Synology [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS

[zypos]

Le reverse proxy permet de tout faire passer par le port 443 et redistribue auprés du service concerner sur son propre port .
Deux cas de figures ( avec DSM 7.2 )
Le service cible possède un port ou est sur une autre machine ( donc sur une ip différente) / Il faut utilise le reverse proxy
On veux rediriger sur une appli Synology (audio station; fie station; synology photo...) il faut passer par : Panneau de configuration / Portail de connexion / Application et renseignier le nom de domaine dans la rubrique : domaine personnalisé voir exemple

 

[MilesTEG]

On veux rediriger sur une appli Synology (audio station; fie station; synology photo...) il faut passer par : Panneau de configuration / Portail de connexion / Application et renseignier le nom de domaine dans la rubrique : domaine personnalisé voir exemple

Ça se substitue à une entrée dans le reverse proxy ??

 

[MilesTEG]

Alors en complément de ce que @zypos :

Bonjour,



Merci @MilesTEG1 pour le tuto !



Avant de me lancer dans la création d’un reverse proxy, je souhaite connaître certains détails de compréhension de l’utilité / fonctionnement d’un reverse proxy.



Pour le moment, pour accéder à mon NAS de l’extérieur (comme en local) je passe par une adresse IP de mon NAS + le port qui va bien.

Là j’arrive sur DMS et j’utilise les applications installée sur mon NAS (DL station principalement).



1 - le reverse proxy va me permettre d’accéder à DMS sans passer par l’adresse IP mais via https://dsm.un-ndd-bla.myds.me c’est bien ça ?

Quel est l’interêt d’utiliser un reverse proxy plutôt que via l’adresse IP ?

C’est exactement ça. L’intérêt est double : d’une part on n’a pas besoin de mémoriser une adresse iP qui ne parle pas (suite de chiffres et de points, pas parlant… et pire si ipv6), mais aussi de ne pas avoir besoin de préciser de port après le nom de domaine. Car le https c’est obligatoirement le 443.
Alors il est toujours possible de mettre un port après le nom de domaine mais ça va nécessiter d’ouvrir un autre port dans le routeur ou la box et aussi dans le pare-feu.
Car le dernier avantage du reverse proxy c’est de tout faire passer par le même port , à savoir le 443.

2 - un reverse proxy permet d’accéder à toutes les applications que j’ai sur mon NAS sans ouvrir X ports ?

Voir la fin de ma précédente réponse , mais oui , enfin presque car certaines applications ne sont pas reverse-proxyfiable par exemple la partie synchronisation de drive ne peut pas passer par le reverse proxy, et donc nécessite d’ouvrir le port adéquat dans les pare-feu et le routeur.

3 - DL station sera accessible via l’adresse https://dlstation.un-ndd-bla.myds.me une fois le reverse proxy en place ?

Si oui, il faudra certainement faire un geste sur DL station pour ouvrir le port 443 ?

Oui aussi pour la première partie , et non pour la seconde.
Tu vas configurer le reverse proxy pour écouter sur le port 443 en entrée mais tu vas tout rediriger vers le port xxxxx sur l’ip du nas (xxxxx étant le port de DL Station). Donc rien à faire côté DL Station.

4 - j’utilise PLEX via une AppleTV, il faudra que je ferme le port que j’avais ouvert à l’époque 32400 et que je remplace par le port 443 ?

Alors sur le nas si tu as bien configuré le pare-feu pour les iP locales , pas besoin d’ouvrir le port 32400 puisque tu auras autorisé les iP lan sur tous les ports.
En revanche il faudra bien faire ce qu’il faut niveau configuration du RP (=Reverse Proxy) .
on pourra en reparler.

5 - la partie du tuto : Mais en gros, il faut rediriger le port 443 de l'extérieur (toutes IP) vers l'adresse IP du NAS sur le port 443 également.

Ça veut dire que chaque requête lancée pour accéder au NAS ou seulement pour surfer sur le net passera par le port 443 de là box ? (en d’autre terme, si je me gaufre au cours du tuto, je perds l’accès à internet via ma box ?)



Merci d’avance pour les réponses à mes questions.

Alors oui il faut rediriger dans le routeur ou la box le port 443 vers le port 443 du nas, et c’est tout (sauf cas particulier comme la synchro drive).
Tout le traffic entrant vers le nom de domaine utilisé passera par là.
Mais ton traffic internet sortant n’est pas soumis au reverse proxy.
Et le reste du traffic fera comme avant.

Le seul défaut du reverse proxy sera si tu veux utiliser ton nom de domaine depuis l’intérieur de ton lan.
Si y’a box ne gère pas ou pas bien le loopback , ça ne fonctionnera pas, il te faudra mettre en place une zone dns locale ( via dns serveur ou adguard home ou pihole…) mais ça c’est encore un autre sujet.

Voilà

 

[P1erre]

Merci pour vos réponses @zypos et @MilesTEG1 ! C’est plus clair pour moi.

Pour info, j’ai oublié (car j’ai pas l’impression que ça fonctionne étant donné que j’ai encore pas mal de publicité notamment sur YouTube) de préciser j’ai installé AdGuard Home.

Le seul défaut du reverse proxy sera si tu veux utiliser ton nom de domaine depuis l’intérieur de ton lan.
Si y’a box ne gère pas ou pas bien le loopback , ça ne fonctionnera pas, il te faudra mettre en place une zone dns locale ( via dns serveur ou adguard home ou pihole…) mais ça c’est encore un autre sujet.

Voilà

1 - J’y aurai toujours accès via l’adresse IP « local » ?

2 - J’ai pour projet également d’installer un VPN, ça ne va pas interférer ? Il faut le faire dans quel sens ? Installation reverse proxy puis VPN ou l’inverse (ou peu importe)

3 - Toujours pour ma compréhension :
Requête entrante vers mon NAS passe par port 443 BOX passe par port 443 NAS est redistribuée le port de l’application qui va bien. C’est bien ça ?
Si j’ajoute un VPN, il vient se positionner ou ? Entre mon BOX et mon NAS ou entre ma requête et ma BOX ?
Ou entre n’importe quelles requêtes entrantes ou sortantes et ma BOX ?

PS : je n’ai pas encore bien saisis l’importance d’installer un VPN via mon NAS car je pense que mes informations n’intéressent personne ou alors quelles sont déjà à disposition de la moitié du web, mais c’est pour la beauté du geste / projet.

 

[zypos]

1 - J’y aurai toujours accès via l’adresse IP « local » ?

OUI tu peux tjrs avoir accés avec l'IP Local mais dans ce cas tu es en http .

Ça se substitue à une entrée dans le reverse proxy ??

Je pense que c'est plus complexe que cela , et je n'ai pas tester tous les cas de figures . De ce que j'ai compris et aprés qq tests
Pour les applis Synology qui se retrouve dans Portail de connexion / applications tu as plusieurs choix:
1) Utiliser un alias personnalisé : et l'URL devient ndd.synology.me/alias
2) Utilisé un nom de domaine personnalisé : file.ndd.synology.me
Dans ces deux cas je pense que cela se subtitue au RP , mais tu reste tjrs sur le même port
3) Utiliser des ports personnalisé ; dans ce cas l'appli à son propre port . Mais je ne suis pas certain que renseigner les ports dans le portail de connexion t'exonère de faire une entrée dans le RP ( à vérifier)
Cela fonctionne même avec un nom de domaine autre que Synology . Dans mon cas je peux dirrectement avoir accés à File Station de deux manière
avec l'alias : ndd.synology.me/file et avec un nom de domaine personnalisé ( OVH) file.ndd.fr . Je n'ai pas fait d'entrée dans le RP , j'ai juste indiqué
file.ndd.fr dans la rubrique nom de domaine personnalisé du portail de connexion .
Attention avec File Station si tu modifies l'accés à l'appli ,cela peu avoir des incidences si tu veux partager un lien ; il faut vérifier l'url du lien et éventuellement la modifier .

 

[MilesTEG]

2 - J’ai pour projet également d’installer un VPN, ça ne va pas interférer ? Il faut le faire dans quel sens ? Installation reverse proxy puis VPN ou l’inverse (ou peu importe)

Là je dirais peu importe

3 - Toujours pour ma compréhension :
Requête entrante vers mon NAS passe par port 443 BOX passe par port 443 NAS est redistribuée le port de l’application qui va bien. C’est bien ça ?
Si j’ajoute un VPN, il vient se positionner ou ? Entre mon BOX et mon NAS ou entre ma requête et ma BOX ?
Ou entre n’importe quelles requêtes entrantes ou sortantes et ma BOX ?

Première partie : oui, c'est ça.
Pour la question du VPN, il faut comprendre ce que ça fait.
Imagine ton LAN comme l'ensemble {maison, dépendance1, dépendance2, ..., terrain, portail}. Le NAS sera la maison dans cette comparaison. Elle a plein d'ouvertures (fenêtres ou autres), qui sont les ports de connexion.

Le portail d'entrée de ton terrain, c'est le routeur/box.
Tu lui dis de diriger tout ce qui arrive sur le port 443 vers le port 443 du NAS, donc vers une fenêtre spécifique de la maison.
Devant la fenêtre de la maison, il y a une grille qui est le parefeu, qui laisse ou non passer le traffic. Dans notre cas, seule la grille du port 443 laissera passer le traffic venant de l'extérieur.

Maintenant, le VPN, c'est comme si tu ajoutais (virtuellement) une dépendance qui aura accès à ton LAN.
Pour ce serveur VPN, il faudra lui ouvrir les ports nécessaires sur la box/routeur pour qu'il fonctionne, et bien sûr autoriser ces ports aussi dans le parefeu du NAS, car même si les machines connectées via ce serveur VPN apparaitront comme des machines du réseau local (+/- en fonction de l'IP qu'elles auront), ça restera du virtuel et tout passera par le NAS.
Imagine une canalisation créée depuis un appareil en dehors de chez toi, vers le serveur VPN, qui passe donc par la box, puis par une fenêtre/port du NAS, pour aboutir dans la dépendance virtuelle avec sa propre fenêtre.

Et là, j'image beaucoup beaucoup, c'est très simplifié, et à la hauteur de mes connaissances, qui sont sommes toutes assez limitées dans ce domaine.
Mais j'espère que ça t'aidera à comprendre ce que c'est et comment ça fonctionne de manière superficielle.

Enfin, pourquoi conseille-t-on l'usage d'un serveur VPN dans ton LAN ?
C'est pour accéder à DSM, et aux autres services sensibles de ton LAN. Il est préférable de ne pas laisser l'accès à DSM et autres services sensibles depuis internet.
C'est ce que je fais également. J'ai fait des restrictions dans le reverse proxy pour limiter l'accès à DSM (et autres services sensibles) aux seules IP LAN et VPN.


Enfin-bis : ton serveur VPN peut se trouver sur une autre machine que ton NAS. Par exemple si ton routeur ou ta box le propose, il est même préférable de le placer sur le routeur C'est ce que je fais sur mon routeur.

 

[romanosky]

Salut à tous, merci pour ce tutoriel, qui m'a permis d'utiliser mon NAS depuis l'extérieur, enfin pas totalement

il y à quelque chose que je ne comprends absolument pas... Je n'arrive pas à accéder en 4G à mon NAS (ni aux autres applications, ni même le reverse proxy) depuis mon téléphone. Par contre, quand ce même téléphone est en Wi-fi, peu importe quel wifi(chez des amis ou partage de connexion), j'ai accès au NAS depuis l'extérieur. C'est à ne rien comprendre. J'ai aussi accès seulement en 4G avec Firefox sur mon téléphone. Opéra et Chrome ne veulent rien savoir Chrome me dit "ERR_CONNEXION_RESET".

Je sèche complètement la…

 

[MilesTEG]

@romanosky Hello
Tu as quoi comme FAI mobile ?
Peut-être as-tu une IPv6 sans IPv4...
Il me semble que ça peut poser des soucis... mais franchement pas sûr...

 

[mandaurelien]

Bonjour.
Je poste ici parce que ça fait des semaines que j'essaye de faire fonctionner le reverse proxy et ça ne fonctionne jamais.
J'ai donc

une livebox 5 de chez orange​

un routeur asus RT-AX86U Pro par lequel tout passe (je l'ai changé depuis quelques jours, j'avais un tplink juste avant, j'avais espoir que le changement de routeur pourrait solutionner mon problème, mais je vous rassure je n'ai pas changé pour ça)​

un nas synology DS920+​

et ça ne fonctionne jamais, ça n'a jamais fonctionné. J'essaye depuis mon smartphone en 4G je n'ai absolument aucun résultat.

Sur ce nas j'ai un serveur plex, qui passe par les ports 32400/32401: si j'ai bien compris, dans 30 ans quand j'aurai fait fonctionner le reverse proxy je pourrai supprimer l'utilisation de ces ports, mais pour l'instant je n'y ai pas touché et au moins ça fonctionne toujours. Avant j'ai utilisé quickconnect mais je l'ai désactivé depuis longtemps, j'ai lu que c'était pas bon niveau sécurité et que vive le reverse proxy (de mon point de vue, la seule différence c'est que quickconnect fonctionne, mais je ne suis pas un expert)

Voici les paramètres que j'ai réglé sur la livebox 5 orange, à savoir attribuer une IP fixe à mon routeur et le mode DMZ

Je crois que jusque là, il n'y a rien de spécial et que ça devrait fonctionner au niveau de la livebox.

Ensuite au niveau du routeur Asus RT-AX86U Pro j'ai l'adresse IP du NAS fixe (et d'un truc de domotique mais je ne pense pas que ça doit important) et la redirection de ports (dont ceux pour PLEX, et aussi le port 80 dans mes diverses recherches certains disaient que c'était utile)


Et au niveau du NAS en lui même, j'ai bien l'impression d'avoir suivi le tuto à 100% à chaque étape, donc je ne sais pas quoi faire.

Si déjà je pouvais trouver à quel niveau se pose le problème (livebox, routeur ou nas) ça serait un bon début.
J'ai essayé un truc indiqué dans les dernières pages, à savoir réinitialiser ce qui est en rapport avec le certificat wildcard, toujours pas d'amélioration.

Je n'ai pas fait les captures quand j'ai tout mis en place (donc la case let's encrypt est maintenant grisée mais j'ai bien fait comme dans le tuto à l'époque)



Les règles des applications que je pensais utiliser dans un premier temps




Ensuite les règles du pare feu dans le NAS, en plus de la France j'ai ajouté la Suisse parce que j'habite à quelques kilomètres et je suis amené à m'y rendre souvent. Il y a aussi les ports 32400 et 32401 pour PLEX



Et à la fin, ben ça marche pas

Est-ce que quelqu'un voit ce que j'ai raté?
Je crois que j'ai documenté tout ce que j'avais fait, et je suis à court de solution.
Merci

 

[zypos]

Au vue de tes captures d'écran ; les config
sont bonne pour la Livebox
Pour Asus RT -AX86U que je ne connais pas
La config DHCP est bonne; ton réseau est en 192.168.50.xx et le NAS en 192.168.50.92.
Je rajouterais dans configuration DNS :Serveur DNS1= 1.1.1.1 et DNS2=1.0.0.1 c'est les serveurs DNS de Cloudflare et cela evite ceux d'Orange
J'ai un peu de mal à comprendre le dernier écran : Le reverse proxy fonctionne uniquement sur les ports 80/443
Et il faudrait renseigner le port externe et interne . Pour moi les paramètres sont :
Nom du service : Syno_http
Protocole : TCP
Port externe : 80
Port interne :80
adresse IP interne : 192.168.50.92
Et recommencer la même chose pour syno_https avec le port 443 .
Et il faudra reprendre le DDNS en Synology.me , car il n'est pas normal d'avoir en adresse externe l'adresse IPv4_Lan . Tu dois avoir ton adresse publique . Pour savoir tes adresses publique : https:// test-ipv6.com
Je te conseille de déactiver l'IPv6 sur le NAS : Panneau de configuration/Interface réseau
Pour le reverse proxy je te ferais des captures d'écran .... à suivre

 

[zypos]

Pour le reverse proxy : il faut distinguer les applis natives synology : DSM ; file station ... des autres;
Il n'ya plus lieu de passer par le reverse proxy pour les applis natives synology
Pour DSM:


Il suffit de remplir : domaine personnalisé : dsm.mondomaine.synology.me et tu devrais avoir accés à DSM avec ce sous-domaine.
Faire la mêmez chose pour File station via : panneau de configuration /portail de connexion / Applications
Si tu utilise DS File sur smartphone dans l'URL : dsm.mondomaine.synology.me: 443

 

[mandaurelien]

Salut, merci.
J'ai remis au propre le NAT dans le routeur asus, mais ça ne change rien


Sur le nas J'ai ajouté "DSM" dans le portail de connexion, pas de changement non plus


J'imagine que ça se rapproche, mais je n'ai toujours pas d'amélioration visible (j'ai laissé les ports du tuto à cet endroit là, mais peut-être que le problème vient justement de là: j'ai l'impression que je parle de pleins de ports différents au NAS, et qu'au routeur je lui dis juste "fais des trucs avec le port 443, et que c'est pour ça que les deux ne communiquent pas entre eux: c'est possible?)

 

[zypos]

Dans ton routeur Asus : il faudrait passer le protocole sur TCP . Il faut vérifier dans le nas :Accés externe / DDNS que c'est bien ton IP publique
Et pour vérifier comme dit plus haut : Pour savoir tes adresses publique : https:// test-ipv6.com
Tant que ton adresse publique ( donc pas une IP en 192.168.50 .xx) n'apparait pas cela ne peux pas fonctionner
Pour le réglage du reverse proxy DSM :
1) remet les ports par défaut : voir ma capture d'écran plus haut
2) le nom de domaine n'est pas DSM mais tu indique : dsm.xxxxxx.synology.me
3) Dans un premier temps déactive le parre-feu
4) Annule les régles du reverse proxy que tu avais faite au début

j'ai l'impression que je parle de pleins de ports différents au NAS, et qu'au routeur je lui dis juste "fais des trucs avec le port 443,

C'est normal : tous passe par le port 443 du routeur et ensuite redistribuer au NAS sur un port spécifique

 

[MilesTEG]

Bonsoir ,
Ne chercher pas plus loin le souci est que le nas ne récupère pas une iP internet pour le nom de domaine :


Pour une raison que j’ignore le domaine synology n’a pas une iP internet mais une iP lan.
Il faut trouver pourquoi .

 

[zypos]

Ne chercher pas plus loin le souci est que le nas ne récupère pas une iP internet pour le nom de domaine :

C'est bien ce que j'avais indiqué plus haut . Cela est trés bizare que le DDNS synology récupère une adresse IP_Lan

 

[MilesTEG]

@mandaurelien
Pourrais-tu s'il te plait, faire des captures des différents écrans de ton routeur ?

 

[mandaurelien]

Bonsoir ,
Ne chercher pas plus loin le souci est que le nas ne récupère pas une iP internet pour le nom de domaine :
Voir la pièce jointe 10639

Pour une raison que j’ignore le domaine synology n’a pas une iP internet mais une iP lan.
Il faut trouver pourquoi .

Alors j'ai remis ça en automatique (ça devait y être au début et j'ai dû changer ça dernièrement pendant mes moult tests), j'ai aussi changé dans le portail de connexion dsm à dsm.mondomaine (mais je pense que ça n'a eu qu'une influence minime) et on peut le dire:
J'ai mis plusieurs semaines mais enfin ça a marché.

Dire que dans ma jeunesse j'ai eu un BTS informatique et réseaux, c'est affreux.

Merci à tous.

edit: j'ai vérifié, j'avais commencé le 31/10, on est le 01/12 donc un mois et un jour. C'est pas glorieux.

 

[Bagnarok]

Bonjour, merci pour cet excellent tutoriel. Je voulais savoir si cela fonctionnait aussi si j'active le sftp du NAS?
Ou bien pas possible d'utiliser le reverse proxy dans ce cas?

 

[MilesTEG]

Bonjour, merci pour cet excellent tutoriel. Je voulais savoir si cela fonctionnait aussi si j'active le sftp du NAS?
Ou bien pas possible d'utiliser le reverse proxy dans ce cas?

Pour le sftp , je ne suis pas sûr que ça passe par le reverse proxy car on est sur une connexion ftp ou sftp, pas http .
@EVO sais-tu si une connexion sftp peut passer par un reverse proxy ?

 

[MilesTEG]

@Bagnarok lit ceci :

https://www.reddit.com/r/homelab/comments/j0w3g9