Synology Subitement, plus d'accès de l'extérieur possible

[yiei]

Bonjour tout le monde, je viens chercher de l'air après 2j de recherches sans succès.

Depuis plusieurs semaines, je parvenais à me connecter de l'extérieur à mon NAS qui comprend un proxy reverse.

Réglages : Sur mon routeur, le port 443 vers le 443 du NAS

Au niveau du proxy, 443 vers un port sous docker. Certificats avec LE

Tout allait bien puis un matin, plus d'accès de l'extérieur.

Mon DDNS est un *.synology.me

Depuis et après de nombreuses chipotes avec les certificats, plus moyen même de me connecter avec quickconnect. Je dois également attendre pour renouveler un certificat, trop de demande sur le domaine lors des tests.

J'ai aussi désactivé le parefeu, mais rien, plus d'accès possible de l'extérieur même en HTTP

J'ai effectué des tests de redirection de port vers un autre périphérique réseau pour tester le routeur, tout se passe bien. C'est le NAS qui coince.

Une idée vous viendrait à l'esprit ?

 

[jeu2]

Es-tu toujours en ipv4 fullstack ou ton FAI ne t'aurait-il pas passé en CGNAT sans rien dire?
Tu peux le savoir sur ta box, chez RED SFR par exemple, c'est écrit en haut à droite de la page principale accessible par http://192.168.1.1

 

[morgyann]

Bonjour,

Au niveau du proxy, 443 vers un port sous docker. Certificats avec LE

On parle bien ici de l'accès à DSM via le DDNS de Synology type monnas.synology.me
Vérifier :
1. Panneau de Conf -> DDNS -> le statut est-il normal ?? (vert)
2. Sécurité -> Certificats -> Sous le DDNS est-il mis pour : Paramètres Système par défaut + ce DDNS est il certifié ?
3. Tu parles de Proxy inversé, c'est, je suppose que tu accèdes à DSM par le seul nom du DDNS (sans le port à la fin)
Perso, je ne suis pas partisan d'utiliser le reverse proxy ou un reverse proxy tiers pour l'accès à DSM - Synology intègre cette fonction dans son système pour DSM et ses propres apps. Tu as juste à indiquer le DDNS à Portail de connexion -> Domaine personnalisé. + Accès externe -> Avancé -> Nom d'hôte

 

[yiei]

Es-tu toujours en ipv4 fullstack ou ton FAI ne t'aurait-il pas passé en CGNAT sans rien dire?
Tu peux le savoir sur ta box, chez RED SFR par exemple, c'est écrit en haut à droite de la page principale accessible par http://192.168.1.1

je ne pense pas, j'ai contacté le FAI (proximus en Belgique) tout de leur côté est comme avant ...

 

[yiei]

Bonjour,

On parle bien ici de l'accès à DSM via le DDNS de Synology type monnas.synology.me
Vérifier :
1. Panneau de Conf -> DDNS -> le statut est-il normal ?? (vert)
2. Sécurité -> Certificats -> Sous le DDNS est-il mis pour : Paramètres Système par défaut + ce DDNS est il certifié ?
3. Tu parles de Proxy inversé, c'est, je suppose que tu accèdes à DSM par le seul nom du DDNS (sans le port à la fin)
Perso, je ne suis pas partisan d'utiliser le reverse proxy ou un reverse proxy tiers pour l'accès à DSM - Synology intègre cette fonction dans son système pour DSM et ses propres apps. Tu as juste à indiquer le DDNS à Portail de connexion -> Domaine personnalisé. + Accès externe -> Avancé -> Nom d'hôte

1. oui statut normal en vert
2. le certificat par défaut est celui de "synology". Le DDNS par lequel passe le proxy est certifié par R10
3. le proxy me permet d'avoir des adresses pour joindre mes app sur docker

Je reste dans le flou car je n'ai rien changé entre le moment ou cela fonctionnait puis plus. j'ai encore réussi après un redémarrage du NAS à me connecter sur DSM de l'extérieur mais plus sur une des adresses du proxy. aujourd'hui, je n'accède plus à rien depuis l'extérieur et je songe à un reset pour la config réseau du nas.

 

[bliz]

port 443 ---> https, donc certificat actif, vérifiez quand même
vérifiez le parefeu pour voir si le ou les port sont autorisés

pour voir là ou ça bloque, modifiez le proxy verss une application active en https comme synology photo ou autre (ne pas oublier d'ouvrir le port)

 

[yiei]

En fait pour faire plus simple, même entrer sur un port du nas par exemple le 8069 ( app docker) sans passer par le 443 et un reverse proxy, je n entre pas. Le parefeu sur le nas à beau est désactivé ou actif avec tout coché , il n en prend pas compte et bloque tout. J arrive à me connecter sur ds file ...etc depuis l exterieur mais par leur système de secours. Si je tape l adresse dans un explorateur , rien ne se passe.

Message automatiquement fusionné : 3 Avril 2025

Enfin pas rien, la connexion a été réinitialisée

Puis ; l adresse a mis fin de manière inattendue

 

[zypos]

Si tu utilise un nom de domaine en .synology.me et que tu as un certificat générique pour ce nom de domaine , tu dois pouvoir utiliser le reverse proxy sans pb .
Il faut effectuer les vérifications indiqué par @morgyann dans le message 3 .
A savoir : Pour les applis native Synology ( DSM ; Drive ; Photos ... ) il faut indiquer un nom de domaine personnalisé via Portail de connexion / Application /modifier :


Pour une appli en Docker , il faut passer par le Reverse Proxy du NAS : Portail de connexion /Avancé / Créer :



Tu npeux vérifier que le certificat est bien actif dans Sécurité / Certificat /Paramètres
Il suffît d'indiquer le n° du port Docker dans Destination

 

[yiei]

Bonjour Zypos,

pour les différents services de DSM, quickconnect est activé et un certificat est généré. Le nom de domaine dans le certificat de quickconnect est pour le moment différent. Il devra être régénéré mais je dois atteindre (trop de tentatives sur le domaine). Cela fait partie des nombreux essais pour refaire fonctionner la connexion de l'extérieur. Si je passe par quickconnect, dois-je également changer pour les applis native Synology ? (première photo ?)

Pour ce qui est du proxy inversé, j'ai bien complété ce que tu montres sur la deuxième image. Et tout fonctionnait jusqu'à lundi.
Donc pour résumer, voici la config quand tout allait.

Sur le routeur : Mapping port d'entrée 443 vers 443 - destinataire : IP_du_nas (192.168.1.105)
DDNS avec certificat : toto.synology.me ( statut normal, ip OK)
tourne sur docker : 192.168.1.105:8069
Reverse proxy source : HTTPS / app.toto.synology.me / port 443
Destination : HTTP / 192.168.1.105 / port 8069

Dans certificat : app.toto.synology.me en service lié à toto.synology.me

Dans la rubrique certificat, au total 3 sont créés:
- synology (auto certifié)
- toto.direct.quickconnect.to
- toto.synology.me

En imaginant qu'il y ait même des problèmes sur les certificats, je devrais pouvoir avec mappage adapté sur le routeur, entrer sur le port 5000 ou 5001 du NAS de l'extérieur non ? rien ne passe de l'extérieur et les tests d'ouverture de port avec https://www.yougetsignal.com/tools/open-ports/ ne donnent rien car si sur le routeur c'est bon, le NAS pour moi ne laisse rien entrer même avec le parefeu sur le nas OFF.

Par contre une connexion est établie et toujours active avec synology drive client pour synchroniser des dossiers sur deux pc (1 à la maison, l'autre au bureau de la société)

Si je reset (reset mode 1, compte et réseau) bien que la prudence soit de sauver les données, en toute logique, il y a-t-il un risque pour les données sur les disques ? (photos ...etc).

Merci d'avance pour le temps que vous me consacrer.

 

[zypos]

je passe par quickconnect

Perso je suis pas fan de Quickonnect . Chez moi cela est désactiver . Je n'ouvre que les ports 443 et 80 de ma Box vers le NAS . L'utilisation de Quickonnect avec un nom de domaine Synology fait double emploi et ralenti la connexion vers le NAS .

Dans la rubrique certificat, au total 3 sont créés:
- synology (auto certifié)
- toto.direct.quickconnect.to
- toto.synology.me

Le certificat Synology auto signé , ne sert à rien . Je l'ai supprimer et comme je n'ai pas activé Quickonnect je n'ai pas de certificat pour cela .
J' ai deux certificats : un pour le nom de domaine en synology.me et un certificat pour un nom de domaine en .fr pris chez OVH.
Tes paramètres semble bon et si tu utilise le nom de domaine personnalisé: drive.toto.synology.me ; tu dois arrivé directement sur le portail de drive . Idem pour les autres applis Synology configurer via le portail de connexion

 

[Jeff777]

bien que la prudence soit de sauver les données

Tu as bien une sauvegarde de tes données ?
Par ailleurs, Tu n'as pas fait de modifications récentes sur Sécurité/Protections

 

[yiei]

une partie est sauvée oui. je me demande juste si ce type de reset ne doit normalement pas supprimer les fichiers ou si au contraire il faut s'attendre à ce qu'ils le soient.
De mémoire j'ai décoché dans protections pour les essais, mais je ne me suis jamais aventuré là dedans.

@zypos , tu ouvres le port 80 pour le renouvellement du certificat ?

quand on n'utilise pas quickconnect mais que l'on souhaite accéder de l'extérieur à DS file, DS download ...etc, tu utilises les domaines personnalisés en préfixe au ddns synology ? (un peu comme du proxy reverse mais sans passer le menu proxy)

 

[jeu2]

Il ne faut pas ouvrir le port 80, ce n'est plus nécessaire depuis pas mal de temps pour renouveler le certificat Let's Encrypt avec un nom de domaine Synology. Le certificat est wildcard. Ce qui veut dire que en demandant un certificat pour toto.synology.me, tu ajoutes dans 'autre nom d'objets' *.toto.synology.me. Ainsi tous tes sous domaines existants et à venir seront couverts par cet unique certificat.

 

[zypos]

tu ouvres le port 80 pour le renouvellement du certificat ?

Car j'utilise deux noms de domaines différent qui pointent sur le NAS ; Pour le nom de domaine Synology tu n'a besoins que du port 443.
A chaque nom de domaine doit correspondre un certificat

quand on n'utilise pas quickconnect mais que l'on souhaite accéder de l'extérieur à DS file, DS download ...etc, tu utilises les domaines personnalisés en préfixe au ddns synology ? (un peu comme du proxy reverse mais sans passer le menu proxy)

Oui tu mets : drive.toto.synology.me ; file.synology.me ; ect..... Cela à pour avantage que les clients tombes directement sur l'accueil du service sans passer par DSM.
PS je t'envoi un mp

 

[yiei]

Bonjour,

j'ai finalement effectué un reset du NAS avec réinstallation de DSM, après :
- création d'un nouveau DDNS (synology)
- proxy reverse pour entrer en 443 et joindre les services
- une redirection sur le routeur vers le nas

Tout refonctionne !

La cause de mon problème restera un mystère.

Actuellement je me dispense de quickconnect et je passe par le ddns sécurisé. seule contrainte, devoir utiliser une adresse locale et externe car pas de loop nat avec mon FAI et son routeur.

Pour synology drive server, j'ai tout de même du rediriger un port sur le routeur, cela ne passait pas avec le 443.

Je remercie les intervenants pour leur réactivité, un GRAND merci à zypos.

Je ne vous souhaite pas cette aventure même s'il faut le reconnaître, aucune donné n'a été perdue et même si après le reset j'ai du réinstaller les paquets dont container manager, il a tout retrouvé et je n'ai rien du importer au niveau des containers ! un gros gain de temps.

Bonne journée