Synology [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS

  • Vague de SPAM

    Suite à une vague de spam sur le forum, les inscriptions sont temporairement limitées.

    Après votre inscription, un membre de l'équipe devra valider votre compte avant qu'il ne soit activé. Nous sommes désolés pour la gêne occasionnée et vous remercions de votre patience.
SvartD0D a dit:
Les deux fonctionnent : adresse IP locale et NDD personnalisé (pareil avec connexion extérieure apparemment), pourquoi me contenter de l'accès local uniquement depuis mon domicile ?
Cliquez pour agrandir...
Heu j'ai pas tout compris :ROFLMAO:

SvartD0D a dit:
J'ai déjà une instance dockerisée également d'AdGuard Home sur un Raspberry Pi 3B+ indépendant, cependant je n'ai aucune solution VPN pour le moment.
A ce sujet (mais on change diverge légèrement), je ne me connecte pas du tout via VPN depuis l'extérieur cependant je comptais encapsuler qBitorrent via Gluetun mais je n'ai pas encore étudié la question.

Priorités sur lesquelles je me casse un peu les dents au niveau des instal/configs :
1 - Cloud type (Seafile ou Nextcloud)
2 - Monitoring type Netdata
3 - Servarr (Sonarr, Radarr, Prowlar, Bazarr)
4 - VPN pour sécuriser certains applicatifs type qBittorent mais je suis inquiets sur l'impact de la qualité du débit.
Cliquez pour agrandir...
Là c'est un sujet que je ne maitrise pas.
Cependant si tu veux accéder à DSM via un serveur VPN dans ton LAN, ça je peux t'aider, c'est beaucoup plus sécurisé de ne pas exposer DSM à internet, mais de passer par un serveur vpn chez toi.
C'est ce que je fais ^^
C'est quoi ton routeur ?
 
MilesTEG a dit:
Heu j'ai pas tout compris :ROFLMAO:


Là c'est un sujet que je ne maitrise pas.
Cependant si tu veux accéder à DSM via un serveur VPN dans ton LAN, ça je peux t'aider, c'est beaucoup plus sécurisé de ne pas exposer DSM à internet, mais de passer par un serveur vpn chez toi.
C'est ce que je fais ^^
C'est quoi ton routeur ?
Cliquez pour agrandir...
J'ai mal lu désolé 😅, j'accède bien depuis extérieur à présent et a priori sans le port exposé !
Allez pourquoi pas merci, je suis chez Free avec une Freebox Pop, j'ai déjà fait le nécessaire en configuration ce côté, mais encore rien question VPN comme je disais.
 
SvartD0D a dit:
J'ai mal lu désolé 😅, j'accède bien depuis extérieur à présent et a priori sans le port exposé !
Allez pourquoi pas merci, je suis chez Free avec une Freebox Pop, j'ai déjà fait le nécessaire en configuration ce côté, mais encore rien question VPN comme je disais.
Cliquez pour agrandir...
Ok ;)
Nickel pour le fonctionnement correct ;)

Pour la freebox, c'est le routeur dont tu parlais ? Ou bien tu as un autre routeur derrière la freebox ?
 
MilesTEG a dit:
Ok ;)
Nickel pour le fonctionnement correct ;)

Pour la freebox, c'est le routeur dont tu parlais ? Ou bien tu as un autre routeur derrière la freebox ?
Cliquez pour agrandir...
J'ai une Freebox Pop "alimentant" un switch basique TPlink 8 ports, sur lequel est branché mon NAS et un Adguard Home via un Raspberry Pi 3B+
 
SvartD0D a dit:
J'ai une Freebox Pop "alimentant" un switch basique TPlink 8 ports, sur lequel est branché mon NAS et un Adguard Home via un Raspberry Pi 3B+
Cliquez pour agrandir...
Ha ok :)
J'avais compris que tu avais un routeur en plus de ta Freebox ^^

Ok, donc mon conseil : utilise le serveur VPN Wireguard de ta freebox pour accéder au LAN, donc à DSM. Ça permettra de ne pas exposer DSM sur internet.
Tu laisses le reste en accès depuis le net ;) mais pas DSM.
Je pense que tu devras retirer un paramètre pour que DSM ne soit plus accessible sur le net ;)

Tu me confirmes que dans ta freebox, tu n'as pas mis de DMZ vers le NAS ? Et que tu n'as ouvert que le port 443 ?

PS : attention aussi à l'IPV6 qui peut mettre le bazar ;)
 
MilesTEG a dit:
Ha ok :)
J'avais compris que tu avais un routeur en plus de ta Freebox ^^

Ok, donc mon conseil : utilise le serveur VPN Wireguard de ta freebox pour accéder au LAN, donc à DSM. Ça permettra de ne pas exposer DSM sur internet.
Tu laisses le reste en accès depuis le net ;) mais pas DSM.
Je pense que tu devras retirer un paramètre pour que DSM ne soit plus accessible sur le net ;)

Tu me confirmes que dans ta freebox, tu n'as pas mis de DMZ vers le NAS ? Et que tu n'as ouvert que le port 443 ?

PS : attention aussi à l'IPV6 qui peut mettre le bazar ;)
Cliquez pour agrandir...
Je te confirme
  • Ne pas avoir activé DMZ ❌
  • Port 443 ouvert ✅
  • Ipv6 je ne pense pas l'avoir activé non plus ❌
Pour Wireguard je découvre le service tout simplement (config à zéro donc)

1763135809110.png

1763135261842.png
 

Pièces jointes

  • 1763135140802.png
    1763135140802.png
    179 KB · Affichages: 2
Dernière édition:
@SvartD0D : nickel.
Tu devrais pouvoir fermer le port 80. Il ne te seras pas utile.

En ce qui concerne le serveur Wireguard, essaie de le configurer, le temps que je trouve un peu de temps pour t'aider, je n'ai plus de freebox ^^
 
  • J'aime
Réactions: SvartD0D
MilesTEG a dit:
@SvartD0D : nickel.
Tu devrais pouvoir fermer le port 80. Il ne te seras pas utile.

En ce qui concerne le serveur Wireguard, essaie de le configurer, le temps que je trouve un peu de temps pour t'aider, je n'ai plus de freebox ^^
Cliquez pour agrandir...
@MilesTEG, j'ai activé le service VPN depuis ma Freebox, créé un user et activé le service sur mon mobile via app WireGuard (pour tester, c'est OK)
J’ai également installé WireGuard via Docker sur mon NAS mais je n'ai pas l'impression qu'il le prenne en compte malgré avoir chargé le fichier wg0.conf en provenance de ma config VPN dans ma config docker/wireguard/config.

Mon erreur dans les logs de mon conteneur :
Code: 
2025/11/25 09:28:08    stdout    **** The wireguard module is not active. If you believe that your kernel should have wireguard support already, make sure that it is activated via modprobe! ****
2025/11/25 09:28:08    stdout    RTNETLINK answers: Operation not permitted

Par ailleurs je n'ai encore désactivé mes anciens services d'accès à distance dont je me sers aujourd'hui, n'étant pas arrivé au bout du process.
 
  • J'aime
Réactions: MilesTEG
SvartD0D a dit:
@MilesTEG, j'ai activé le service VPN depuis ma Freebox, créé un user et activé le service sur mon mobile via app WireGuard (pour tester, c'est OK)
J’ai également installé WireGuard via Docker sur mon NAS mais je n'ai pas l'impression qu'il le prenne en compte malgré avoir chargé le fichier wg0.conf en provenance de ma config VPN dans ma config docker/wireguard/config.

Mon erreur dans les logs de mon conteneur :
Code: 
2025/11/25 09:28:08    stdout    **** The wireguard module is not active. If you believe that your kernel should have wireguard support already, make sure that it is activated via modprobe! ****
2025/11/25 09:28:08    stdout    RTNETLINK answers: Operation not permitted

Par ailleurs je n'ai encore désactivé mes anciens services d'accès à distance dont je me sers aujourd'hui, n'étant pas arrivé au bout du process.
Cliquez pour agrandir...
Nickel pour le wireguard sur la freebox.

En ce qui concerne le NAS, je n'ai jamais réussi à faire fonctionner wireguard quelque soit le conteneur...
Depuis j'ai laissé tomber, et j'utilise mon routeur pour serveur wireguard et OpenVPN.
 
MilesTEG a dit:
Nickel pour le wireguard sur la freebox.

En ce qui concerne le NAS, je n'ai jamais réussi à faire fonctionner wireguard quelque soit le conteneur...
Depuis j'ai laissé tomber, et j'utilise mon routeur pour serveur wireguard et OpenVPN.
Cliquez pour agrandir...
Aujourd'hui j'accède a mes applications à distance via l'ouverture du port (443) sur ma box et grâce au reverse proxy du DSM.
Quelle sera la méthode de fonctionnement après cela, notamment pour des appli connectées (partages) en dehors de mon LAN type Jellyfin ? Ayant appliqué un ensemble de règles de sécu notamment pour prévenir le brute force.
Question amateure : Accéder via VPN à mon NAS en dehors de mon LAN est-ce vraiment nécessaire ?
 
SvartD0D a dit:
Aujourd'hui j'accède a mes applications à distance via l'ouverture du port (443) sur ma box et grâce au reverse proxy du DSM.
Quelle sera la méthode de fonctionnement après cela, notamment pour des appli connectées (partages) en dehors de mon LAN type Jellyfin ? Ayant appliqué un ensemble de règles de sécu notamment pour prévenir le brute force.
Cliquez pour agrandir...
Je n'ai pas trop compris :ROFLMAO:
"Après cela" ?
Tu veux dire après la mise en place du VPN ?
SvartD0D a dit:
Question amateure : Accéder via VPN à mon NAS en dehors de mon LAN est-ce vraiment nécessaire ?
Cliquez pour agrandir...
Pour l'accès DSM, oui parfaitement nécessaire selon moi. Comme pour d'autres applications sensibles si tu es as.

Mais pour les autres, laisse les passer par le reverse proxy ;)
Pour bloquer l'accès à DSM depuis internet, il faut aller dans les profils de contrôle d'accès du Reverse proxy du nas et créer une liste d'autorisation :
1764155468463.png
Tu y places les IP LAN et celle de ton/tes VPN ;)
 
@MilesTEG Merci pour tes explications :)
Cela donne a peu près ceci, ça à l'air de fonctionner, je n'ai cependant pas compris l'utilité d'OpenVPN utilisant l'app WireGuard sur Android.
Je suis un peu moins sûr de moi quant à la configuration des applications ceci dit (screenshot 2)
NAS-PEMtl-Synology-NAS.png
NAS-PEMtl-Synology-NAS-2.png
 
Quid de ce qu'indiquait @morgyann (j'avais suivi son tuto également), on est d'accord qu'avec cette méthode le bénéfice de l'accès hors LAN via VPN n'est plus ?

1764162995549.png
 
SvartD0D a dit:
@MilesTEG Merci pour tes explications :)
Cela donne a peu près ceci, ça à l'air de fonctionner, je n'ai cependant pas compris l'utilité d'OpenVPN utilisant l'app WireGuard sur Android.
Je suis un peu moins sûr de moi quant à la configuration des applications ceci dit (screenshot 2)
Voir la pièce jointe 18745
Voir la pièce jointe 18746
Cliquez pour agrandir...
Si tu veux bloquer les accès à tout sauf aux IP que tu as mis dans ton profil de contrôle d'accès, tu fais comme-ça :
1764232321844.png
SvartD0D a dit:
Quid de ce qu'indiquait @morgyann (j'avais suivi son tuto également), on est d'accord qu'avec cette méthode le bénéfice de l'accès hors LAN via VPN n'est plus ?

Voir la pièce jointe 18749
Cliquez pour agrandir...
Par contre pour DSM, si tu as suivi le tuto de @morgyann , je pense que tu ne peux pas mettre ce profil de contrôle d'accès...
@morgyann : peut-on restreindre l'accès à DSM aux IP LAN/VPN avec le profil de contrôle d'accès avec ta méthode ?
En ce qui me concerne, je n'ai utilisé la méthode de @morgyann que pour les applications :
1764232708708.png
pas pour DSM, car ça en fonctionne pas, probablement parce que j'ai un reverse proxy ailleurs :) et un serveur DNS local.

Mais du coup, je te conseillerais de vider le champ domaine personnalisé de dsm :
1764232790295.png
Conserve le reste.
Et si tu veux utiliser ton nom de domaine pour accéder à DSM depuis chez toi, et aussi depuis un accès VPN, ajoute un reverse proxy pour DSM.
 
  • J'aime
Réactions: SvartD0D
@SvartD0D
Je suis un peu dans le même cas que toi sauf ma box ne gère pas le loopback (pas de domaine, juste le ddns que je compte decativer). Mais apparement via le Raspberry, Adguard peut aussi s’occuper du dns te menant vers ton NAS (Split DNS) aussi bien sous WireGuard que depuis le lancement. Je ne l’ai pas encore mis en place mais c’est ce que je compte faire, afin d’avoir accès à Drive uniquement via un nom (et pas une IP) que je sois dans le LAN ou depuis l’extérieur (via Wireguard). Après je ne sais pas ce que ça vaut 🤷🏻‍♂️
 
  • J'aime
Réactions: SvartD0D
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour