Synology [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS

MilesTEG1

Modérateur
Membre du personnel
Pour LetsEncrypt je dois désactiver le pare feu pendant les quelques secondes de renouvellement du certificat de toute façon, ayant seulement les IP françaises en liste blanche.

Pour rentrer les IP je supposais que OVH (et autres) avait des plages IP entières qu'on pourrait bloquer à base de xxx.xxx.0.0/16 par exemple mais je suppose peut-être un peu trop de choses ? C'est sur que je ne me vois pas rentrer des milliers d'IP à la main !
Vous devrez désactiver le pare-feu pour le certificat pour quel type de nom de domaine ? Le synology ? Ou un autre ?
Car si c’est pour le synology, ce n’est pas normal, ça utilise la méthode dns qui ne nécessite pas d’ouverture de port…
 

ChuckChance

Nouveau membre
J'aurais du préciser, un nom de domaine à moi (genre blabla.chuckchance.fr). Et le problème c'est que LetsEncrypt valide à partir d'une liste d'IPs variables et la restriction géographique les bloquent donc forcément.
 

MilesTEG1

Modérateur
Membre du personnel
J'aurais du préciser, un nom de domaine à moi (genre blabla.chuckchance.fr). Et le problème c'est que LetsEncrypt valide à partir d'une liste d'IPs variables et la restriction géographique les bloquent donc forcément.
Hé oui si tu passes par dsm pour faire ton certificat LE , effectivement tu n’as pas le choix , c’est une validation HTTP.
Si tu veux une validation dns et aussi un certificat wildcard, faut passer par acme en docker ou en script.
 

Biscus

Nouveau membre
salut,

comment connait-on le port d'une application installé qui n'est pas un paquet synology ?

merci d'avance et bonne soirée!
 
Dernière édition:

MilesTEG1

Modérateur
Membre du personnel
salut,

comment connait-on le port d'une application installé qui n'est pas un paquet synology ?

merci d'avance et bonne soirée!
Et bien je ne sais pas ?
Non, mais faut savoir le nom de l'application, puis faire une recherche sur internet pour connaître le port...
L'application est installée comment ? Via le centre de paquet ?
Si oui, et qu'il n'y a pas de port d'afficher, ce n'est probablement pas une application qui s'exécute en dehors de DSM...
 

MilesTEG1

Modérateur
Membre du personnel
merci @MilesTEG1 , dans mon cas il s'agit de dolibarr, installé dans le dossier Web. Je l'ai téléchargé sur le NAS avec filezilla. mais impossible de trouver le N° de port pour réaliser un accès extérieur. si tu as une idée ?

PS : j'ai détaillé mon cas ici https://www.forum-nas.fr/threads/résolu-dolibarr-sur-nas-synology.15452/#post-122395
Bonjour,
Je viens d’aller voir ton sujet lié, et je pense qu’il s’agit tout bêtement du port 443 et/ou 80 vu que tu as créé un hôte virtuel dans webstation. Des lors tu ne dois pas utiliser le reverse proxy, c’est webstation et l’hôte virtuel qui font la redirection.
 
Merci MilesTEG1 pour ce "mini" Tuto, que je trouve plutôt "maxi" de par les services qu'il rend !
Je rencontre un problème à la dernière étape, pour paramétrer les redirections de ports sur ma freebox (OS 4.6) : j'essaie de saisir le port 443, mais il affiche "Vous sevez saisir un port supérieur à 49152" ! D'où vient cette valeur qui semble fantaisiste ?

En marge de ce problème bloquant, j'ai 3 questions à poser, si tu as un peu de temps :
1) Suis-je obligé de mettre DSM en accès internet ? (outre le fait que ça peut présenter un risque malgré toutes les précautions que tu suggères, je n'aurai jamais besoin d'accéder à DSM en dehors de chez moi).
L'usage (pour l'instant unique) que je veux faire de mon NAS est la mise à disposition d'un album photos à un nombre assez restreint de proches.
Par conséquent, je voudrais définir mon domaine uniquement pour Synology Photos, si tu valides cette config.
2) Dans le paramétrage du proxy inversé, tu suggères de modifier les ports par défaut : y a-t-il des plages de valeurs autorisées ? Par ailleurs, pour les photos, dans le préfixe du nom d'hôte, tu as mis "photos" (avec un s) : j'imagine que ce préfixe doit être identique à l'alias paramétré dans Portail de connexion > Applications > Synology Photos (qui a comme valeur par défaut "photo" (sans s). Confirmes-tu ?
3) Si je comprends bien, dans le paramétrage du pare-feu du NAS, je n'aurai que 2 lignes :
- Synology photos, TCP, France, Autoriser
- Tous, tous, tous, refuser
Est-ce que tu valides ?

Merci 1000 fois pour tes conseils avisés, en espérant que je ne te prends pas trop la tête avec mes question de débutant...
 

MilesTEG1

Modérateur
Membre du personnel
@Damien-de-Tours
Je te fais une réponse plus détaillée dans la journée , mais pour faire vite :
0- pour ton histoire de ports, chez Free tu dois être en ipv4 CGNAT, c’est à dire partagée. Il te faut demander via ton compte en ligne une ipv4 full stack.

1- non bien sûr 😊 mon dsm n’est pas accessible via internet.

2- c’est plutôt des ports à ne pas mettre , mais si tu tapes au dessus de 5000 aucun soucis. Et le nom de domaine n’a rien à voir avec le préfixe qui ne sera dispo que sur le lan.

3- Non , ne met pas que ces deus lignes , tu te retrouverais bloqué , et normalement dsm va te l’indiquer.

Plus de détails dans la journée , n’hésite pas à répondre pour me faire un rappel si j’oublie 😊
 
@MilesTEG1,
Merci ! Je constate à nouveau ta disponibilité, à 7:00 du matin, avant de partir travailler (je suppose), tu prends le temps de me répondre, ça c'est de la disponibilité !
Effectivement, je suis passé en IPv4 full stack, et j'ai pu paramétrer la redirection sur le port 443 au niveau de ma box.
Grosse frayeur ensuite 😱, après redémarrage de la box (au bout d'une demi-heure d'attente), je ne pouvais plus accéder à mon NAS ! Même find.synology.com ne le trouvait pas. J'ai du télécharger Synology Assistant sur mon PC, et il m'a trouvé mon NAS (bizarrement, mon NAS apparaît 2 fois :unsure:).
Il me reste une incertitude à propos du paramétrage du pare-feu, tu me dis que mes 2 lignes ne suffisent pas et que je risque d'être bloqué, mais là j'avoue mon incompétence totale ! Effectivement, mon Synology a désactivé le pare-feu en m'avertissant que j'allais être bloqué.
Donc, pour l'instant, le pare-feu est désactivé et je me suis empressé d'annuler la redirection sur le port 443 au niveau de ma box, car tu dis qu'il ne faut le faire que quand le pare-feu est configuré.

Une dernière chose : j'ai acheté un nom de domaine OVH, qui n'est pas encore utilisé. Je l'ai paramétré dans Portail de connexion -> DSM -> Domaine mais ce serait trop beau, ça ne marche pas... Message "Ce site est inaccessible". Une idée ?

Encore un grand merci !
 
@MilesTEG1,
Bon, j'ai un peu creusé ton paramétrage du pare-feu et j'en suis arrivé à la config suivante :
  1. Tous, tous, 192.168.1.101/255.255.255.0, Autoriser pour permettre un accès local sur ma machine
  2. HTTPS, Reverse Proxy, TCP, France, Autoriser, pour permettre les connexions sur le port 443 depuis la France uniquement
  3. Synology Photos, TCP, France, Autoriser pour permettre l'accès aux photos depuis la France
  4. Tous, tous, tous, Refuser pour refuser tout le reste.
Je n'ai plus d'avertissement du pare-feu et j'ai pu remettre en place la redirection de port sur la box.
J'ai tout éteint (serveur, box, ordinateur) et tout rallumé et... ça coince ! Ce site est inaccessible. [nom de domaine] a mis trop de temps à répondre.
 

MilesTEG1

Modérateur
Membre du personnel
Ho, j'ai finalement oublié de te répondre 😅 o_O
Désolé ^^ La journée est passée trop vite, et ma fatigue n'a pas aidé ^^

Pour les règles du pare-feu, montre voir avec une capture d'écran.
As-tu bien répliqué ceci (en adaptant la ligne Drive Server pour Photos) :
Voilà un exemple de règles :
1662746437763.png

Nickel pour l'IP Full Stack. C'est ça de fait.
Pour le nom de domaine Synology, il a bien récupéré l'adresse IP de la connexion internet ?

Pour la perte d'accès, c'est probablement un soucis avec le reverse proxy... Montre voir là aussi avec une capture ;)

PS : pense à masquer ton nom de domaine ;)

  1. Tous, tous, 192.168.1.101/255.255.255.0, Autoriser pour permettre un accès local sur ma machine
  2. HTTPS, Reverse Proxy, TCP, France, Autoriser, pour permettre les connexions sur le port 443 depuis la France uniquement
  3. Synology Photos, TCP, France, Autoriser pour permettre l'accès aux photos depuis la France
  4. Tous, tous, tous, Refuser pour refuser tout le reste.

Ok, les règles me semblent OK. Tu vis bien en France n'est-ce pas ? Es-tu frontalier ? (c'est pour tester la connexion via la 4G, car depuis ton LAN, il se peut que ça ne fonctionne pas si la box ne gère pas le loopback, mais une freebox est censé le gérer...)

PPS : je me rends compte que si tu fais passer Photos par le reverse proxy, il n'y a pas besoin d'ouvrir le port de connexion de photo dans le parefeu (ton n°3).
Si tu ne fais pas passer Photos par le reverse proxy, alors le domaine n'est pas accessible via internet vu que le port n'est pas routé dans la freebox... Il faudrait le router vers le NAS.
Mais mon conseil est de faire passer Photos par le Reverse Proxy.
J'ai tout éteint (serveur, box, ordinateur) et tout rallumé et... ça coince ! Ce site est inaccessible. [nom de domaine] a mis trop de temps à répondre.
Normalement pas besoin de tout éteindre et redémarrer, les modifications du RP et du PF sont instantanées.

Vérifies les points précédents évoqués. Et fait des captures ^^
 
@MilesTEG1,
Merci encore, je n'ai pas eu l'impression que tu avais oublié de me répondre, ne sois pas désolé !
Finalement, contrairement à ce que j'ai écrit à la dernière ligne de mon dernier post, tout marche bien !
Peux-tu m'ôter d'un doute, svp : si je me connecte à mon NAS avec une IP locale, je suis en local (Lapalisse n'aurait pas mieux fait...)
Mais si je me connecte avec , je suis "vu" comme si j'étais "à l'extérieur", n'est-ce pas ?
Merci de tes réponses !
 

Pièces jointes

  • 2-Paramétrage du reverse proxy-a.jpg
    2-Paramétrage du reverse proxy-a.jpg
    98.2 KB · Affichages: 7
  • 4-Paramétrage des redirections dans la box.jpg
    4-Paramétrage des redirections dans la box.jpg
    67.6 KB · Affichages: 9
  • 3-Paramétrage du pare-feu du NAS-d.jpg
    3-Paramétrage du pare-feu du NAS-d.jpg
    64.3 KB · Affichages: 6
  • 3-Paramétrage du pare-feu du NAS-c.jpg
    3-Paramétrage du pare-feu du NAS-c.jpg
    70.1 KB · Affichages: 6
  • 3-Paramétrage du pare-feu du NAS-b.jpg
    3-Paramétrage du pare-feu du NAS-b.jpg
    32.5 KB · Affichages: 5
  • 3-Paramétrage du pare-feu du NAS-a.jpg
    3-Paramétrage du pare-feu du NAS-a.jpg
    214.2 KB · Affichages: 4
  • 2-Paramétrage du reverse proxy-f.jpg
    2-Paramétrage du reverse proxy-f.jpg
    25.9 KB · Affichages: 5
  • 2-Paramétrage du reverse proxy-e.jpg
    2-Paramétrage du reverse proxy-e.jpg
    31 KB · Affichages: 5
  • 2-Paramétrage du reverse proxy-d.jpg
    2-Paramétrage du reverse proxy-d.jpg
    104 KB · Affichages: 5
  • 2-Paramétrage du reverse proxy-c.jpg
    2-Paramétrage du reverse proxy-c.jpg
    100 KB · Affichages: 5
  • 2-Paramétrage du reverse proxy-b.jpg
    2-Paramétrage du reverse proxy-b.jpg
    175.2 KB · Affichages: 6
  • 1-Création du nom de domaine-a.png
    1-Création du nom de domaine-a.png
    369.4 KB · Affichages: 6
  • 1-Création du nom de domaine-b.png
    1-Création du nom de domaine-b.png
    342 KB · Affichages: 3
  • 2-Paramétrage du reverse proxy-g(1).png
    2-Paramétrage du reverse proxy-g(1).png
    202.6 KB · Affichages: 2

MilesTEG1

Modérateur
Membre du personnel
Peux-tu m'ôter d'un doute, svp : si je me connecte à mon NAS avec une IP locale, je suis en local (Lapalisse n'aurait pas mieux fait...)
Mais si je me connecte avec https://MonDomaine/photo/ , je suis "vu" comme si j'étais "à l'extérieur", n'est-ce pas ?
Alors, pour l'accès sur l'IP LAN du NAS (genre http://192.168.1.101, oui tu seras reconnu comme venant du LAN puisque tu es dans le LAN pour accéder à l'IP du NAS.
Mais si tu utilises le nom de domaine, il faut que le navigateur obtienne l'adresse IP derrière le nom de domaine via le serveur DNS de ta connexion, donc la box je pense, ou un DNS personnalisé comme 1.1.1.1, ou 9.9.9.9, etc... Et ces serveurs DNS eux, ils ont l'adresse IP internet de ta connexion box, donc l'application te verras comme venant de l'extérieur, même si tu es dans ton LAN.
Attention, ceci n'est fonctionnel que si ta box gère le loopback.

Donc dans ce cas là, accès via ndd, si tu te plantes trop souvent de mot de passe pour accéder à DSM, tu peux te faire bannir par le NAS ^^

J'ai mis en place un serveur DNS personnalisé (AdGuard Home) que j'ai paramétré pour réécrire mes noms de domaines avec l'adresse IP LAN du NAS ;)
blabla.mon-ndd.tld -> 192.168.2.200
Mais ce genre de truc pose d'autres soucis.


PS : j'ai édité quelques unes de tes captures pour masquer ton adresse email et le nom de domaine qui étaient en clair.
 

MilesTEG1

Modérateur
Membre du personnel
PS : par contre, je persiste à dire qu'exposer DSM directement sur internet, même via reverse proxy, n'est pas une bonne idée, sauf si on ne peut faire autrement.
 
Et ensuite, il faudra le définir pour les services comme DSM (même s'il n'est pas trop conseillé de mettre accessible depuis internet...).
Je conseille d'une part de changer les ports par défaut des applications ET DSM, puis de passer par le reverse proxy.
Je ne comprends pas : à lire ce que tu as écrit dans ton tuto, tu sembles dire qu'il ne faut pas le faire tout en le faisant. Je suis débutant dans ce domaine (sans jeu de mot) et je dois me tromper une fois de plus...
Message automatiquement fusionné :

PS : par contre, je persiste à dire qu'exposer DSM directement sur internet, même via reverse proxy, n'est pas une bonne idée, sauf si on ne peut faire autrement.
Mais je ne veux pas exposer mon DSM sur internet ! à quel endroit j'ai fait ça ? je suis perdu...
 
j'ai édité quelques unes de tes captures pour masquer ton adresse email et le nom de domaine qui étaient en clair.
Merci ! Effectivement, je m'en était rendu compte après coup...
Message automatiquement fusionné :

ceci n'est fonctionnel que si ta box gère le loopback
c'est une box free comme la tienne (enfin comme celle figure à la fin de ton tuto
 

MilesTEG1

Modérateur
Membre du personnel
Je ne comprends pas : à lire ce que tu as écrit dans ton tuto, tu sembles dire qu'il ne faut pas le faire tout en le faisant. Je suis débutant dans ce domaine (sans jeu de mot) et je dois me tromper une fois de plus...
Message automatiquement fusionné :


Mais je ne veux pas exposer mon DSM sur internet ! à quel endroit j'ai fait ça ? je suis perdu...
Ici :
1666388009103.png
Et vu que tu ouvres le port 443 sur internet, ton DSM est exposé.
À la limite, tu fais comme moi, tu fais un profil de contrôle d'accès qui limite aux seuls IP LAN l'accès :
1666388181376.png
(Bon il y aussi une plage d'IP pour un conteneur Docker, et des plages pour le serveur VPN).
 
Merci @MilesTEG, je comprends ton explication, mais je ne sais pas la mettre en œuvre.
Comment dois-je remplir le champ IP source ? Avec mon IP locale, genre 192.168.1.101:24680
ou bien l'IP 8x.6x.14x.9x (celle qui a changé lors du passage en IPv4 full-stack) ?
Si je comprends bien, mon profil de contrôle d'accès doit comporter 2 lignes : une ligne qui autorise l'IP LAN puis une ligne qui interdit tout le reste (un peu comme dans le pare-feu où la dernière ligne est celle qui interdit tout ce qui n'est pas dans les lignes au-dessus) ?
Mais ce qui m'intrique, c'est que si j'essaie d'accéder à DSM via mon nom de domaine, j'ai un message d'erreur qui m'en empêche, donc je ne vois pas comment mon DSM est exposé...
 

MilesTEG1

Modérateur
Membre du personnel
Merci @MilesTEG, je comprends ton explication, mais je ne sais pas la mettre en œuvre.
Comment dois-je remplir le champ IP source ? Avec mon IP locale, genre 192.168.1.101:24680
ou bien l'IP 8x.6x.14x.9x (celle qui a changé lors du passage en IPv4 full-stack) ?
Si je comprends bien, mon profil de contrôle d'accès doit comporter 2 lignes : une ligne qui autorise l'IP LAN puis une ligne qui interdit tout le reste (un peu comme dans le pare-feu où la dernière ligne est celle qui interdit tout ce qui n'est pas dans les lignes au-dessus) ?
Mais ce qui m'intrique, c'est que si j'essaie d'accéder à DSM via mon nom de domaine, j'ai un message d'erreur qui m'en empêche, donc je ne vois pas comment mon DSM est exposé...
Alors pour les ip de la partie restrictions, c’est soit iP par iP soit iP avec masque de sous-réseau.
Si ton réseau est dans la plage 192.168.1.xxx alors il faut entrer :
Code:
192.168.1.0/24

Ca va prendre en compte les adresses iP depuis 192.168.1.1 à 192.168.2.254

J’utilise souvent ce calculateur de sous réseau :
https://www.cidr.eu/en/calculator/+/192.168.1.0/24

tu mets ensuite toutes les autres iP qui doivent pouvoir accéder à dsm mais qui ne sont pas prise dans la plage précédente.
Tu peux mettre d’autres plages comme celle du serveur vpn (comme moi).
Voir une iP fixe internet d’une autre connexion.

Pour ton autre soucis, sans serveur dns local , lorsque tu utilises ton nom de domaine, l’adresse iP associée est celle de ton accès internet.
Donc si tu restreints que aux ip lan, tu ne pourras pas accéder à dsm via le nom de domaine puisque ce sera l’ip internet qui y sera associée.

Pour résoudre ce soucis , il te faut un serveur dns chez toi pour dire à au navigateur d’aller sur l’ip lan quand tu utilises le nom de domaine. Mais la on entre dans du plus complexe… surtout si tu veux utiliser la paquet dns server …
 
Haut Bas