Synology HELP HELP HELP ---- Perdu dans la configuration des ports

PinheadBE

Padawan
16 Mai 2024
105
34
68
56
Belgique
Professionnel
Non
Bonjour,

Je suis complètement perdu.
J'ai une config à peu près stable, je peux accéder à tout, mais comme je n'ai jamais réussi à configurer les ports pour eMule, j'ai pas mal galéré, et je crois que j'ai maintenant une configuration un peu trop "permissive" qui pourrait m'exposer (mon NAS ou mes autres périphériques sur mon LAN) à des expositions trop dangereuses.

Mon réseau est composé de trois éléments principaux:
- une box de mon opérateur qui me fournit un Wi-Fi secondaire pour mes petits périphériques "smart", ou en cas de panne de mon réseau principal
- un routeur Asus AX5400 (relié à la box par RJ45) qui me fournit mon wi-fi principal, étendu par un routeur en mode répéteur pour le jardin et un routeur Mesh pour mon labo d'électronique (le répéteur et le mesh sont ici hors sujet)
- mon NAS est branché directement (RJ45) sur ce routeur Asus AX5400

Comme je l'ai dit, j'ai pas mal farfouillé dans la gestion des ports sur les trois éléments (Box, Routeur AX5400 et NAS) et je vais les exposer ici en demandant à une bonne âme de les passer en revue. Il y a certainement des ports ouverts qui ne devraient pas l'être

192.162.50.1 = Routeur AX5400
192.162.50.129 = NAS

Au niveau BOX, onglet PORT MAPPING

Internal Port
OKYesNoneTCP467246724672192.168.50.1Any
OKYesNoneTCP471147114711192.168.50.1Any
OKYesNoneUDP467346734673192.168.50.1Any
OKYesNoneTCP466146614661192.168.50.1Any
OKYesNoneUDP466546654665192.168.50.1Any
OKYesNoneTCP-UDP566656665666192.168.50.1Any
OKYesNoneTCP-UDP566756675667192.168.50.1Any
OKYesNoneTCP443443443192.168.50.1AnyRedirection Reverse Proxy
OKYesNoneTCP280062800628006192.168.50.1AnyABB Portal
OKYesNoneTCP594475944759447192.168.50.1Any
OKYesNoneUDP594485944859448192.168.50.1Any
OKYesNoneTCP333333333333192.168.50.129Any


http://192.168.1.1/7.5.7.1/gui/tpl/src/access/nat-rule.html


Au niveau BOX, onglet FIREWALL
Medium : All connection attempts coming from the WAN are rejected with the exception of those that have been authorized through port forwarding, DMZ or remote access configuration.
All Services initiated from the LAN are permitted.

======================================================================================================

Modem ASUS AX5400

WAN - Port Trigger

1737462904635.png1737463065391.png
1737463674642.png


Au niveau du NAS:

1737463966968.png


Voilà..... Je ne m'en sors plus du tout

Je m'engage à faire un nouveau don au forum si on me tire de ce mauvais pas !!!! MERCI D'AVANCE !
 

Pièces jointes

  • 1737463131312.png
    1737463131312.png
    61.3 KB · Affichages: 0
Bonjour,

Si j'ai bien compris tu as un routeur en DMZ derrière une Box.
Je n'utilise pas eMule (je ne savais même pas que cela existait encore 🤣) mais tu as le mode d'emploi ici :
Il semble n'y avoir que 2 ports à ouvrir.

Au niveau du NAS:
Tu fais une ouverture manuelle sur ton routeur et tu essaies de déclencher l'ouverture des ports sur DSM via le service UPnP (il y a la fonction sur ton routeur ?) :unsure:. Là je ne comprend pas tout ???
 
Bonjour @morgyann ,

Je ne suis pas sûr que mon routeur soit en DMZ; c'est quelque chose que je voudrais éviter, car la box ici en Belgique est "bridée": l'utilisateur n'a pas accès à toutes les possibilités, et je ne lui fais pas confiance en matière de sécurité. Comme deux précautions valent mieux qu'une, je préfère laisser les deux (la box et le routeur). Encore une fois, je n'y connais pas grand'chose (je suis électronicien, pas informaticien)

Pour la config d'emule, j'ai suivi ce tuto, mais il est aussi conseillé de ne pas garder les ports par défaut. J'ai donc tenté d'en utiliser d'autres, mais j'ai tellement chipoté que je m'y suis perdu
Dans d'autres tutos, j'ai trouvé que émule et Kadmelia utilisent aussi d'autres ports. Ce sont que l'on retrouve dans la table de mon routeur

Mon routeur Asus RX-5400 est récent et pas vraiment bas de gamme. Donc, oui, je suppose qu'il supporte l'UPnP, car des équipements comme des radios-internet ou ma TV se sont configurées "toutes seules"

Maintenant, ce qui m'empêche de tout réinitialiser et de recommencer de zéro, c'est que j'ai de très nombreux périphériques associés à deux réseaux wi-fi (26 à ce jour), qui ont tous une adresse fixée et certains du réseau A (la TV par ex) communiquent avec d'autres du réseau B (le NAS par ex). De même les PC entre eux, une imprimante wi-fi accessibe aussi depuis nos smartphones..... Bref, pas évident... et des heures, si pas des jours de re-configuration en perspective....

Je n'ai surtout pas envie de perdre mes connexions à distance au départ de ma TV, des PC's ou des smartphones vers mon NAS.....
Tout serait simple si je gardais les ports par défaut pour les différentes connexions, or, je comprends que c'est vivement déconseillé....

En somme, ce qui est flou pour moi est la notion suivante:
- Il y a trois endroits où faire du mapping: dans le NAS, dans mon routeur et dans la box
- Ce que je ne saisis pas, c'est, dans ce mapping, quel est le port interne, et quel est est le port externe.
Je suppose que l'on se place chaque fois du point de vue de l'appareil en question:
- le port entrant de ma box est le WAN et le port sortant est mon routeur (ou les autres périphériqeus reliés au wifi de la box)
- le port entrant de mon routeur est ma box et le port sortant est mon NAS (ou les autres périphériques reliés au wifi de mon routeur)
- le port entrant de mon NAS est le port sortant associé du routeur et le port "sortant" du NAS est le port interne utilisé par l'application ? C'est ça ?

EDIT: Le plus important dans tout ça, c'est que je crains d'avoir ouvert des ports inutilement, créant ainsi des brèches....
 
Je ne suis pas sûr que mon routeur soit en DMZ; c'est quelque chose que je voudrais éviter, car la box ici en Belgique est "bridée": l'utilisateur n'a pas accès à toutes les possibilités,
C'est ta box qu'il faut mettre en DMZ (ou mieux en Bridge) -> (ouvre tous les ports) -> pour donner seul à ton routeur la gestion de ceux - ci.
Si ce n'est pas le cas tu as 2 routeurs à suivre donc - (je suppose je n'ai jamais expérimenté - peut être que d'autres membres pourront mieux te guider) - quand tu ouvres un port sur ton routeur Asus par ex le 3333 pour ton NAS - il faut que tu ouvres à nouveau ce 3333 sur ta Box pour le routeur Asus. Tu dois dans ce cas de faire 2 x cette manip. Tous les ports concernés pour tous les appareils où c'est nécessaire sur ta Box pour le routeur Asus. Puis, sur l'Asus, ouvrir ces ports en direction des appareils qui les utilisent (théorie à confirmer ou infirmer par d'autres qui ont testée).

Je ne connais pas les Box des opérateurs belges et, je ne comprend pas de quelles façons c'est "bridée" ??? (IP publique partagée ? Ports non disponibles ? ...)

- le port entrant de ma box est le WAN et le port sortant est mon routeur (ou les autres périphériqeus reliés au wifi de la box)
- le port entrant de mon routeur est ma box et le port sortant est mon NAS (ou les autres périphériques reliés au wifi de mon routeur)
- le port entrant de mon NAS est le port sortant associé du routeur et le port "sortant" du NAS est le port interne utilisé par l'application ? C'est ça ?
Pas tout compris j'ai l'impression qu'il y a confusion entre IP (adresse publique et adresse locale) et Ports (ouverts sur l'externe).
Ton WAN sur ta Box = IP Publique -> Ta Box fait routeur et distribue une (des) IP locale(s) à (tes) / ton Appareil(s) -> Asus Routeur (IP locale) -> qui distribue à nouveau des IP locales à tes appareils.
Les ports sont des accès (internes et externes) à chacune des apps de tes matériels (Nas, serveurs, PC etc). Le rôle du routeur est d'ouvrir (ou pas) le(s) port(s) à l'externe (IP Publique) à l'intention de la machine concernée (IP locale).
Dans ton cas, tu as 2 routeurs à suivre La Box et L'Asus - Il faut donc que la Box ouvre le(s) port(s) utile(s) -> à ton Asus qui ouvrira à nouveau ce(s) même(s) port(s) à l'intention de la machine concernée.

Au niveau du NAS:
Inutile d'utiliser l'onglet "Configuration du routeur" de DSM, d'autant plus si tu en as 2 à suivre, l'UPnP ne pourra pas fonctionner. Tu dois tout configurer manuellement 👷‍♂️
je crains d'avoir ouvert des ports inutilement, créant ainsi des brèches....
Dans un premier temps, il faut que tes apps puissent fonctionner correctement. Et dans un second temps, supprimer les ouvertures des ports qui s'avèrent inutile. Et dans un troisième temps, finaliser la sécurité du réseau.
 
Dernière édition:
  • J'aime
Réactions: PinheadBE
C'est ta box qu'il faut mettre en DMZ (ou mieux en Bridge) -> (ouvre tous les ports) -> pour donner seul à ton routeur la gestion de ceux - ci.
Ma box gère aussi un premier réseau wi-fi sur lequel j'ai des appareils comme ma TV, des radios, une imprimante, et mes PC's peuvent aussi s'y connecter (en cas de défaillance de l'autre réseu wi-fi). Je ne peux donc pas la passer en DMZ, n'est-ce pas ?

Et c'est dans ce que tu décris par la suite que je me perds. C'est facile lorsque les port ne changent pas de numéro en cours de route, mais lorsque l'on conseille de ne pas utiliser tel ou tel port par défaut, je ne sais pas à quel niveau de la chaîne je dois le faire.

Pour le bridage des box, ca se passe avec le login. Il y a trois utilisateurs définis sur la box, et ils sont immuables : "User", "Admin" et "Expert". Le client ne reçois le mdp que pour User. A chacun de ces utilisateurs correspondent des fonctions disponibles. "Expert" est le niveau où rien n'est bridé, tandis le "user" n'a accès qu'à un ensemble limité de fonctions. L'opérateur procède ainsi pour éviter d'être appelé à tout bout de champ par des utilisateurs qui auraient touché à des réglages qu'il ne fallait pas.

Ton WAN sur ta Box = IP Publique -> Ta Box fait routeur et distribue une (des) IP locale(s) à (tes) / ton Appareil(s) -> Asus Routeur (IP locale) -> qui distribue à nouveau des IP locales à tes appareils.
Les ports sont des accès (internes et externes) à chacune des apps de tes matériels (Nas, serveurs, PC etc). Le rôle du routeur est d'ouvrir (ou pas) le(s) port(s) à l'externe (IP Publique) à l'intention de la machine concernée (IP locale).
Dans ton cas, tu as 2 routeurs à suivre La Box et L'Asus - Il faut donc que la Box ouvre le(s) port(s) utile(s) -> à ton Asus qui ouvrira à nouveau ce(s) même(s) port(s) à l'intention de la machine concernée.
Oui, jusque là j'ai bien compris et si ce n'est où je dois renommer les ports, je m'en suis sorti

Inutile d'utiliser l'onglet "Configuration du routeur" de DSM, d'autant plus si tu en as 2 à suivre, l'UPnP ne pourra pas fonctionner. Tu dois tout configurer manuellement 👷‍♂️
OK, je note, merci.

Dans un premier temps, il faut que tes apps puissent fonctionner correctement. Et dans un second temps, supprimer les ouvertures des ports qui s'avèrent inutile. Et dans un troisième temps, finaliser la sécurité du réseau.
Oui, c'est pour ça que j'ai listé plus haut tous les mappings aux différents niveaux, parce que je ne sais pas/plus ce qui est nécessaire ou pas.
Avec le NAS, si ce n'est Jellyfin, j'utilise les apps standards: Files, Drive, photo, audio.... Et selon l'appareil utilisé (smartphone, télé, pc....), j'utilise VLC ou Jellyfin, et les autres applis précitées. J'accède évidemment au DSM par téléphone (wi-fi ou mobile, selon le cas) et PC, avec le QuickConnect
 
Bon, c'est quand même + simple quand on a qu'un routeur ;)
Reprenons ... j'ai été un peu éplucher tes premiers tableaux - y'a des rectifs à faire.

il te faut raisonner comme si l'accès externe <- > accès local était composé d'un sas avec 2 portes à suivre

BOX - Accès externe (WAN Internet)
Services connectés à la Box
ASUS - Accès BOX (LAN)
Services connectés à l'ASUS
Ports exposés à Internet
Wifi TV Imprimante ... Asus
Ports exposés à la BOX Internet
NAS, relais wifi (Mesh) ...
Port https DSM : 5667192.162.50.1 AsusPort https DSM : 5667192.162.50.129 - DSM
Port https NDD / Proxy Inversé : 443192.162.50.1 AsusPort https NDD / Proxy Inversé : 443192.162.50.129 - NDD / Proxy Inversé
Port eMule TCP : 4662 UDP : 4672192.162.50.1 AsusPort eMule TCP : 4662 UDP : 4672192.162.50.129 - Download Station

Tu n'ouvres que les ports (https) = des services qui sont exposés à Internet (pas les ports locaux) et pour un accès à distance. Si tu as compris le principe il te faut compléter ce tableau. Je te proposes ici la config au + simple (Je ne connais ni le fonctionnement des Box belges ni de l'Asus).
Ton NAS est géré par l'Asus (pourquoi dans ton tableau le 3333 est du Nas direct sur la Box ???).

avec le QuickConnect
Je te conseille d'utiliser le DDNS plutôt que QuickConnect - ton débit sera de 5 à 10 fois + rapide.
Jellyfin, j'utilise les apps standards: Files, Drive, photo, audio...
Pour un accès externe, le mieux est de les mettre sur des NDD ou des Widcards du DDNS Syno pour toutes les faire passer par le port 443
 
Dernière édition:
Ma box gère aussi un premier réseau wi-fi sur lequel j'ai des appareils comme ma TV, des radios, une imprimante, et mes PC's peuvent aussi s'y connecter (en cas de défaillance de l'autre réseu wi-fi). Je ne peux donc pas la passer en DMZ, n'est-ce pas ?
Normalement lorsque tu mets un routeur en DMZ derrière une BOX , celui-ci doit-être déclarer en IP fixe dans la BOX ; et cela va créer deux réseaux sur des plages IP différente , car le DHCP de la Box est tjrs actif et peut donc éventuellement être utilisé (note). Ce n'est pas l'idéal car si tu met un routeur tout doit-être gérer par celui-ci.
Note : à moins que les Box dispo par chez toi ont un autre mode de fonctionnement
 
@zypos : Bonjour, J'ai assigné des IP fixes à tous mes périphériques. C'est volontaire
Et j'ai donc deux LAN : 192.168.1.xxx géré par la box, suivi de 192.168.50.xxx géré par mon router ASUS. J'ai des périphérqieus prores à chacun des LAN, d'autres peuvent se connecteur indifférement au x deux LAN.
A noter que des périphériques d'un des LAN peut très bien accéder aussi à des périphériques de l'autre LAN. Exemples:
- mon téléphone sur 192.168.50.7 peut accéder à l'une de mes radios sur 192.168.1.44 et ils sont pourtant bien sur deux LAN différents,
- de même que l'un de mes PC sur 192.168.50.6 peut très bien accéder à une de mes cméras de surveillance sur 192.168.1.2
Tout cela marche fort bien

J'ai accès à tout, de partour.
Le DDNS est défini, mais je n'ai jamais réussi à l'utiliser pour accéder au NAS (peut-être parce que mon IP publique est dynamique ? et pour avoir une IP fixe, je dois prendre une formule d'abonnement pour entreprises qui me coûte plus du double du prix (environ 150 € / mois)), mais ce n'est pas tellement grave, car j'utilise le QuickConnect, et pour ce que j'en fais, cela me suffit.

Subsitent mes problèmes de départ:
- Le Low-Id sur emule
- la quantité de ports ouverts, sans doute trop élevée, avec le risque de faille

@morgyann : oui, ce serait plus simple avec un seul routeur, mais justement, il est bridé..... d'où la nécessité de mon routeur ASUS. Car en plus, ayant des zones sans wifi dans la maison ou dans le jardin, j'ai dû installer des mesh et des répéteurs. Ce que la box de l'opérateur ne pouvait pas gérer (en tout cas pas en mode bridé). (Pour la petite histoire, mon opérateur me proposait de simples répéteurs que l'on devait obligatoirement louer chez eux à 2 € par mois/pièce et sans possibilité d'utiliser autre chose; bref, du vol)

Je comprends ton tableau: le but est de renseigner à chaque étape (Box, routeur ASUS et NAS) le port entrant et le port sortant. C'était déjà fait en partie, mais je ne saisissais pas où je devais configuré-er des "ports trigger" et des "ports forwards".....
Je vais essayer de recréer un tableau sur ton modèle; cela rendra sans doute les choses plus claires.
 
Tout cela marche fort bien
Ce que t'indique @zypos c'est que si tu mets ton Asus sur ta box en DMZ (si c'est possible sur ta box) tu auras 2 fois moins de boulot.
Maintenant que tu puisses profiter de 2 réseaux en DHCP ne pose pas de problème (notamment pour ta TV et ton Tél fixe qui passent par ta Box).
la quantité de ports ouverts, sans doute trop élevée, avec le risque de faille
Concernant eMule, il semblerait qu'il n'y ait que 2 ports à ouvrir :
"Par défaut, le port TCP d'eMule est 4662 et le port UDP est 4672"
Pour sa configuration, réfère toi à ce tutoriel Syno :


saisissais pas où je devais configuré-er des "ports trigger" et des "ports forwards"....
Je connais ces fonctionnalités que de façon théorique "Forwards" de l'interne vers l'externe (mais pas dans le sens contraire) et "Trigger" requête de l'externe vers l'interne avec autorisation de déclenchement des ports.
N'ayant jamais mis en œuvre ces fonctionnalités, je ne peux pas t'aider à ce niveau - voir si un autre membre peut t'aider.

Le DDNS est défini, mais je n'ai jamais réussi à l'utiliser pour accéder au NAS (peut-être parce que mon IP publique est dynamique ?
Non, le DDNS te permet d'affecter un Nom De Domaine (NDD) sur une IP dynamique :)
Je vais essayer de recréer un tableau sur ton modèle; cela rendra sans doute les choses plus claires.
Si tu as compris de principe, au boulot 👷‍♂️
 
: Bonjour, J'ai assigné des IP fixes à tous mes périphériques. C'est volontaire
Pour moi cela est préférable pour les devises raccordés en filaire ; moins pour les appareils mobile (smartphone / tablette )
Le DDNS est défini, mais je n'ai jamais réussi à l'utiliser pour accéder au NAS (peut-être parce que mon IP publique est dynamique ?
Pour le DDNS de Synology peut importe que ton IP publique soit fixe ou dynamique ; cela est transparent et du devrais avoir accès à ton NAS par ton nom de domaine . Le pb d'adresse fixe/dynamique publique ne se pose que si tu prends un nom de domaine externe . C'est mon cas avec un nom de domaine pris chez
OVH car je suis en adresse publique dynamique
 
  • J'aime
Réactions: morgyann