@xavax
Si je résume bien, tu veux :
- accéder à Jellyfin depuis l'extérieur du LAN
- accéder à DSM depuis l'extérieur du LAN
C'est bien cela ?
Ma solution : utiliser le reverse proxy, et donc un nom de domaine, le tout sur le port 443 en externe. Le reverse-proxy se chargeant de pointer sur les bons ports de chacun des services.
Il faudra aussi faire en sorte de faire une transmission de port dans le routeur/box en amont du NAS. Et bien sûr paramétrer correctement le pare-feu.
Procédons par étapes.
Mais d'abord un prérequis que je vais considéré comme OK de ton coté :
-> Le nom de domaine
tonndd.tld pointe sur ton adresse IP (DDNS Synology à priori OK), mais aussi un certificat wildcard sur ce nom de domaine et
*.tonndd.tld
1. Configuration du reverse-proxy
2. Réglages du pare-feu :
Là, on va faire le cas où tu ne veux accéder à DSM depuis internet que depuis la France.
Il faut autoriser cette connexion, mais aussi toutes celles du LAN (et du serveur VPN, mais ça on y viendra plus tard quand ton accès sera fonctionnel depuis l'extérieur).
Explications :
Il faut savoir que les règles sont lues et appliquées (si activées) de haut en bas.
- On autorise Tous depuis les IP de ton LAN : 192.168.1.1 -> 192.168.1.254
- On autorise Tous depuis les IP du réseau du VPN : 192.168.10.1 -> 192.168.1.254 (nécessaire quand on aura abordé la partie VPN, qui est bien plus sécurisé pour accéder à DSM... perso, je n'ai pas autorisé l'accès depuis internet à DSM, uniquement en LAN et depuis le VPN).
- On autorise toutes les connexions TCP sur le port 443 (HTTPS) depuis des IP françaises (ce sera le reverse proxy qui va se charger de transférer sur le bon port).
J'utilise le sélecteur pour choisir le bon port :
- La règle est pour le moment désactivée, mais elle autorise les connexions TCP sur le port 80 (Web) aux IP françaises : cette règle ne devrait pas avoir besoin d'être activée, et peut même être supprimée, mais comme il se peut que l'on en ait besoin, je l'ai laissée... mais désactivée.
- On autorise les connexions sur le port 55555 de Jellyfin à toutes les IP françaises.
- Cette règle est désactivée, mais est présente en cas de besoin. Elle permet à toutes les IP du monde entier (pas de restriction géographique) de se connecter sur le port 443 (HTTPS).
- Même chose que la règle 6, mais pour le port 80 (Web). Désactivée.
- La plus importante des règles : elle refuse toute connexion qui n'aurait pas été autorisées auparavant. Elle est essentielle pour la sécurité du NAS.
Pour ton utilisation future, il faudra ajouter une règle pour autoriser une application à être accessible depuis internet en ajoutant une règle avant la dernière.
Par exemple, si tu veux utiliser les clients Drive en synchronisation, il faudra ouvrir le port 6690 (dispo dans le sélecteur de ports :
)
Le pare-feu ressemblera alors à ça :
3. Configuration de la box
Maintenant, pour accéder depuis internet à ton NAS, il faut faire une transmission (ou redirection) de port sur ta box ou ton routeur.
Quelle est ta configuration à ce sujet ?
Box ? Routeur ?
Quel modèle ?
Sais-tu faire une redirection de port ?
Si oui, il faut faire une redirection/transmission du port 443 (externe) vers le port 443 (interne) sur l'IP de ton NAS.