Synology [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS
- Auteur du sujet MilesTEG
- Date de début
Merci pour le tuto, j'avais déja créer le nom de domaine mais je ne connaissais pas encore l'utilisation du reverse proxy (très utile).Je l'ai configuré comme cela:
J'ai cependant un problème lorsque j’accède depuis l'extérieur à l'adresse dsm.lenomdemonnas.synology.me, cela me met une erreur 404:
par contre avec photos.lenomdemonnas.synology.me, cela marche mais drive non:
Pourtant que webstation soit arrêté ou non cela ne change pas...
J'ai bien fait l'étape pour la redirection au niveau de la box.
Et je suis rendu aux régles de pare-feu.
Je me demande ce qu'il ne va pas...(et à l'heure ou je poste, je vais aller dormir!)
J'ai cependant un problème lorsque j’accède depuis l'extérieur à l'adresse dsm.lenomdemonnas.synology.me, cela me met une erreur 404:
par contre avec photos.lenomdemonnas.synology.me, cela marche mais drive non:
Pourtant que webstation soit arrêté ou non cela ne change pas...
J'ai bien fait l'étape pour la redirection au niveau de la box.
Et je suis rendu aux régles de pare-feu.
Je me demande ce qu'il ne va pas...(et à l'heure ou je poste, je vais aller dormir!)
Salut à tous,
@Nimper, Tu as bien compris le fonctionnement du reverse proxy mais c'est inutile pour DSM et les applis natives Syno comme Dossier ou Photos, même si ça doit fonctionner.
Pour DSM, ça se paramètre ici :
Et pour les applis natives Syno, ici :
Côté box, as-tu bien ouvert les ports 443 et 80 pour ton NAS et est-elle bien full stack ?
@Nimper, Tu as bien compris le fonctionnement du reverse proxy mais c'est inutile pour DSM et les applis natives Syno comme Dossier ou Photos, même si ça doit fonctionner.
Pour DSM, ça se paramètre ici :
Et pour les applis natives Syno, ici :
Côté box, as-tu bien ouvert les ports 443 et 80 pour ton NAS et est-elle bien full stack ?
@Nimper, Je pense que tu as fait une erreur sur l'accès de ton reverse proxy pour DSM. La destination est probablement 192.168.1.100: 2906 si je regardes tes autres reverse proxy.
En tout cas l'adresse LAN 192.168.100 sur ta copie d'écran n'est pas valide.
Tu devrais aussi avoir accès à DSM simplement avec ton nom de domaine https://lenomdemonnas.synology.me sans reverse proxy. Tout passera par le port 443, seul port à ouvrir sur la box.
En tout cas l'adresse LAN 192.168.100 sur ta copie d'écran n'est pas valide.
Tu devrais aussi avoir accès à DSM simplement avec ton nom de domaine https://lenomdemonnas.synology.me sans reverse proxy. Tout passera par le port 443, seul port à ouvrir sur la box.
Dernière édition:
@jeu2 merci pour ton observation, j'ai effectivement fait une erreur bête, j'ai rectifié l'adresse mais cela me met la même chose qu'avant.
@Chon et @jeu2
Lorsque j'essaye juste https://lenomdemonnas.synology.me, il met:https://lenomdemonnas.synology.me:2905 mais le navigateur me met que la connexion a échoué.
Pourtant cela devrais marcher...
Pour la box:
Pour ce qui est de la box c'est exactement comme dans le tuto du début!
Du coup je sèche un peu la!
@Chon et @jeu2
Lorsque j'essaye juste https://lenomdemonnas.synology.me, il met:https://lenomdemonnas.synology.me:2905 mais le navigateur me met que la connexion a échoué.
Pourtant cela devrais marcher...
Pour la box:
Pour ce qui est de la box c'est exactement comme dans le tuto du début!
Du coup je sèche un peu la!
Bonjour,
Il faut mettre les NDD directement sans les ports (sauf pour DSM) et pas dans le proxy inversé (Syno fait le boulot pour ses apps)
Il faut mettre les NDD directement sans les ports (sauf pour DSM) et pas dans le proxy inversé (Syno fait le boulot pour ses apps)
Attention si tu attaques ton ndd depuis ton LAN, l'IP va être considérée comme une IP internet si ta box ne fait pas le loopback, et encore je pense que ce sera le cas même si elle le gère,.
Essaye déjà de ne pas rediriger les connexions HTTP vers le HTTPS, c'était buggé à une époque et je pressent que ça l'est toujours.
Ensuite, dans la configuration du reverse proxy, dirige bien vers le HTTP (pas de S) avec le port adéquat et bien sûr avec la bonne adresse IP
J'avais ça quand j'utilisais le RP du Syno :
Essaye aussi depuis ton smartphone en 4/5G sans le profil de contrôle d'accès 
Essaye déjà de ne pas rediriger les connexions HTTP vers le HTTPS, c'était buggé à une époque et je pressent que ça l'est toujours.
Ensuite, dans la configuration du reverse proxy, dirige bien vers le HTTP (pas de S) avec le port adéquat et bien sûr avec la bonne adresse IP
J'avais ça quand j'utilisais le RP du Syno :
Essaye aussi depuis ton smartphone en 4/5G
sans le profil de contrôle d'accès
@MilesTEG J'ai refait les redirections HTTPS vers HTTP et j'ai enlever la redirections automatique.
Du coup l’accès au DSM se fait bien via mon ndd (sur PC et via 4G).
Les application natives marchent aussi du coup.
Je ne comprend le fait de mettre un profil d’accès, c'est pour limiter localement l’accès?
Tu créé un profil d’accès et/ou tu utilise pas le pare-feu?
Je ne l'ai pas encore configuré, je n'ai pas eu le temps j'essaye demain soir en même que tester mes nouveaux DD.
Et j'ai un serveur VPN que j'utilise sur PC donc il faudra que je le mette aussi au niveau du syno et du pare-feu (dans un second temps le temps que je comprenne)
Je n'ai pas compris la première ligne de restrictions dans la configuration du pare-feu dans le tuto (j'utilise docker).
Du coup l’accès au DSM se fait bien via mon ndd (sur PC et via 4G).
Les application natives marchent aussi du coup.
Je ne comprend le fait de mettre un profil d’accès, c'est pour limiter localement l’accès?
Tu créé un profil d’accès et/ou tu utilise pas le pare-feu?
Je ne l'ai pas encore configuré, je n'ai pas eu le temps j'essaye demain soir en même que tester mes nouveaux DD.
Et j'ai un serveur VPN que j'utilise sur PC donc il faudra que je le mette aussi au niveau du syno et du pare-feu (dans un second temps le temps que je comprenne)
Je n'ai pas compris la première ligne de restrictions dans la configuration du pare-feu dans le tuto (j'utilise docker).
Oui c'est pour limiter l'accès à DSM aux seules IP LAN et VPN (d'un serveur VPN dans ton LAN)
Les deux !
(bon pour le profile de contrôle d'accès, il ne sert plus parce que mon reverse proxy n'est plus sur le Syno
).Il va falloir t'y mettre rapidement. Ouvrir DSM sur le NET sans le protéger par le parefeu c'est très risqué !!
Ton serveur VPN est installé sur ton PC c'est ça ?
Si oui, il faudra que tu mettes la plage d'adresses IP que tu pourras obtenir avec dans le parefeu du Syno, oui.
Bon, ce n'est pas une restriction, mais une autorisation.
Dans le pare-feu, il faut lire les lignes de haut en bas. Tu autorises petit à petit les IP à accéder à ce que tu veux. Et à la fin tu refuses tout à tout.
Avec l'authentification en deux étapes, on a une sécurité au moins équivalente?
Le 2FA c'est bien, mais c'est pas non plus ultime comme protection.
Surtout aujourd'hui où les hackers ont trouvé des techniques de contournement... (j'ai vu ça aux infos il y a quelques jours).
Donc tu n'autorises que les IP qui t'intéresse
Si tu vis en France, ne laisse que les IP FR accéder au NAS de l'extérieur.
Si tu vis ailleurs, mets cet autre pays. Et si tu voyages, autorise le pays de destination.
Bonsoir pour l'instant, je n'ai mis que cela:
J'utilise le VPN sur une adresse française pour l'instant, le temps de voir comment je peux palier au problème d'ip venant de celui-ci?
Car cela dépend du serveur sur lequel je me logue pour pouvoir y accéder (lorsque je suis à l'extérieur)?
Pour ce qui est de la 2FA, je me tâte à le mettre, mais je pense que je vais le mettre dans un deuxième temps.
Alors il te manque une règle de fin cruciale : refuser tout sur tout.
Là, en l’état, ton pare-feu ne sert à rien. Il ne filtre rien. Ajoute la dernière règle comme dans la capture.
Pour le VPN que ut utilises, j’ai l’impression qu’on en parle pas de la même chose.
Ton serveur VPN est où ? Il est hébergé sur une machine dans ton réseau local ? Ou bien est ce un fournisseur de VPN comme on en trouve pléthore sur le net ?
Le 2FA doit être mis c’est évident mais il faut aussi bien configurer le pare-feu.
voila:
oui je pense que je me suis fourvoyer, c'est un fournisseur de VPN (comme expressvpn cyberghost Nord VPN)
Je viens de le configurer.
Je pense que là cela devrais être bon?
Je poserais des questions plus tard concernant les applications tierces que j'essayerais de rajouter!
Haaa
Il faut que tu vérifies si tes services Docker fonctionnent correctement
Si c'est le cas, ne touche à rien, sinon il faudra autoriser les IP Docker (le placer avant la dernière règle bien entendu).
Pour ton accès VPN, j'avais donc vu juste.
Ce n'est pas vraiment sécuriser l'accès à ton NAS.
En revanche, ça peut t'être utile pour te localiser en France si tu es à l'étranger.
Mais je te conseille bien davantage de mettre en place un serveur VPN à toi dans ton LAN.
À défaut d'une machine pouvant avoir un serveur wireguard, utilise VPN Server de ton Synology, tu auras du OpenVPN, L2TP.
Ainsi, tu pourras fermer l'accès de DSM depuis l'extérieur de ton réseau local, ce qui sera bien plus sécurisé que de le laisser en accès. Il ta faudra alors autoriser, dans le parefeu, l'accès à DSM aux IP que tu auras quand tu seras connecté à ton serveur VPN.