[Tuto] Acceder à son NAS de l'exterieur

Les tutoriaux rédigés par les membres
Avatar du membre
Esteban
Grand Maître Jedi
Messages : 2914
Enregistré le : 18 mai 2017
Professionnel : Non
Localisation : France

[Tuto] Acceder à son NAS de l'exterieur

Message par Esteban » 15 mai 2019 19:30

Avoir un NAS, c’est bien, mais combien parmi vous n’arrivent pas à se connecter depuis un autre endroit que de son canapé ? Quid alors de la sécurité de nos données personnelles ? Comment s’y prendre que ça marche ?

Vous l’avez compris, le but de ce tuto est de pouvoir vous permettre une connexion depuis « ailleurs » mais pas n’importe comment. Je vais essayer d’être le plus clair possible pour les néophytes. Bien entendu, si vous avez une configuration « particulière » cela ne sera pas fonctionnel. N'hesitez pas à demander, j’intégrerai au fur et à mesure les cas.
Étant donné que je n’ai pas de Mac, ni Livebox, ni Bbox, je serai ravi de recevoir des captures d’écrans pour les intégrer.

Vocabulaire simplifié:
  • Ailleurs / Extérieur : Quand j’évoque ces idées, bien entendu, je ne parle pas de notion géographique, mais en dehors du réseau où se trouve ledit NAS. ;o)
  • Ports : Il faut imaginer ça comme les fenêtres d’une maison. Il y en a plein, mais dès qu’on met une ouverture possible sur l'une d'elles, c’est un risque supplémentaire que vous courrez. Alors imaginez, si vous faites cela à toutes vos fenêtres
  • Adresse Mac : Référence constructeur propre à son équipement.
  • Adresse IP locale : Adresse sur votre réseau (en général 192.168.x.y)
  • Adresse Ip Publique : C’est comme votre adresse postale : c’est celle de votre box. Il existe 2 types d’adresses IP publique. La statique (ou fixe) et la dynamique. A l’opposé de la statique, la dynamique change fréquemment (lors d’un redémarrage, au bout d’un certain nombre jours…). Chez Orange, elles sont dynamiques (voire statique si on paye l’option…)
Prérequis :
  • Un NAS Synology avec DSM 6.2
  • Une Box ou un routeur
  • Smartphone ou un ordinateur (ailleurs)

Pour se connecter de l’extérieur, vous avez plusieurs possibilités:
  • Soit la méthode en ouvrant les ports qui vont être utiles pour telles ou telles utilisations (parfois ouvrir un port permet d’utiliser plusieurs choses).
On va voir ici la première méthode qui fait « moins » peur pour M. et Mme Toutlemonde.

Voici le listing des ports nécessaires pour chacun des services souhaités : https://www.synology.com/fr-fr/knowledg ... y_services

Nous allons prendre le cas le plus « commun » : Accéder à DSM lorsque l’on n’est pas chez soi.
Vous noterez dans le listing que vous avez le choix entre le port 5000 (http) ou le 5001(https). Je DÉCONSEILLE très fortement le port 5000. (Vous avez remarqué qu’il manque le petit « s » dans http. Le « s » veut dire « sécure »

    Coté nas (Phase 1):

    Connectez-vous avec votre compte administrateur depuis votre réseau local à DSM.

    Fixer l'adresse IP
    Nous allons fixer l’adresse IP du NAS, cela évitera des ennuis plus tard. La méthode que nous allons voir ne sert pas uniquement aux NAS. Chez moi par exemple tous le matériel du réseau est administre de cette façon. L’avantage est que ca me permets d’avoir toujours les mêmes IP sur chacun des équipements. C’est bien plus facile à gérer aussi.

    Une façon est de la fixer est via l’adresse mac du NAS.

    Attention : Si vous avez déjà une ip fixée manuellement, vous pouvez passer cette étape.
    Rendez-vous dans la fenêtre suivante et notez sur un papier le code sous la forme XX-XX-XX-XX-XX-XX.
    Elle sera utile pour le paramétrage coté box/routeur.
    1.jpg
    DHCP
    2.jpg
    3.jpg
    Port 5001
    Dans panneau de configuration :
    4.jpg
    Vous auriez pu mettre un port « exotique » mais il y a peu d’incidence d’un point de vu sécurité (si ce n’est que psychologiquement) et cela évite de s’emmêler les pinceaux.
    D'ailleurs voici une liste des ports utilisés pour vous aider à en trouver qui sont libres : https://fr.wikipedia.org/wiki/Liste_de_ports_logiciels



      Coté Box Routeur :

      Si vous souhaitez fixer une IP et/ou faire des redirections pour d'autres équipements, le principe est le même.
      Ci dessous, voici des façons de procéder en fonction du matériel que vous avez. je compléterai la liste au fur et à mesure, merci de bien vouloir me faire suivre vos captures d'ecran. ;o)

      Avec une Freebox (Toutes versions)

      Connectez-vous à la console free : https://subscribe.free.fr/login/
      Paramétrer l’adresse Mac qui avait été écrite sur notre papier.
      Attention a bien respecter la forme XX :XX :XX :XX :XX :XX
      Puis choisir une adresse IP qui servira à l’avenir à vous connecter à votre nas.
      => Sauvegarder les changements.
      5.jpg
      Tant qu’on est là, nous allons en profiter pour faire la redirection du port 5001.
      Cela revient à dire à la box : Quand quelqu’un frappe à la fenêtre 5001, tu le laisse entrer uniquement pour aller vers l’IP du nas sur le port 5001. Comme evoqué precedemment, vous pourriez mettre dans les champs du port externe autre chose que 5001. Certains le font pour éviter les attaques. Mais les outils des hackers permettent de vous détecter quand même. C’est une affaire de quelques secondes de différences. Mais encore une fois, si cela vous rassure, allez y. ;o)
      6.jpg
      Et puis on sauvegarde.

      Upnp
      Et tant qu’à faire, pour une question de sécurité, on peut désactiver Upnp… et bien sûr on sauvegarde.
      7.jpg
      Avec une Livebox
      Merci @Invité pour ses captures d'ecran
      On remplit les cases... ;o)
      Capture2.PNG
      Capture3.PNG

      Vous pouvez maintenant REDEMARRER la box/routeur et le NAS.

        Coté nas (Phase 2):

        Vous allez maintenant vous connecter au NAS avec l’adresse IP inscrite et configurée via l’adresse mac dans votre box/routeur.

        Paramétrage du Pare-feu
        Ceci est une étape importante du paramétrage. Cela permets de designer qui/comment/depuis où, il est possible d’accéder au nas.
        8.jpg
        Voici un exemple de configuration de Pare-feu (les regles ont un ordre)
        Ici on va :
        • Bloquer la chine pour tous les services (on peut aussi bloquer d’autres pays)
        • Autoriser les IP locales en 192.168.1.x
        • Autoriser de France les accès uniquement en TCP vers le port 5001 (si vous avez mis un port exotique, à vous de modifier)
        • On bloque tout le reste
        9.jpg
        Et puis comme on est dans le coin, pour une question de securité :
        10.jpg

          Connexion depuis l’extérieur

          Pour accéder sur votre nas, on a besoin de de se rendre informatiquement sur le lieu où se trouve le NAS.
          On va utiliser un des 2 cas suivant:

          • IP Statique :

          Pour la connaitre son IP Publique www.whatismyIP.com depuis votre reseau local.
          Dans ce cas rien de plus simple pour se connecter de l’extérieur :
          https://@IPpublique:5001
          Et vous voilà chez vous.

          • IP dynamique :

          Comme elle change fréquemment, il existe une « parade » pour eviter de se demander quelle est l'ip que l'on doit utiliser. Il s'agit du DDNS – Cette mise en application peut tres bien se faire si vous avez une IP statique: Ca évitera d’apprendre une succession de chiffre. ;o)

          Pour ce faire, on pourrait utiliser autre chose que synology.me. Par exemple OVH ou no-IP ou d'autres, proposent des services intéressants alors si cela vous intéresse, allez y.
          Cependant, pour M. et Mme Toutlemonde, un compte synology fonctionnera très bien… et en plus, c’est gratuit.
          On va commencer par se rendre sur https://account.synology.com/fr-fr pour creer un compte. Je vous laisse suivre les pages les unes après les autres… rien d’extraordinaire.
          10bis.jpg
          Ensuite il va falloir mettre en liaison notre NAS avec ledit compte tout juste créé.

          Rien de plus simple :
          20.jpg
          21.jpg
          Après le tuto, vous pourrez aller faire un saut sur votre compte (pas bancaire hein... ;o))et vous verrez que votre nas y est inscrit et qu’il est actif. ;o)


          Ensuite :
          11.jpg
          On configure et on teste avant de valider. Le statut doit être en « normal ».
          12.jpg
          On valide,
          12bis.jpg
          12ter.jpg
          Retenez bien le nom que vous avez mentionné. C’est grâce à lui que vous pourrez vous connecter.

          Pour une question de sécurité, je déconseille l’utilisation de Quickconnect. Donc comme on est dans le coin…
          13.jpg
          Voilà, il ne vous restera plus qu’à vous connecter de l’extérieur avec : https://UnNomFacile.synology.me:5001 ou https://UnNomFacile.synology.me:Port_Exotique


          Vous pouvez utiliser les applications mobiles également avec votre nom de domaine : UnNomFacile.synology.me

          Une dernière chose : Je vous conseille de créer un compte du groupe utilisateur pour vos accès du quotidien, cela évitera que le login/password du compte administrateur tombe entre de mauvaises mains…

          Ne m'en voulez pas, mais j'ai fait ce tuto, un peu à l'aveugle (ma config étant complétement différente). Alors, S'il y a des erreurs: ne pas hésiter ! :)
          DS218+ (6.2.2) 2Gb + 8Gb (CT102464BF186D-1866)
          DS215j (6.2.2) Off Site Backup

          Ubiquiti ERx - Borne AP AC LR - Cams HikVision + Dlink - EATON 800VA

          OS des NAS - Base de telechargement Synology - Tuto VPN sur Synology

          Invité
          Maître Jedi
          Messages : 647
          Enregistré le : 01 février 2019
          Professionnel : Non

          Re: [Tuto] Acceder à son NAS de l'exterieur

          Message par Invité » 15 mai 2019 22:11

          excelent tuto,

          Perso, ce n'est pas de cette maniere que j'acccede de l'exterieur au nas, mais en ouvrant chaque port pour chaque appli. Cela évite de donner un acces administrateur à l'ensemble du system autre que vpn et ethernet.

          exemple :
          Capture.PNG
          prendre des ports de préférence non utilisé, donc non affiché dans ce lien

          https://fr.wikipedia.org/wiki/Liste_de_ports_logiciels

          Modération : Captures d’écran insérées dans le tuto. Merci

          Avatar du membre
          Esteban
          Grand Maître Jedi
          Messages : 2914
          Enregistré le : 18 mai 2017
          Professionnel : Non
          Localisation : France

          Re: [Tuto] Acceder à son NAS de l'exterieur

          Message par Esteban » 15 mai 2019 22:31

          Invité a écrit :
          15 mai 2019 22:11
          Perso, ce n'est pas de cette maniere que j'acccede de l'exterieur au nas, mais en ouvrant chaque port pour chaque appli. Cela évite de donner un acces administrateur à l'ensemble du system autre que vpn et ethernet.
          Si tu savais comment c'est de mon coté.... ;o)
          Tu as raison, ca limite davantage les risques. Ici, le tuto est dédié principalement aux neophytes. :wink:

          merci pour les screenshots -> c'est déjà integré.
          DS218+ (6.2.2) 2Gb + 8Gb (CT102464BF186D-1866)
          DS215j (6.2.2) Off Site Backup

          Ubiquiti ERx - Borne AP AC LR - Cams HikVision + Dlink - EATON 800VA

          OS des NAS - Base de telechargement Synology - Tuto VPN sur Synology

          Avatar du membre
          FX Cachem
          Site Admin
          Messages : 10037
          Enregistré le : 08 décembre 2013
          Professionnel : Non
          Localisation : Paris
          Contact :

          Re: [Tuto] Acceder à son NAS de l'exterieur

          Message par FX Cachem » 16 mai 2019 07:35

          Bravo pour ce Tuto... 8-) Il offre une bonne vision de ce qu'il faut faire.
          Blogueur sur Cachem et administrateur du Forum des NAS
          NAS : Synology DS918+ | QNAP TS-470 Pro | ASUSTOR AS-302T

          Avatar du membre
          webmail
          Grand Maître Jedi
          Messages : 2838
          Enregistré le : 18 janvier 2015
          Professionnel : Non
          Localisation : Bruxelles

          Re: [Tuto] Acceder à son NAS de l'exterieur

          Message par webmail » 16 mai 2019 08:30

          chouette tuto, clair et propre ;)
          QNAP TS-251
          Synlogy DS1515+

          Réseau Ubiquiti
          Cluster de virtualisation Proxmox avec 3 hôtes :roll:

          Avatar du membre
          Esteban
          Grand Maître Jedi
          Messages : 2914
          Enregistré le : 18 mai 2017
          Professionnel : Non
          Localisation : France

          Re: [Tuto] Acceder à son NAS de l'exterieur

          Message par Esteban » 16 mai 2019 08:37

          Cool que ca plaise.


          Sent from my iPhone using Tapatalk
          DS218+ (6.2.2) 2Gb + 8Gb (CT102464BF186D-1866)
          DS215j (6.2.2) Off Site Backup

          Ubiquiti ERx - Borne AP AC LR - Cams HikVision + Dlink - EATON 800VA

          OS des NAS - Base de telechargement Synology - Tuto VPN sur Synology

          CPS31
          Messages : 5
          Enregistré le : 31 octobre 2018

          Re: [Tuto] Acceder à son NAS de l'exterieur

          Message par CPS31 » 16 mai 2019 10:11

          Bonjour tous le monde,

          Merci pour ce tuto qui permet de vérifier les basiques de sécurité et de revoir le paramétrage.
          Quelques questions :
          . Tu préconises l'utilisation de TCP pour l'ouverture du port et pas UDP. Je pensais qu'il fallait le faire avec les 2 protocoles ?
          . Est-ce que vous avez la configuration pour une Livebox Pro car l'interface est différente des LB Home
          . Connaissez vous la limite du nombre de certificats let's Encrypt par utilisateur enregistré sur le site de Synology ?

          Merci pour vos réponses.

          zypos
          Maître Jedi
          Messages : 524
          Enregistré le : 24 octobre 2014

          Re: [Tuto] Acceder à son NAS de l'exterieur

          Message par zypos » 16 mai 2019 10:29

          Tres bon travail . Je rajouterais des éléments indispensable pour la sécurité ( a mes yeux )
          Déactivé le compte admin : créé un utilisateur ayant des droits administrateur et déactivé le compte admin.
          Idem pour le compte guest.
          En ce qui concerne les ports exotique : Pour certaine application on peu les utiliser , cela évite les robots qui utilisent les ports par défaut (cas du port 21 pour le FTP)pour faire des tentatives de connexions.
          NAS : Synology DS 716+II
          Qnap TS 251+

          Patrick du 34
          Messages : 9
          Enregistré le : 16 mai 2019

          Re: [Tuto] Acceder à son NAS de l'exterieur

          Message par Patrick du 34 » 16 mai 2019 11:05

          Bonjour merci pour ce tuto. (et celui du VPN Server)

          Du coup si j'ai bien compris, le fait d'autoriser l'accès via le VPN server du Synology est plus sécurisé que via l'ouverture des ports ce que je faisais jusqu'à il y a peu, car depuis quelques mois j'ai coupé l'accès externe, voulant revoir cet aspect là.

          Pour le moment je me connecte depuis mon smartphone via le VPN de ma freebox.

          Patrick du 34
          Messages : 9
          Enregistré le : 16 mai 2019

          Re: [Tuto] Acceder à son NAS de l'exterieur

          Message par Patrick du 34 » 16 mai 2019 11:06

          zypos a écrit :
          16 mai 2019 10:29
          Tres bon travail . Je rajouterais des éléments indispensable pour la sécurité ( a mes yeux )
          Déactivé le compte admin : créé un utilisateur ayant des droits administrateur et déactivé le compte admin.
          Idem pour le compte guest.
          En ce qui concerne les ports exotique : Pour certaine application on peu les utiliser , cela évite les robots qui utilisent les ports par défaut (cas du port 21 pour le FTP)pour faire des tentatives de connexions.
          En effet c'est ce qu'il faut faire dès le début.

          Répondre

          Retourner vers « Tutoriaux »

          Qui est en ligne

          Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 21 invités