Voici quelques captures d'écrans qui correspondent à ce que j'ai cru comprendre du tutoriel
Synology [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS
- Auteur du sujet MilesTEG
- Date de début
Moi je galère, impossible d'atteindre l'application Transmission depuis l'extérieur de mon réseau. J'ai un routeur orbi.
Ya pas un navigateur internet qu'on peut installer sur le NAS ? juste pour accéder à Transmission ?
EDIT : je vais tester d'installer Chromium : https://mariushosting.com/how-to-install-chromium-on-your-synology-nas/
EDIT 2: Ouai bah en fait c'est pareil, pour accéder au navigateur faut rentrrer l'IP et le port
EDIT 3 : J'ai réussi en utilisant un container qui met ubuntu et un accès avec Chrome desktop ---> https://registry.hub.docker.com/r/cardinalby/chrome-remote-desktop/
Ya pas un navigateur internet qu'on peut installer sur le NAS ? juste pour accéder à Transmission ?
EDIT : je vais tester d'installer Chromium : https://mariushosting.com/how-to-install-chromium-on-your-synology-nas/
EDIT 2: Ouai bah en fait c'est pareil, pour accéder au navigateur faut rentrrer l'IP et le port
EDIT 3 : J'ai réussi en utilisant un container qui met ubuntu et un accès avec Chrome desktop ---> https://registry.hub.docker.com/r/cardinalby/chrome-remote-desktop/
Dernière édition:
Salut
Désolé je ne suis pas repassé ces derniers jours.
Il faut refaire le certificat car il n’est pas wildcard (*.ndd.tld) et donc dsm.ndd.tld ne fonctionnera pas.
Il
du coup c’était quoi le problème ?Moi je galère, impossible d'atteindre l'application Transmission depuis l'extérieur de mon réseau. J'ai un routeur orbi.
Ya pas un navigateur internet qu'on peut installer sur le NAS ? juste pour accéder à Transmission ?
EDIT : je vais tester d'installer Chromium : https://mariushosting.com/how-to-install-chromium-on-your-synology-nas/
EDIT 2: Ouai bah en fait c'est pareil, pour accéder au navigateur faut rentrrer l'IP et le port
EDIT 3 : J'ai réussi en utilisant un container qui met ubuntu et un accès avec Chrome desktop ---> https://registry.hub.docker.com/r/cardinalby/chrome-remote-desktop/
Merci de la réponse. Je ne suis pas chez moi actuellement. Je testerai ce week-end.
Salut à tous,
En fait, je ne pars pas de 0 comme le tuto mais d'un certif déjà installé ce qui change un peu les choses comme on le verra plus loin.
Comme c'est le seul certif en place, je ne peux pas le supprimer. Pas grave, le bouton Créer me donne la possibilité de remplacer l'existant :
Page suivante, cocher le certif LE et la case "par défaut" si besoin :
Page suivante, c'est là que ça change par rapport à une primo installation, outre le nom de domaine, il faut compléter "Autre nom de l'objet" par le nom de domaine précédé de "*." pour inclure les sous-domaines sinon, ça marche pas :
Dans ce cas, on obtient :
Et c'est tout bon, plus de cadenas sur les sous-domaines.
Mais ça ne m'a pas réglé mes synchro Rsync...
MilesTEG, je profite de ce post, dans ton tuto tu présentes pour exemple l'appli interne "Files" pour laquelle tu crées une règle proxy-inverse. En fait, pas besoin de créer cette règle, elle est implicite quand on renseigne correctement les options de ces applis internes dans le menu dédié :
J'y suis arrivé... mais pas aussi simplement que ça d'autant que LE limite le nombre de tentatives de demande.
En fait, je ne pars pas de 0 comme le tuto mais d'un certif déjà installé ce qui change un peu les choses comme on le verra plus loin.
Comme c'est le seul certif en place, je ne peux pas le supprimer. Pas grave, le bouton Créer me donne la possibilité de remplacer l'existant :
Page suivante, cocher le certif LE et la case "par défaut" si besoin :
Page suivante, c'est là que ça change par rapport à une primo installation, outre le nom de domaine, il faut compléter "Autre nom de l'objet" par le nom de domaine précédé de "*." pour inclure les sous-domaines sinon, ça marche pas :
Dans ce cas, on obtient :
Et c'est tout bon, plus de cadenas sur les sous-domaines.
Mais ça ne m'a pas réglé mes synchro Rsync...
MilesTEG, je profite de ce post, dans ton tuto tu présentes pour exemple l'appli interne "Files" pour laquelle tu crées une règle proxy-inverse. En fait, pas besoin de créer cette règle, elle est implicite quand on renseigne correctement les options de ces applis internes dans le menu dédié :
Dernière édition:
J'essaye depuis plusieurs jours mais je ne m'en sors pas avec les certificats. J'ai supprimé le certificat précédent mais quand j'essaye d'en créer un nouveau avec la wildcard j'ai toujours une erreur " Pas de réponse du serveur de destination. Réessayez ultérieurement"
Merci pour tout ces échanges.
personnellement, j'ai retirer le reverse proxy qui ne semble pas utile avec le nom de domaine personnalisé. J'ai gardé les règles de parefeu tres efficace pour eviter les connexions etragères. (J'ai test avec ProtonVPN d'autre Pays, c'est bien bloqué, seul le VPN via FR passe).
Pour l'accès DSM j'ai du configurer le fichier host du pc pour re route vers l'IP local du NAS.
Mon petit point galère, c'est concernant DS finder et Secure Signin sous android qui ne fonctionnent pas sans l'acces DSM à priori. J'arrive à faire fonctionner uniquement si je me connecte en VPN à ma freebox (un acces VPN direct sur le NAS ne semble pas fonctionner (comme si jetais à l'exterieur).
Arrivez vous à utiliser les approbation de secure signin ou la connexion avec DS finder (sans ouvrir totalement le port ou via reverse proxy ?
Je prends vos conseils
personnellement, j'ai retirer le reverse proxy qui ne semble pas utile avec le nom de domaine personnalisé. J'ai gardé les règles de parefeu tres efficace pour eviter les connexions etragères. (J'ai test avec ProtonVPN d'autre Pays, c'est bien bloqué, seul le VPN via FR passe).
Pour l'accès DSM j'ai du configurer le fichier host du pc pour re route vers l'IP local du NAS.
Mon petit point galère, c'est concernant DS finder et Secure Signin sous android qui ne fonctionnent pas sans l'acces DSM à priori. J'arrive à faire fonctionner uniquement si je me connecte en VPN à ma freebox (un acces VPN direct sur le NAS ne semble pas fonctionner (comme si jetais à l'exterieur).
Arrivez vous à utiliser les approbation de secure signin ou la connexion avec DS finder (sans ouvrir totalement le port ou via reverse proxy ?
Je prends vos conseils
Merci pour tout ces échanges.
personnellement, j'ai retirer le reverse proxy qui ne semble pas utile avec le nom de domaine personnalisé. J'ai gardé les règles de parefeu tres efficace pour eviter les connexions etragères. (J'ai test avec ProtonVPN d'autre Pays, c'est bien bloqué, seul le VPN via FR passe).
Pour l'accès DSM j'ai du configurer le fichier host du pc pour re route vers l'IP local du NAS.
Mon petit point galère, c'est concernant DS finder et Secure Signin sous android qui ne fonctionnent pas sans l'acces DSM à priori. J'arrive à faire fonctionner uniquement si je me connecte en VPN à ma freebox (un acces VPN direct sur le NAS ne semble pas fonctionner (comme si jetais à l'exterieur).
Arrivez vous à utiliser les approbation de secure signin ou la connexion avec DS finder (sans ouvrir totalement le port ou via reverse proxy ?
Je prends vos conseils
Salut,
L'avantage du ReverseProxy est qu'il cache les services accessible via le proxy avec l'utilisation d'un sous domaine.
Ton domaine Syno est facilement récupérable et peut être utiliser comme angle d'attaque.
Avec un reverse proxy, il faut connaitre le sous domaine pour pouvoir passer le proxy et accéder au service derrière le proxy.
Le pare feu du Syno n'est qu'un pare feu basique (pas de détection d'intrusion, pas de liste de blocage...) donc prudence.
Ne pas se fier qu'au connexion étrangère, certains utilisent des abonnements Cloud Francais (OVH... etc) pour effectuer des scans réseaux.
Tu veux dire que la solution reverseProxy est plus sécurisé que la solution sous domaine ?
Tu as une solution particulière pour limiter ?
Je me suis penché sur la sécurisation car j'ai eu à 2 reprises des tentatives d'acces au DSM.
La première sur le port de base (oui je sais...) via le compte Admin (désactivé bien sur)
La seconde sur un port spécifique avec tout l'aphabet de pseudo....
J'ai changé une seconde fois de port pour bloquer rapidement, mais je voulais un truc un peu plus "robuste"
La j'ai refermé tous les ports sauf le 443, le "pare feu" du syno configuré comme recommandé et DSM accessible uniquement en local (ou via le VPN de la box)
Le reverse proxy ne fonctionne qu'avec un nom de domaine.
Si ton domaine syno est par exemple 'mondomaine.synology.me', avec le reverse proxy tu définis l’accès a tes services via des sous domaine que toi seul connais. Tous les services derrière le proxy seront accessible via un url de type 'xxx.mondomaine.synology.me'.
Le sous domaine 'xxx' n'est connu que par toi et tout les scans que tu vas recevoir arriveront sur 'mondomaine.synology.me' sur le port 443 , tu peux tous les éjecter directement au niveau du proxy.
Pour passer le proxy il faut arriver avec l'url légitime 'xxx.mondomaine.synology.me'.
Non à part utiliser des outils comme Fail2ban ou Crowdsec pour bannir les IP (encore faut il que les attaques ou le scan proviennent de la même IP. J'ai deja eu le cas d'un scan avec des IP glissant provenant d'un Cloud entre chaque requêtes...).
Voir plus haut, install un outil comme Fail2ban pour bloquer les tentatives successives de scan sur le port 443 pour les accès qui arriveraient a passer le proxy.
Oui j'ai déja parametrer cette sécurité. Je vais voir sur le moyen terme ce que cela donne
J'avais une dernière question.
dans la configuration du reverse proxy, le port d'origine est en HTTPS, mais le port de destination est en HTTP.
Pourquoi ne pas renvoyé vers le port HTTPS ?
Oui j'ai déja parametrer cette sécurité. Je vais voir sur le moyen terme ce que cela donne
J'avais une dernière question.
dans la configuration du reverse proxy, le port d'origine est en HTTPS, mais le port de destination est en HTTP.
Pourquoi ne pas renvoyé vers le port HTTPS ?
Il n'y a pas d’intérêt d'avoir des services utilisant SSL dans ton LAN (il faudrait en plus installé des certificats), puisqu'il ne sont pas accessible directement depuis Internet. La connexion reste chiffré entre ton proxy et Internet.
Je comprend la logique.
Par contre, je viens de faire le test et impossible de me connecter à Synology Drive avec le HTTP. j'ai du mettre HTTPS sinon il semblait "boucler" lors de la page de connexion.
edit : Pour Audio Station ca ne semble pas poser de soucis. (interface differente de Drive ? )
Je ne maîtrise pas assez les Syno pour te répondre, mais avec un reverse proxy autonome, tu peux forcer l'utilisation de HTTPS en redirigeant le flux HTTP vers HTTPS en entrée.
J'utilise mon syno que dans mon LAN (quand on a la possibilité, pas d’accès externe pour un NAS); aucun accès possible depuis l’extérieur vers mon LAN. J'ai un serveur Proxmox pour gérer tous les services accessible depuis l'extérieur. Il sont situés dans une DMZ (aucun accès possible vers le LAN); derrière un pare feu (IPFire) et un reverse Proxy (Nginx + fail2ban).
Bonjour,
Cela est du sûrement au fait que Audio station utilise les mêmes ports que DSM alors que synology drive utilise en plus des ports dsm le port 6690 pour la synchronisation des fichiers.