Synology [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS

MilesTEG1

Modérateur
Membre du personnel

[mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS

L'objectif de ce mini-tuto est de :
  1. Créer un nom de domaine Synology (gratuit avec un NAS de la marque) avec certificat LE mis par défaut ;
  2. Créer des entrées de Reverse Proxy pour accéder aux applications via le port unique 443 depuis l'extérieur ;
  3. Sécuriser un peu le NAS à l'aide du pare-feu, en créant un jeu de règle adaptées
  4. Router le port 443 sur la box ou le routeur pour diriger tout le traffic entrant sur le port 443 de la box/routeur vers le port 443 du NAS (à ne fait que quand le pare-feu est configuré !)

1. Création d'un nom de domaine Synology

1662746299610.png

Et ensuite, il faudra le définir pour les services comme DSM (même s'il n'est pas trop conseillé de mettre accessible depuis internet...).
Je conseille d'une part de changer les ports par défaut des applications ET DSM, puis de passer par le reverse proxy.

Le certificat ainsi créé est un certificat wildcard, c'est à dire qu'il est valable pour n'importe quel "sous-domaine", exemple : blabla1.un-ndd.myds.me, ou encore blabla2.un-ndd.myds.me, etc...
En gros, il est valable pour *.un-ndd.myds.me

1662746313302.png


2. Paramétrage du Reverse Proxy

Il faut déjà modifier les ports par défaut de DSM :
1662746349440.png

Ensuite, faire de même pour chacune des applications dont on veut rendre l'accès possible depuis internet :
1662746361235.png
(sur mon NAS de backup, je n'ai pas d'applications Synology installées, mais elles se trouveront dans cette liste)

Ensuite, on va configurer deux entrées de reverse proxy : une pour DSM et une autre pour Synology Photos :
1662746370557.png

1662746379101.png

1662746390606.png

Sur chaque entrée, il est intéressant de faire ce qui suit :
1662746402226.png 1662746412770.png

Vérifier ensuite que le certificat automatiquement créé avec le nom de domaine est bien affecté aux deux entrées :
1662746421371.png

3. Paramétrage du pare-feu du NAS

Il faut maintenant bien configurer le parefeu, sinon c'est très risqué...
Je n'expliquerai pas tout en détail ici car pas le temps, mais en gros, les règles sont lues depuis le haut vers le bas, et pour une connexion entrantes le pare-feu s'arrête à la première règle qui est satisfaite.
Ainsi il faut mettre les règles dans un certains ordre :) et mettre une règle finale interdisant tout sur tout.
Je n'utilise pas les règles dans les interfaces dédiées, je reste sur le "Toutes les interfaces" :
1662746429907.png
Les règles que je propose ici devront être adaptées à tout un chacun en fonction ce que vous voudrez autoriser.
Je met un exemple de règles qui ne passe pas par le port 443 car il se peut qu'une application ne puisse pas avoir son port changé, c'est le cas avec Drive pour la synchronisation.
Personnellement je restreint l'accès aux seules IP FR (en plus des IP LAN et Docker).

Voilà un exemple de règles :
1662746437763.png

4. Paramétrage des redirections dans la box ou du routeur

Bon là ça va grandement dépendre de la box ou du routeur...
Mais en gros, il faut rediriger le port 443 de l'extérieur (toutes IP) vers l'adresse IP du NAS sur le port 443 également.
Exemple avec la Freebox :
1662746450368.png

PS : si vous avez d'autres box, je suis preneur de capture d'écran de cette redirection afin d'agrémenter le tuto à venir ;)




Voilà voilà ;)
À ce stade, l'accès à DSM devrait fonctionner depuis l'extérieur via le nom de domaine choisi : https://dsm.un-ndd-bla.myds.me.
Même chose pour Photos avec : https://photos.un-ndd-bla.myds.me

J'espère que ce mini tuto sera clair et que tout le monde arrivera à créer ses propres règles (de pare-feu, de reverse-proxy)...
 
Dernière édition:

MilesTEG1

Modérateur
Membre du personnel
MAJ du tuto en incluant les images en vrai cette fois ci :ROFLMAO:
J'avais fais un copié/Collé du message d'un autre fil, et les images n'ont pas été mise correctement :LOL:
 

jckfun

Apprenti
Merci MilesTEG1,

Ayant été victime de Deadbolt sur QNAP, je vais mettre en place la même chose sur mon NAS QNAP et ma livebox.

Je ferais un tuto dédié à cela.

Si des membres l'ont fait sur QNAP, je suis preneur :)

Cordialement
 

MilesTEG1

Modérateur
Membre du personnel
Merci MilesTEG1,

Ayant été victime de Deadbolt sur QNAP, je vais mettre en place la même chose sur mon NAS QNAP et ma livebox.

Je ferais un tuto dédié à cela.

Si des membres l'ont fait sur QNAP, je suis preneur :)

Cordialement
Je ne sais pas si pour qnap il y a un tuto similaire…
Fais en un ?? Ce sera une bonne chose.
Je pense qu’il faudra juste adapter certaines parties qui ici concerne dsm et synology , mais ça doit être jouable ?

Attention, ce tuto n’a pas vocation à prémunir à 100% d’une attaque de type ransomware. Pour cela il faudrait que le nas ne soit pas accessible depuis internet ?
Mais là ce sont des précautions minimales à prendre, en plus de faire des sauvegardes régulièrement.
 

jckfun

Apprenti
Je ne sais pas si pour qnap il y a un tuto similaire…
Fais en un ?? Ce sera une bonne chose.
Je pense qu’il faudra juste adapter certaines parties qui ici concerne dsm et synology , mais ça doit être jouable ?

Attention, ce tuto n’a pas vocation à prémunir à 100% d’une attaque de type ransomware. Pour cela il faudrait que le nas ne soit pas accessible depuis internet ?
Mais là ce sont des précautions minimales à prendre, en plus de faire des sauvegardes régulièrement.
Tu as raison MileTEG1.

Mais pour moi un NAS non accessible depuis l'extérieur, je ne vois pas l'interet.
En tout cas pour mes usages.

Bonne journée
 

MilesTEG1

Modérateur
Membre du personnel
Est-il possible de mettre plusieurs nom de domaine sur le synology ?
Oui mais pas plusieurs de synology ?
Tu peux avoir en plus du synology un nom de domaine chez ovh par exemple ?
Je ferais quelques captures au besoin. Mais pour ovh il est préférable d’avoir en plus un DynHost qui sert à faire la liaison entre l’ip du nas et le nom de domaine ?
Faudrait que je fasse une annexe au tuto alors ?
 

Paradise

Chevalier Jedi
Merci car j'essayais de mettre plusieurs synology (ne pas en utiliser un sur un NAS et en mettre 2 sur un autre mais pas moyen de tricher ;-) )

Autre question est-il possible de réserver un .ovh pour 10 ans (comme un .com) ?
 

zypos

Grand Maître Jedi
Pour ceux qui ont un Qnap
1) le reverse proxy sur Qnap est beaucoup moins simple que celui de Syno
2) Qnap n'a rien prévu pour pouvoir modifier le port des applis native comme File Station ; Photo Station . Tous passera par le même port que QTS,
il n'y a pas l'équivalent aux portail de connexion / applications de chez Syno
 

MilesTEG1

Modérateur
Membre du personnel
Merci car j'essayais de mettre plusieurs synology (ne pas en utiliser un sur un NAS et en mettre 2 sur un autre mais pas moyen de tricher ;-) )

Autre question est-il possible de réserver un .ovh pour 10 ans (comme un .com) ?
Et non pas moyen de tricher même si on a plusieurs nas Synology.
Par contre rien n’interdit l’utilisation du ndd wildcard : nas1.ndd.myds.me et nas2.myds.me et l’utilisation du reverse proxy d’un des deux nas.
Un des avantages du ndd Synology est de l’avoir sur son compte synology et d’avoir une notification en cas de non visibilité depuis internet .


Je ne sais ensuite pas si on peut réserver sur 10 ans un ndd OVH… il me semble qu’on peut payer pour 2-3 ans mais rien de sûr…
Pour ceux qui ont un Qnap
1) le reverse proxy sur Qnap est beaucoup moins simple que celui de Syno
2) Qnap n'a rien prévu pour pouvoir modifier le port des applis native comme File Station ; Photo Station . Tous passera par le même port que QTS,
il n'y a pas l'équivalent aux portail de connexion / applications de chez Syno
ho la vache. C’est moisi comme système si c’est pas personnalisable facilement…
J’ai bien fait de pas prendre un qnap il y a 10 ans (voir plus ) ?
 

zypos

Grand Maître Jedi
ho la vache. C’est moisi comme système si c’est pas personnalisable facilement…
J’ai bien fait de pas prendre un qnap il y a 10 ans (voir plus ) ?
Pour utiliser un Qnap et un Syno depuis plusieurs années mon avis (très personnel )
QTS n'a pas à rougir de DSM c'est même plus pointu dans les réglages surtout en multimédia . Dans beaucoup de cas je préfère mon Qnap au Syno . Mais QTS à deux point faibles : ne pas pouvoir dissocier les ports des applis natives (QFiles ; Qphotos ...) de QTS . Et Qnap aurrait du prendre des ports exotiques pour QTS ce qui éviterais des Pb ( deadbolt ?)
 

jckfun

Apprenti
Pour utiliser un Qnap et un Syno depuis plusieurs années mon avis (très personnel )
QTS n'a pas à rougir de DSM c'est même plus pointu dans les réglages surtout en multimédia . Dans beaucoup de cas je préfère mon Qnap au Syno . Mais QTS à deux point faibles : ne pas pouvoir dissocier les ports des applis natives (QFiles ; Qphotos ...) de QTS . Et Qnap aurrait du prendre des ports exotiques pour QTS ce qui éviterais des Pb ( deadbolt ?)
C'est une grosse limitation ça !

Sinon, rien n'empeche d'utiliser un autre port pour le reverse proxy type 444 et laisser le 443 pour les application QNAP ?

Ca peut marcher comme ca ?

merci
 

MilesTEG1

Modérateur
Membre du personnel
C'est une grosse limitation ça !

Sinon, rien n'empeche d'utiliser un autre port pour le reverse proxy type 444 et laisser le 443 pour les application QNAP ?

Ca peut marcher comme ca ?

merci
Ça pourrait fonctionner mais faudra ouvrir les deux ports sur internet si tu veux que tout soit accessible …
 

Paradise

Chevalier Jedi
Je dérape, mais pour moi la faiblesse de QNAP c'est sa sécurité. Combien de fois par année il ne se font pas trouer ?
Si l'on veut avoir la main sur tout, l'on monte une Debian ou un Windows Server avec les compétences appropriées
 

MilesTEG1

Modérateur
Membre du personnel
Oui, mais c'est toujours mieux que d'ouvrir un port par application, n'est ce pas ?

Genre FTP, HTTPS, HTTP, PLEX, etc ...
Oui, mais c'est là tout l'avantage du reverse proxy : tout faire passer par un seul port.
Je fais tout passer par le port 443 ;)
Enfin, pas DSM car lui je ne le rends pas accessible depuis internet, que depuis le LAN et le serveur VPN de mon routeur.
 

jckfun

Apprenti
Oui, mais c'est là tout l'avantage du reverse proxy : tout faire passer par un seul port.
Je fais tout passer par le port 443 ;)
Enfin, pas DSM car lui je ne le rends pas accessible depuis internet, que depuis le LAN et le serveur VPN de mon routeur.
J'ai bien compris, mais malgré moi, je ne peux pas faire autrement...

Sinon, solution QVPN pour ne pas ouvrir de ports
 

ChuckChance

Nouveau membre
J'ai tenté de trouver ces infos en cherchant un peu mais sans succès : est-ce que les plages IP des datacenters français (OVH, ...) sont connues ?

L'idée c'est que les tentatives de piratage massives/automatisées ont une bonne chance d'être faites depuis des serveurs loués à pas cher (ou eux-mêmes piratés) pour l'anonymat que ça procure à l'attaquant et que le NAS n'a pas besoin de pouvoir communiquer avec ces serveurs (sauf exceptions à whitelister d'abord) donc ça ne couterait rien de les bloquer (ou au moins les plus grosses plages d'IP)

C'est probablement de la parano, mon NAS n'a eu aucune tentative de login depuis les IP françaises dans les logs pour l'instant, mais si c'est facile à rajouter pourquoi ne pas le faire ?
 

MilesTEG1

Modérateur
Membre du personnel
J'ai tenté de trouver ces infos en cherchant un peu mais sans succès : est-ce que les plages IP des datacenters français (OVH, ...) sont connues ?

L'idée c'est que les tentatives de piratage massives/automatisées ont une bonne chance d'être faites depuis des serveurs loués à pas cher (ou eux-mêmes piratés) pour l'anonymat que ça procure à l'attaquant et que le NAS n'a pas besoin de pouvoir communiquer avec ces serveurs (sauf exceptions à whitelister d'abord) donc ça ne couterait rien de les bloquer (ou au moins les plus grosses plages d'IP)

C'est probablement de la parano, mon NAS n'a eu aucune tentative de login depuis les IP françaises dans les logs pour l'instant, mais si c'est facile à rajouter pourquoi ne pas le faire ?
Alors je ne connais pas ces plages d’ip , mais ce que tu veux faire est « dangereux », enfin pas terrible plutôt car derrière peut être quelques iP se trouvera un serveur sain que tu voudrais contacter pour faire un certificat sur un nom de domaine ovh …

Et sinon je ne sais pas comment tu pourrais bloquer ces iP sans entrer une à une les adresses iP…
 

ChuckChance

Nouveau membre
Pour LetsEncrypt je dois désactiver le pare feu pendant les quelques secondes de renouvellement du certificat de toute façon, ayant seulement les IP françaises en liste blanche.

Pour rentrer les IP je supposais que OVH (et autres) avait des plages IP entières qu'on pourrait bloquer à base de xxx.xxx.0.0/16 par exemple mais je suppose peut-être un peu trop de choses ? C'est sur que je ne me vois pas rentrer des milliers d'IP à la main !
 
Haut Bas