildcard (valable pour *.ndd.fr), ce n'est pas permis par DSM (il y a des techniques pour le faire autrement, mais c'est complexe pour toi qui débute.
Dans un premier temps utilise que ndd.fr pour ton site.

Là je vais devoir encore chercher d'autres pistes (p'tet dans les paramètres utilisateurs du groupe http). C'est par rapport à ce groupe que se calquent les paramètres d'accès des répertoires (lecture/écriture) sur mes sites web ?

Ne touche pas les permissions de ces groupes !!!
Laisse comme c'est, ça doit fonctionner sans toucher à ça.

Et bah c'est marrant car ton conseil m'a fait remarqué autre chose. Quand je vais dans "paramètres" du certificat principal de domaine Synology, je vois chaque lignes de services qui lui sont attribuées. Et les 2 lignes de la fin correspondent aux 2 adresses de mes domaines externes (qui sont d'ailleurs déjà attribuées au certificat Synology).

Du coup, créer des certifs à part pour mes 2 domaines externes est probablement inutile (ils avaient déjà été inclus dans mon certificat Synology par défaut et j'avais pas remarqué). Du coup, j'ai sûrement pas besoin de rajouter des certificats supplémentaires pour les noms de domaine de mes 2 sites web.

Bref, encore une piste à exclure car mon problème (erreur 403) ne vient donc sûrement pas du certificat!

Attention, un certificat LE est généré pour un nom de domaine bien précis.
Celui du domaine synology ne fonctionnera que pour lui (et ses "sous-domaines" comme toto.ndd.synology.me), mais pas pour ton ndd.fr.
Il faut que tu génères un certificat rien que pour lui.

C'est dans Autre nom de l'objet que tu pourras mettre des sous-domaines, mais il faut les lister tous, séparé par des ; .
Et le champ est limité en taille de caractère. Dernier inconvénient : tous les domaines ainsi spécifiés apparaissent en clair dans le certificat, ce qui peut poser quelques soucis...
On pourra y revenir dessus quand tu auras tes sites de fonctionnels.
Mais procédons par étapes, un site après l'autre.

A force de suivre toutes les pistes et réglages conseillés (même s'ils sont indépendants de mon problème de site web), mes paramétrages de NAS vont finir par être meilleurs. Et surtout, en éliminant les psites de mauvais réglages ou paramètres uns par uns, je vais finir par trouver ce qui produit mon erreur! Je perds pas espoir.

C'est le but de tout apprentissage
On se casse les dents sur certains soucis, mais on apprend, et on progresse ^^
C'est ce que je dis à mes étudiants/élèves.

Du coup, si l'utilisation de Virtual Hosts n'est pas suffisante pour héberger 2 sites et qu'il faut absolument coupler ça avec un reverse proxy, j'essaierai ça aussi. Mais l'erreur 403 montre qu'il trouve le chemin de mes site (c'est pas une 404 ou autres...) mais que c'est plutôt une histoire d'autorisation pour y accéder à priori!

Ne fait surtout pas d'entrée de reverse proxy !!

Justement cette question pointe vers un nouvel indice, enfin c'est ce que je me dis! Mon site web sur l'adresse Synology ne marche pas non plus. Ca semblerait aller dans le sens du fait que mon erreur ne viendrait pas de problèmes de certifs, domaines, virtuals hosts etc...

Si on fait le lien avec le site web de base pointé par Synology (dans le répertoire web), j'ai exactement le même soucis que pour mes 2 sites (à part dans les autres dossiers) en Virtual Host: j'ai aussi une erreur 403!!!

- En fait comme je n'utilisais pas le site web pointé par l'adresse Synology DDSM, j'ai utilisé cette adresse en direct pour qu'elle m'amène plutôt sur le portail DSM (via la personnalisation dans Portail de connexion/DSM/domaine)
.
- Mais si pour tester, je l'enlève de cette redirection, elle retourne à son état inital (C.a.d qu'elle pointe vers le site web de base et l'index.html situé dans le dossier web). Du coup, quand je la laisse d'origine (qu'elle est sensée m'amener sur le site web (du répertoire web) de l'adresse Synology). Mais d'origine donc, avec des régalages normaux, j'ai aussi une erreur 403 comme pour mes 2 autres sites web.
Je sais pas si j'explique bien mais dans ma tête ça parait clair!

Hmmm, je dois fatiguer, car je n'ai pas compris grand-chose

Avant de te demander de ré-expliquer autrement, fait déjà tout ce que j'ai dit avant ^^ et moi je relirais tout ça demain

Sur ce, bon courage et bonne nuit

 

[cooper]

Du coup que ce soit pour le site web de base (pointé par le domaine Synology) ou pour mes autres sites (ceux que je veux héberger au final), il faut que je trouve qu'est ce qui procure ce problème d'accès (erreur 403): des droits utilisateurs? de groupe? autorisation de NAS? ou autre chose?

Avant toute chose, vérifies bien les points évoqués par @MilesTEG1, ce qui te permettra de partir d'une configuration saine et bien paramétrée.

Ensuite le renvoi du code HTTP 403 évoque qu'un serveur httpd répond bien mais interdit l'accès à la ressource demandée.
Tu parles de problèmes de lecture/écriture, c'est très bien mais as-tu vérifié que l'exécution (la possibilité de traverser une hiérarchie de répertoires) soit possible pour atteindre la ressource demandée (le fichier auquel tu souhaites accéder; ici le fichier index.html de ton domaine virtuel) ?

C'est une erreur classique concernant les permissions Unix pour les jeunes webmasters

Assures-toi que tout utilisateur puisse traverser la hiérarchie de répertoires pour accéder à la ressource demandée (le bit "x").

Exemple affichant uniquement les permissions Unix :

$ /bin/ls -vahlF --color=auto -R /volumeX/web/
/volumeX/web/:
total 16K
dr-xr-xr-x+  2 root http 4,0K janv. 30 11:36 ./
drwxr-xr-x  44 root root 4,0K janv. 30 08:07 ../
-rw-r--r--   1 http http   59 juin  16  2022 index.php

Exemple affichant les permissions Unix et les ACLs (Access Control List) qui se conjuguent :

$ /bin/ls -vahlF --color=auto -Re /volumeX/web/
/volumeX/web/:
total 16K
dr-xr-xr-x+  2 root http 4,0K janv. 30 11:36 ./
     [0] user:admin:allow:rwxp-DaARWc--:fd-- (level: 0)
     [1] user:http:allow:r-x---a-R-c--:fd-- (level: 0)
     [2] everyone::allow:--x----------:fd-- (level: 0)
     [3] group:http:allow:r-x---a-R-c--:fd-- (level: 0)

drwxr-xr-x  44 root root 4,0K janv. 30 08:07 ../
-rw-r--r--   1 http http   59 juin  16  2022 index.php

En résumé, après avoir suivi les indications de @MilesTEG1, connectes-toi à ton NAS via SSH et montres-nous les permissions sur la hiérarchie de la racine utilisée par WebStation avec la commande shell suivante (par défaut /volumeX/web/ (ou "X" définit le volume utilisé si tu en as plusieurs)) :

/bin/ls -vahlF --color=auto -Re /volumeX/web/

 

[FuRy]

Je profite d'une pause entre deux de travailler pour te répondre @MilesTEG1 (l'avantage du Télé-travail). Y'a eu beaucoup de choses évoquées et je vais essayer d'y répondre de manière ordonnée sans rien oublier. On va finir par y arriver, je l'espère...

En tout cas, avant de commencer: MERCI A VOUS TOUS pour le temps que vous perdez à tenter de m'aider!

Et pour des sites hébergés sur le NAS, via webstation, il n'y a pas le choix que de passer par des virtual host...
... ...

Mais sinon, as-tu bien paramétré Webstation ? Serveur apache ou nginx ? version de PHP ? etc...

Je ne sais pas sir j'ai correctement paramétré WebStation mais en même temps, c'est pas le plus compliqué à gérer dans le NAS je pense (il n'y a pas beaucoup d'onglets et de choses à configurer dedans). J'suis pas sûr de moi à 100% mais je ne pense pas que ce soit ici que j'ai mal fait quelque chose. Mais on va tenter d'analyser cette partie aussi du coup.

Voici un aperçu de ma page statut de Web Station:



Je n'ai pas activé ou configuré de service d'accueil d'utilisateur dans mes paramètres et je n'utilise pas la fonctionnalité du site Web personnel. Je passe par le serveur par défaut pour le site Web de base (dans le dossier Web si j'ai bien suivi) et par le portail de services web pour mes Virtual Hosts (avec mes 2 sites web et leurs noms de domaines distincts).

A ce que j'ai compris, c'est encore autre chose de passer par le "site web personnel" (liés à différents répertoires utilisateurs) et je n'ai pas activé ce truc donc. Mais si on me dit que c'est nécessaire je m'en servirai. Pour le moment, c'est pas actif. Bref

Sinon, voici la structure de mon portail de services Web Station:



On voit ici mon serveur par défaut et mes 2 Virtual Host et leurs noms de domaine. Dans l'onglet "paramètres du langage de script", j'ai laissé les paramètres par défaut de mon PHP 8.0 et j'ai rien touché dans l'onglet de "paramètres de la page d'erreur" pour effectuer mes essais.

Du côté de mes Virtual Hosts, le "Network" est basé sur le nom (mon-domaine.fr) avec les ports 80/443 et ça change rien que je coche ou non le HSTS.

Et voici un aperçu de l'onglet "Back-end" tel qu'il est dans chaque Virtual Host:



J'ai choisi Apache HTTP Serveur 2.4 et PHP 8.0 dans ma config à la base. Comme ça marchait pas, j'avais aussi testé avec Nginx et d'autres versions de PHP (sans succès) avant de remettre cette config Apache et PHP initiale.

Autres questions :
- as-tu défini un profil de contrôle d'accès ?

Alors, ça non! J'ai fait les choses par étapes, touchant les paramétrages uns à uns (en suivant divers Tutos et en faisant onglets par onglets) mais quand je ne savais pas à quoi servait quelque chose (ou si ça avait une utilité pour ce que je faisais), je n'y touchais pas. J'évite de faire des clics au hasard. J'ai surtout paramétré les trucs importants (qu'on me conseillait à droite et à gauche ou quand j'en comprenais l'utilité) mais je me disais que j'affinerai et toucherai aux autres trucs plus tard si nécessaire.

Pour la parenthèse un peu hors sujet du coup, côté "utilisateurs/groupes" j'ai:

- créé quelques utilisateurs avec différents droits suivant qui c'est sur mon réseau local. (et j'ai désactivé admin et guest comme conseillé)
- laissé les 3 groupes par défaut (administrators, http et users) sans toucher à leurs réglages ou sans ajouter de nouveau groupe pour le moment.


Pour revenir aux profils de contrôle d'accès (de l'onglet portail de connexion), c'est clairement un truc auquel je n'ai pas du tout touché pour le moment (ne sachant pas encore à quoi ça servait, à quel service/réglage c'était destiné ou comment ça se gérait: j'ai laissé de côté et j'ai pas cherché à m'informer dessus encore). Donc je n'ai aucun profil de contrôle d'accès sélectionnable quand je créé un Virtual Host puisqu'aucun n'est créé dans la section dédiée à ça.

Si c'est absolument nécessaire de créer des profils de contrôle d'accès pour certaines fonctionnalités ou autres du NAS, il faut me le dire et je tenterai de comprendre et trouver comment ça fonctionne et comment créer mes profils. mais pour le moment je laisse tel quel.

As-tu modifié les ports de DSM ? Et enlevé ces redirections dans la Livebox ?

Mes ports de DSM sont 5500 et 5501 (je n'ai pas changé beaucoup les nombres mais c'est plus les 5000 et 5001 d'origine). On m'avait conseillé de changer les ports par défaut de DSM et ceux de File Station et c'est ce que j'ai fait.

Suite à ton message sur "ne pas ouvrir DSM sur le net", j'ai immédiatement viré les ports 5500 et 5501 de ma box. Du coup désormais, les seuls trucs ouverts correspondant au NAS sur ma box sont les ports 80 et 443:



D'ailleurs je me demande si le Port 443 serait suffisant pour les accès web (si je pouvais enlever le Port 80 pour privilégier le HTTPS) ou si l'autre doit absolument rester ouvert aussi. Mais y'a pas d'urgence sur ce point qui restera à affiner plus tard....

As-tu essayé l'accès au site web depuis le LAN ou bien depuis l'extérieur, via une connexion 4G par exemple ?

Les deux: Que ce soit sur un des ordis de mon réseau local (wifi ou ethernet) ou sur des téls ou ordi externes (4G...), j'ai la même erreur 403 pour ouvrir la page web!

Je vois que tu essayes diverses choses ^^
En soi c'est bien, mais le soucis c'est que ça peut complexifier notre démarche pour trouver où ça bloque...
Il faudrait que tu défasses tout ce que tu as fait

En général, quand je fais des tests de configuration ou que je tente d'autre réglages (pour solutionner un problème X), j'essaie d'être ordonné: si une modif ne règle pas le problème je remets la config comme à l'état précédent, avant de tester autre chose. Ca évite de toucher à tout sans savoir, de plus savoir ce qu'on a changé ou non surtout et de plus ça évite de créer de nouveaux problèmes! Je suis p'tet débutant en NAS (et pas très doué en admin réseau et webmastering) mais je suis pas non plus l'utilisateur lambda qui comprend rien en informatique (je travaille en dév web), j'ai de bonnes bases et méthodes pour apprendre et m'organiser.

Ainsi normalement, j'pense pas non plus avoir trop foutu le bordel dans mon NAS. Débutant là dessus, j'ai suivi pas mal de conseils et tutos divers (pour les premiers paramétrages d'un NAS Synology) mais sans non plus toucher à tout quoi (beaucoup de choses sont encore paramétrées par défaut).

J'apprends, je m'améliore et je dois juste trouver la cause d'un problème XX (mon erreur 403) pour ensuite continuer à finir de paramétrer mon NAS et le protéger! J'évite au maximum le hasard ou le "au pif" quoi (pour la précision).

As-tu bien affecté le bon certificat au nom de domaine après la création du virtualhost ?

... ...

Garde le nom de domaine Synology et les certificats associés. (J'espère que tu as fait un certificat Wildcard pour celui là ^^)
Il est à savoir que pour un nom de domaine autre que Synology, tu ne peux pas avoir de certificat Wildcard (valable pour *.ndd.fr), ce n'est pas permis par DSM (il y a des techniques pour le faire autrement, mais c'est complexe pour toi qui débute.
Dans un premier temps utilise que ndd.fr pour ton site.

Après plusieurs essais de configs différentes pour mes certificats, j'en suis revenu hier soir à que tu conseilles:

- un certif Wildcard pour le domaine Syno et tous ses services ou sous domaines
- 2 certifs différents pour les deux noms de domaines de mes sites web

Et j'ai bien pointé vers les bons certifs dans les paramètres! Si les certifs LE (même si non-wildcard) suffisent pour mes noms de domaines de sites, normalement de ce côté là, c'est bien réglé...

Voir ci-dessous:



Je pense que c'est bon ainsi.

As-tu modifié les règles de ton parefeu ?

... c'est le premier truc que tu devrais faire ! Avant même d'rouvrir les ports sur la box, surtout des ports par défaut, donc objets d'attaques importantes !
Voir §3 de ce post : https://www.forum-nas.fr/threads/mini-tuto-création-dun-nom-de-domaine-synology-gratuit-utilisation-du-reverse-proxy-pour-les-applications-configuration-du-pare-feu-du-nas.18791/#post-121486
(lire les autres, notamment le début et la fin du §2 pour la modification des ports par défaut, et pour la configuration du certificat pour une utilisation du Virtual Host (même démarche que pour le reverse proxy).

Alors comme dit précédemment, j'ai enlevé la plupart des ports que j'avais ouvert précédemment sur la Box. Je n'ai laissé que les ports 80 et 443 (en accès via internet) pour mes tests d'accès aux sites web de mon NAS.

Alors par contre, pour le Pare-feu du NAS, j'étais à la ramasse complet je pense et c'était pas forcément ouvert ou fermé correctement.

Du coup, j'ai repris un peu tout à zéro. J'ai pas cherché à refaire comme dans certaines vidéos de config NAS (que j'avais vu avant) mais j'ai suivi tes explications du coup. Hier soir, j'ai recommencé à zéro toutes mes règles de pare-Feu NAS (avant de me coucher) mais j'ai pas tout à fait fini, trop fatigué. Les lignes de règles que j'ai mises chez moi sont quasi les même que sur ton tuto maintenant. Je dois juste finir la ligne "refuser" (tous tous tous) de la fin des règles il me semble.

Là je vais reprendre le taf un peu (j'ai un formulaire Java-Spring à finir pour ma dead line du jour) mais en fin d'aprem, dès que j'ai officiellement fini ma journée, je retourne vérifier et finir mes règles de pare-feu. Ce soir, je continuerai d'essayer de régler le problème!


Du coup, je posterai un SCREEN du PARE-FEU ICI (en éditant ce message) d'ici la fin d'aprem!!!


Merci encore pour le temps passé à me lire et à essayer de m'aiguiller sur mon problème!!!!

 

[FuRy]

Tu parles de problèmes de lecture/écriture, c'est très bien mais as-tu vérifié que l'exécution (la possibilité de traverser une hiérarchie de répertoires) soit possible pour atteindre la ressource demandée (le fichier auquel tu souhaites accéder; ici le fichier index.html de ton domaine virtuel) ?

C'est une erreur classique concernant les permissions Unix pour les jeunes webmasters

Assures-toi que tout utilisateur puisse traverser la hiérarchie de répertoires pour accéder à la ressource demandée (le bit "x").

... ... ...

En résumé, après avoir suivi les indications de @MilesTEG1, connectes-toi à ton NAS via SSH et montres-nous les permissions sur la hiérarchie de la racine utilisée par WebStation avec la commande shell suivante (par défaut /volumeX/web/ (ou "X" définit le volume utilisé si tu en as plusieurs)) :

/bin/ls -vahlF --color=auto -Re /volumeX/web/

En répondant à @MilesTEG1 (avec mon gros pavé de texte et images), j'avais pas vu ton message arrivé entre temps. J'ai failli le louper ^^

A savoir que j'ai pas encore touché au SSH (il n'est pas activé sur mon NAS).

Mais dès que j'ai un moment après la journée de taf, j'irai voir la procédure pour l'activer et vérifier les permissions comme tu l'as suggéré. C'est une bonne piste qui peut-être résoudra mon problème...

Je te tiens au courant dès que possible ^^ MERCI

 

[FuRy]

@MilesTEG1 : J'avais dit que j'allais éditer la fin d'un précédent Post pour y ajouter un Screen de ma config avec les règles de Pare-feu du NAS mais en fait, je trouve ça plus simple tout simplement de répondre à la suite (tu verras que j'ai UP avec cette réponse).

As-tu modifié les règles de ton parefeu ?

Je pensais pas avoir fini d'ajouter mes règles hier soir avant le dodo. Mais je viens de vérifier à l'instant et ça m'a l'air correcte dans l'état. J'ai fait un truc simple mais suffisant pour le moment: ça évoluera sûrement ultérieurement si je rajoute des services mais pour le moment pas besoin je pense.

Pour résumer mon pare-feu:

- J'ai ouvert tous mes ports et protocoles à toutes les adresses IP du réseau local (C'est dispo pour tous les appareils chez moi).
- J'ai ouvert le Port 443 pour les services HTTPS (pour l'accès à mes sites web) sans restrictions d'IP ou de pays
- J'ai ajouté l'ouverture des IP pour Docker (comme configuré dans ton Tuto) car je vais sûrement l'utiliser parfois

- Et enfin, comme conseillé, j'ai refusé tous les Ports, Protocoles et IP qui ne sont pas dans les règles précédentes autorisées

Voilà ça en image (c'est des IP locales alors j'ai pas eu besoin de flooter):



Comme tu peux le remarquer, j'ai 2 lignes de règles qui correspondent à l'ouverture complète pour mes appareils en LAN. En fait j'avais d'abord fait la règle avec une plage d'IP (pour tous les appareils de la maison) comme sur la deuxième ligne. Mais en regardant ton tuto, j'ai vu que tu faisais autrement (tu renseignais l'adresse IP de la box/réseau avec le masque de sous réseau comme c'est écrit dans la première ligne).

Alors je suis pas très doué sur tout ce qui est "config/admin réseau" mais j'ai l'impression que les 2 méthodes fonctionnent et amènent au même résultat. Dans le doute j'ai écrit à ta façon et désactivé comme j'avais fait moi pour la partie LAN.

Comme tu le vois il n'y a pas beaucoup de règles car pas grand chose à autoriser pour le moment. Je fais le strict minimum. J'ajouterai des ouvertures ultérieurement (pour des accès externes) si je devais utiliser d'autres services (comme Drive, FileStation, Photos, Audio...). mais je ferai ça au fur et à mesure.



Voilà donc pour résumer mes règles de pare-feu. Si tu as d'autres conseils à me donner, des suggestions à ce sujet ou si j'ai mal fait un truc, je suis à l'écoute. En attendant ta réponse ou d'autres interventions, je vais continuer à chercher des pistes pour résoudre mon problème. Après le dessert, je m'attaque à l'ouverture du service SSH pour tester ce que m'a demandé @cooper . Je vous tiendrai informé de la suite....

 

[MilesTEG]

@FuRy
Wahhh, et beh, tu en as fait des choses ^^ et bonnes en plus de mon point de vue.
Ton pare-feu me semble bien configuré ^^
Ta règle n°2 (dans le rectangle en rouge) est incluse dans la première. Tu peux la supprimer.
Si tu autorises 192.168.1.1 -> 192.168.1.254 c'est exactement pareil que la règle qui autorise : 192.168.1.1/255.255.255.0.

Avant de tenter l'accès en SSH, regarde les permissions du dossier web depuis FileStation.
Chez moi c'est comme ça :


@cooper a raison, il y a quelque chose qui bloque l'accès.
Tu ne voudrais pas faire un petit index.html tout simple dans la racine de ce dossier ? Et le même dans un dossier que tu crées pour l'occasion.
Tu reconfigures tes virtualhost pour pointer sur la racine de /web/ pour l'un, et dans le dossier pour l'autre.
Et dis-moi si ça fonctionne ou pas.

Et si ça ne fonctionne pas, désactive les redirections de port dans la Livebox pour le NAS, et désactive le pare-feu, et retente.

PS : et là je me dis, que cette dernière chose risque de ne pas fonctionner... car depuis ton LAN, en utilisant le nom de domaine, l'adresse IP que va voir le NAS ce sera celle de ta connexion internet... et la LB risque de ne pas aimer faire ça XD