Synology [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS

[elenwii]

merci pour vos retours.
je vais laisser le https du coup .

j'ai besoin d'accéder au NAS de l'extérieur car je l'utilise en Drive + backup Photos des smartphones (à la place de google).

Je vais regarder ce qui se passe dans les prochains mois en espérant que les guignols ou bot se calmes

 

[MilesTEG]

merci pour vos retours.
je vais laisser le https du coup .

j'ai besoin d'accéder au NAS de l'extérieur car je l'utilise en Drive + backup Photos des smartphones (à la place de google).

Je vais regarder ce qui se passe dans les prochains mois en espérant que les guignols ou bot se calmes

Il faut savoir que pour la synchronisation avec Drive, il faut le port 6690, et en aucun cas il faut tenter de le faire passer par un reverse proxy, car ça ne fonctionnera pas.
Il faut ouvrir le port sur la box pour s'y connecter à distance.

 

[elenwii]

Il faut savoir que pour la synchronisation avec Drive, il faut le port 6690, et en aucun cas il faut tenter de le faire passer par un reverse proxy, car ça ne fonctionnera pas.
Il faut ouvrir le port sur la box pour s'y connecter à distance.

Oui, j'ai forward le port sur la freebox et le reverse proxy n'est pas sur ce port, mais sur un autre port.

 

[Chon]

Salut à tous,

Il faut savoir que pour la synchronisation avec Drive, il faut le port 6690, et en aucun cas il faut tenter de le faire passer par un reverse proxy, car ça ne fonctionnera pas.
Il faut ouvrir le port sur la box pour s'y connecter à distance.

Drive est une appli intégrée à DSM et passe par le reverse proxy de façon automatique au même titre que "photos" ou "files" :


Et Drive fonctionne très bien sans ouvrir le port 6690 sur la box. Du moins, ça se passe comme ça sur le 713+ que je gère.

 

[MilesTEG]

Salut à tous,

Drive est une appli intégrée à DSM et passe par le reverse proxy de façon automatique au même titre que "photos" ou "files" :

Voir la pièce jointe 12013
Et Drive fonctionne très bien sans ouvrir le port 6690 sur la box. Du moins, ça se passe comme ça sur le 713+ que je gère.

Relis bien ce que j’ai écrit j’ai parlé de la synchronisation pas de l’interface Drive elle même qui peut effectivement passer par le reverse proxy, quel qu’il soit .

Mais en ce qui concerne la synchronisation des ordinateurs avec les clients desktop, là, tu n’as pas le choix : ça passe par le port 6690 inéchangeable et impossible de faire fonctionner à travers un reverse proxy.

 

[Bambusa29]

Relis bien ce que j’ai écrit j’ai parlé de la synchronisation pas de l’interface Drive elle même qui peut effectivement passer par le reverse proxy, quel qu’il soit .

Mais en ce qui concerne la synchronisation des ordinateurs avec les clients desktop, là, tu n’as pas le choix : ça passe par le port 6690 inéchangeable et impossible de faire fonctionner à travers un reverse proxy.

Cela devrait être comme même possible avec un proxy configuré pour gérer un stream 'socket' mais pas possible avec le proxy basique intégré dans le DSM , par contre en installant Swag (nginx + fail2ban) avec Docker, cela devrait le faire...

Avec Nginx, tu peux gérer tout type de flux, même bas niveau (en terme de protocole réseau) avec un stream 'socket' (c'est peu utilisé et peu connu); par contre tu perd la notion de destinataire, donc obliger alors de faire du filtrage sur le port exclusivement (dans ce cas la, sur le port 6690) dans la configuration du virtualhost.

Je l'ai déjà utilisé pour faire passer un flux TCP à travers un reverse proxy Nginx pour communiquer avec une base de donnés FireBird.

 

[MilesTEG]

Cela devrait être comme même possible avec un proxy configuré pour gérer un stream 'socket' mais pas possible avec le proxy basique intégré dans le DSM , par contre en installant Swag (nginx + fail2ban) avec Docker, cela devrait le faire...

Avec Nginx, tu peux gérer tout type de flux, même bas niveau (en terme de protocole réseau) avec un stream 'socket' (c'est peu utilisé et peu connu); par contre tu perd la notion de destinataire, donc obliger alors de faire du filtrage sur le port exclusivement (dans ce cas la, sur le port 6690) dans la configuration du virtualhost.

Je l'ai déjà utilisé pour faire passer un flux TCP à travers un reverse proxy Nginx pour communiquer avec une base de donnés FireBird.

Ha ! Je suis preneur de la méthode pour essayer car ça je ne sais pas faire .
Ps : j’ai swag en docker sur un nuc pour gérer le reverse proxy.

 

[Chon]

Salut à tous,

Relis bien ce que j’ai écrit j’ai parlé de la synchronisation pas de l’interface Drive elle même qui peut effectivement passer par le reverse proxy, quel qu’il soit .

Mais en ce qui concerne la synchronisation des ordinateurs avec les clients desktop, là, tu n’as pas le choix : ça passe par le port 6690 inéchangeable et impossible de faire fonctionner à travers un reverse proxy.

J'insiste et continue d'affirmer que sur le 713+ que je gère, le port 6690 n'est ouvert nulle part et que la synchro Drive fonctionne très bien à partir d'un MacBook.

 

[MilesTEG]

Salut à tous,

J'insiste et continue d'affirmer que sur le 713+ que je gère, le port 6690 n'est ouvert nulle part et que la synchro Drive fonctionne très bien à partir d'un MacBook.

Dans le réseau local, c'est parfaitement normal.
Mais depuis l'extérieur, ça ne fonctionnera pas tant que tu n'auras pas ouvert le port 6690 dans ta box et dans les divers pare-feu.
Tout ce que j'ai dit concerne l'accès à la synchronisation à distance.

@Bambusa29 : si tu as un moment, je veux bien le .conf pour la connexion stream socket pour NGINX

 

[nimo]

Bonjour,

Tout d'abord merci pour ce tutoriel , parfaitement clair et agrémenter de photos

J'ai une question par rapport au reverse proxy, j'ai :

• créer un container docker dont le port local est 5207
• définit un reverse proxy :
  • source
    • protocole : https
    • nom hôte : alpha.xxxxxdiskstation.synology.me (url d'exemple)
    • port : 443
  • Destination
    • protocole : http
    • nom hôte : localhost
    • port : 5207
• Ouvert les ports 80 & 443 sur ma livebox qui redirige bien vers mon nas

J'ai bien accès depuis l'extérieur à l'url https://alpha.xxxxxdiskstation.synology.me depuis un PC, en revanche sur mon smartphone j'ai le message "Ce site est inaccessible". J'ai tenter de nettoyer mes cookies, etc... sans effet.

Une idée ?

Merci par avance pour l'aide

 

[MilesTEG]

Bonjour,

Tout d'abord merci pour ce tutoriel , parfaitement clair et agrémenter de photos

J'ai une question par rapport au reverse proxy, j'ai :

• créer un container docker dont le port local est 5207
• définit un reverse proxy :
  • source
    • protocole : https
    • nom hôte : alpha.xxxxxdiskstation.synology.me (url d'exemple)
    • port : 443
  • Destination
    • protocole : http
    • nom hôte : localhost
    • port : 5207
• Ouvert les ports 80 & 443 sur ma livebox qui redirige bien vers mon nas

J'ai bien accès depuis l'extérieur à l'url https://alpha.xxxxxdiskstation.synology.me depuis un PC, en revanche sur mon smartphone j'ai le message "Ce site est inaccessible". J'ai tenter de nettoyer mes cookies, etc... sans effet.

Une idée ?

Merci par avance pour l'aide

Je pense que c’est lié à l’ipv6. Tu as quoi comme OS mobile ?
Il faut mettre que les des serveurs dns ipv4 dans ta configuration réseau.
enfin je pense . Essaye et dit moi.

 

[zypos]

Une idée ?

As-tu déactivé l'IPv6 sur le NAS . Perso j'ai eu des pb identique avec l'IPv6 activé . Pas d'accés à certain docker et pb avec File Station .

 

[elenwii]

Si j'ai bien compris, Le reverse proxy fonctionne en extérieur mais pas sur une requête interne.

En local il faut dire au pc que ton adresse c'est du local 192.168.1.xx via le fichier hosts. Et du coup pour le smartphone c'est quasi impossible de gérer simplement.

En local, sur smartphone , j'utilise mon ip local perso.

PS : si j'ai tout faux désoler... Preneur de l'explication

 

[zypos]

Si j'ai bien compris, Le reverse proxy fonctionne en extérieur mais pas sur une requête interne.

Chez moi le reverse proxy fonctionne de l'extérieur et en local . Je passe tout par le reverse proxy . En saisissant L'IP du NAS tu ne peux pas avoir de https .
J'ai configurer le reverse proxy pour DSM et File station dans le portail de connexion .
Pour les appli en Docker c'est configurer via le portail de connexion / Avancé . Mais il faut configurer l'En tête personnalisé :


Il faut également vérifier l'attribution du Certificat Let'S Encrypt dans Sécurité / Certificat / Paramètres.
Si tu utilise le reverse proxy avec DS File il faut modifier l'URL et mettre : File.ndd.synology.me:443

 

[nimo]

Désolé du temps de réponse.

Alors j'ai eu un effet de bord où ça s'est mis à fonctionner sur mobile (Android) pour une adresse du type https://alpha.xxxxxdiskstation.synology.me/ puis quelques instant plus tard, de nouveau plus accessible ...
J'ai bien ajouter les entêtes personnalisés.

Je viens de désactiver l'IPv6, et cela fonctionne de nouveau sur mobile
J'attends un peu avant de crier victoire mais c'est si le problème était bien l'IPv6 merci beaucoup @zypos

​

​

 

[MilesTEG]

@elenwii @zypos
Ici le souci c'est vraiment la résolution de l'adresse du nom de domaine en IP.
Si tu as l'IPv6 activée, le mobile prend préférentiellement la résolution du ndd via ipv6, et là tu vas pointer sur l'adresse IP de ta box, qui ne doit pas gérer le loopback, qui est grossièrement la possibilité de rediriger une requête provenant du LAN vers le LAN en conservant l'adresse IP LAN source de la requête, qui est en fait remplacée par l'adresse IP de la box, c'est ce truc bien chiant qui m'a forcé à mettre en place il y a quelques années mon propre serveur DNS local (AdGuard Home pour profiter en plus du blocage de pubs).

Il y a plusieurs solutions, plus ou moins contraignante. Mais sache qu'il te faudra quoiqu'il arrive mettre en place un serveur DNS local.
La meilleure, c'est de désactiver l'IPv6 complètement sur toutes les machines, et sur la box ou le routeur si c'est possible.
Ensuite, c'est de supprimer les DNSv6 dans les smartphones et de fixer les IPv4 des DNS. Mais ça va laisser le problème de l'accès local.
Je précise que ça n'arrivera que si tu as une box qui ne gère pas le loopback.

Désolé du temps de réponse.

Alors j'ai eu un effet de bord où ça s'est mis à fonctionner sur mobile (Android) pour une adresse du type https://alpha.xxxxxdiskstation.synology.me/ puis quelques instant plus tard, de nouveau plus accessible ...
J'ai bien ajouter les entêtes personnalisés.

Je viens de désactiver l'IPv6, et cela fonctionne de nouveau sur mobile
J'attends un peu avant de crier victoire mais c'est si le problème était bien l'IPv6 merci beaucoup @zypos

Et vu ta réponse là, ta box doit je gérer.
Donc pas vraiment besoin de mettre en place un serveur DNS, sauf si tu veux profiter du blocage des publicités partout. (il faut que tu puisses modifier l'adresse du serveur DNS dans ton serveur DHCP).

 

[nimo]

Ma box est une livebox (orange).
A l'heure actuel, je n'ai pas spécifiquement besoin d'un bloqueur de pub, mais ça pourrait éventuellement m'intéressé un jour. Mais là ce n'était pas le but.
En tout cas, merci pour ces explications qui m'ont permis d'y voir plus clair et de résoudre mon problème

 

[nimo]

@MilesTEG concernant le bloqueur de pub, en suivant ce tuto : https://www.cachem.fr/adguard-home-nas-synology-docker/ ça peut faire le job sans avoir de serveur DNS local ?

 

[elenwii]

Je vais regarder si lipv6 est activé sur ma Freebox pop mais étant en ipv4 full stack je me disait que non...

 

[MilesTEG]

Ma box est une livebox (orange).
A l'heure actuel, je n'ai pas spécifiquement besoin d'un bloqueur de pub, mais ça pourrait éventuellement m'intéressé un jour. Mais là ce n'était pas le but.
En tout cas, merci pour ces explications qui m'ont permis d'y voir plus clair et de résoudre mon problème

@MilesTEG concernant le bloqueur de pub, en suivant ce tuto : https://www.cachem.fr/adguard-home-nas-synology-docker/ ça peut faire le job sans avoir de serveur DNS local ?

Je vais regarder si lipv6 est activé sur ma Freebox pop mais étant en ipv4 full stack je me disait que non...

Oh punaise, vous êtes deux à avoir le même souci je n’avais pas fait attention

Alors @nimo : un serveur adguardhome est un serveur DNS local
J’utilise ça , pas forcément exactement la même installation que celle décrite par @FX Cachem dsns son tuto car je l’ai mis sur un NUC, sinon il fallait faire un réseau macvlan.

@elenwii : une ipv4 full stack n’est pas synonyme de pas d’ipv6 du tout. Free fourni quoiqu’il arrive une IPv6.