Synology [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS

Bonjour à la communauté,

Utilisateur récent de reverse proxy, je trouve cette fonctionnalité (comme beaucoup intégré par défaut à nos nas) très aboutie et finalement assez simple à mettre en place. Grace à ceci l'accès externe des container n'en est que plus simple avec un simple certificat let's encrypt.
Toutefois redte pour ma part un point que je n'arrive pas à éclaircir.
J'ai bien vu qu'il existait des profils de controle d'accès permettant de sécuriser d'autant plus le reverse proxy était présent, toutefois est il possible d'ajouter un controle d'accès via login/mdp pour les applications qui n'en disposerait pas par défaut (je n'ai rien trouvé de tel dans la doc du reverse proxy synology -mais je suis peu être passé à coté) ou bien en passant par un service tiers afin d'installer une telle identification pour certains services ouverts sur l'exterieur?

Merci par avance pour votre aide.
 
MrPatate a dit:
d'ajouter un controle d'accès via login/mdp pour les applications qui n'en disposerait pas par défaut (je n'ai rien trouvé de tel dans la doc du reverse proxy synology
Cliquez pour agrandir...
Avec le Reverse Proxy intégré à DSM nous ne pouvons pas créer un contrôle d'accès à une appli qui n'en dispose pas.
Soit c'est une appli intégrer à DSM comme File Station , audio-Station , photos : dans ce cas il va falloir que l'utilisateur s'identifie avec son login et mdp qui à été créer dans panneau de configuration / Utilisateur .
Pour les autres applis il faut généralement créer un utilisateur / mot de passe c'est le cas avec qBittorrent ; nextcloud ; vaultwarden ; pour ne citer que celles que j'utilise.
 
Bonjour,

Le reverse proxy ne fait qu'un transfert.

Si le service ne dispose pas de login mot de passe, Il faut réfléchir à un autre moyen de le mettre à disposition.
 
MrPatate a dit:
J'ai bien vu qu'il existait des profils de controle d'accès permettant de sécuriser d'autant plus le reverse proxy était présent, toutefois est il possible d'ajouter un controle d'accès via login/mdp pour les applications qui n'en disposerait pas par défaut (je n'ai rien trouvé de tel dans la doc du reverse proxy synology -mais je suis peu être passé à coté) ou bien en passant par un service tiers afin d'installer une telle identification pour certains services ouverts sur l'exterieur?
Cliquez pour agrandir...
@MrPatate
Comme la dit @Neo974 , si ton service ne dispose pas de login/mdp tu ne pourras pas en ajouter facilement et simplement.

Il faudrait déjà que tu nous dises de quel service tu parles … car si c’est un site web que tu as mis sur le NAS via webstation, il est possible de faire un .htaccess. Mais sinon ça sera bien plus complexe :
Authellia/Authentik ou autre service similaire via un reverse proxy dans un conteneur docker comme SWAG (complexe À mettre en place surtout si c’est sur le syno qu’il sera mis car il faudra faire du macvlan).
 
MilesTEG a dit:
@MrPatate
Comme la dit @Neo974 , si ton service ne dispose pas de login/mdp tu ne pourras pas en ajouter facilement et simplement.

Il faudrait déjà que tu nous dises de quel service tu parles … car si c’est un site web que tu as mis sur le NAS via webstation, il est possible de faire un .htaccess. Mais sinon ça sera bien plus complexe :
Authellia/Authentik ou autre service similaire via un reverse proxy dans un conteneur docker comme SWAG (complexe À mettre en place surtout si c’est sur le syno qu’il sera mis car il faudra faire du macvlan).
Cliquez pour agrandir...
Merci pour votre réponse.
Pour l'instant je n'ai pas de service déterminé à utiliser de la sorte. En effet certains des dockers que j'ai pour le moment dépolyé ont déjà une authentification intégrée, toutefois nombre de conteneur ne proposent pas cela et l'idée serait de rajouter un service de ce type afin de palier à ce manque dans l'avenir (en effet nombre de conteneur n'en disposant pas n'ont pas vocation à être exposé sur le web via un reverse proxy).

J'ai en effet vu un tutoriel très complet sur Authelia mais ce dernier semble pour le moment bien loin de mes compètences.
Il est fort dommage que Synology ne propose pas un service de la sorte (ou plus exactement que celui embarqué ne soit que pour les applications installées via le centre de paquet).

Si toutefois d'autres alternatives existent je reste à l'affut toutefois en l'état je e suis pas certains d'aller au dela car demandeur de compétences qui ne sont pas les miennes pour le moment.
 
Bonjour à tous!!

Je vais avoir besoin de vos lumières... Je pense avoir suivi le tuto à la lettre, mais j'ai du louper un truc, impossible de me connecter depuis l'extérieur!!

certificat.jpg

dsm.JPG

pare feu.jpg

proxyinversé.JPG

livebox.JPG

Merci d'avance

Si vous voyez quelques chose de bizarre ,n'hésitez pas!!
 
Bonjour,
belek37 a dit:
Si vous voyez quelques chose de bizarre ,n'hésitez pas!!
Cliquez pour agrandir...
C'est quoi que tu as configuré ton interface DSM ou une appli native de DSM ou une app Docker ?
C'est apparement ton interface DSM (à la relecture de tes captures d'écran) - si c'est bien le cas, il ne faut pas utiliser le reverse proxy.
Tu vas dans "Portail de connection" -> DSM -> et tu mets ton NDD / DDNS (sans le https devant) dans "domaine personnalisé" (et coche HSTS).
Pour ton Pare-feu et le routeur de ta Box ça a l'air bon.
 
morgyann a dit:
Bonjour,

C'est quoi que tu as configuré ton interface DSM ou une appli native de DSM ou une app Docker ?
C'est apparement ton interface DSM (à la relecture de tes captures d'écran) - si c'est bien le cas, il ne faut pas utiliser le reverse proxy.
Tu vas dans "Portail de connection" -> DSM -> et tu mets ton NDD / DDNS (sans le https devant) dans "domaine personnalisé" (et coche HSTS).
Pour ton Pare-feu et le routeur de ta Box ça a l'air bon.
Cliquez pour agrandir...
Normalement ça fonctionne avec le reverse proxy.

@belek37 : quelle est l’adresse ip de ton nas dans ton réseau ?
Tu as bien mis ton nas en réservation d’ip dans ta livebox ?

Poste aussi une capture de la partie pare-feu de la live box. Car ton syno me semble bien configuré.
 
Merci pour votre réactivité :)

DSM je l'ai laissé juste le temps pour moi d'essayer pour voir si cela fonctionne!
Sinon oui j'ai installé des applis native (photo et file station) je compte mettre drive après.

J'ai mis mon Nas en ip static sur la livebox.


Dans la config du proxy inversé j'ai essayé d'inverser "localhost" par mon ip static mais cela ne fonctionne toujours pas.

La config du pare-feu de ma livebox
parefeulb.jpg
 

Pièces jointes

  • dhcp.jpg
    dhcp.jpg
    22.1 KB · Affichages: 14
Dernière édition:
Aux vues de ce qui est dit dans la doc du pare-feu de la live box je pense qu’il va falloir le passer sur faible.

Et tu as un routeur Synology dans ton réseau ?
 
aucune règle n'est configuré sur la livebox, alors normal que ça ne passe pas
 

Pièces jointes

  • 1.jpg
    1.jpg
    425.8 KB · Affichages: 5
Ok je vais essayer ce soir de le passer sur faible, voir si il y a du mieux.
Oui j’ai un MR2200AC branché à la livebox, il sert juste de point wifi.
 
MilesTEG a dit:
Normalement ça fonctionne avec le reverse proxy.
Cliquez pour agrandir...
Je viens de lire le tuto (désolé je fais les choses à l'envers).
1. Pour ma part, je déconseille d'utiliser le reverse proxy pour le DSM et pour les apps Syno (File, Drive, Photos ...) - mais d'utiliser les onglets prévus à cet effet (DSM, Applications) sinon cette action risque de faire redondance . Et d'installer sur le reverse proxy que les apps tierces (paquets tiers, Docker, serveur ext. ...).
2. Le Pare-Feu du Nas ne doit être configuré que dans un second temps (le laisser sur "défaut" dans un premier temps) -> après avoir vérifié que cela fonctionne sans configuration spé. Cela permet de voir, si c'est lui qui bloque et par la suite (dans un second temps) de le configurer au mieux en fonction de son projet d'accès / apps.
MilesTEG a dit:
pare-feu de la live box je pense qu’il va falloir le passer sur faible
Cliquez pour agrandir...
3. Concernant, le pare-feu de la box, je le laisserai par défaut (moyen) - ne pas trop bidouiller dans la box Orange, elle est suceptible
belek37 a dit:
j'ai du louper un truc
Cliquez pour agrandir...
4. Regarde aussi sur : Panneau de Conf -> Accès ext -> Avancé : soit tu laisses les champs vides (voir si ce ne sont pas les anciens ports qui sont restés dessus) sinon tu remplis les ports (5440/5441) et le NDD (monnas.syno.me).
5. Voir aussi si à DDNS (Syno) -> le statut est normal.
6. Que tu as bien accès à ton nas en externe via DDNS:5441 - ouvre ce port sur ta box dans un premier temps (mais il doit être déjà déclanché en UPnP sauf si tu as bloqué la fonction) - dans un second temps (quand la manip d'accès via DDNS seul fonctionnera) tu pourras l'enlever du NAT/PAT.
bliz a dit:
aucune règle n'est configuré sur la livebox, alors normal que ça ne passe pas
Cliquez pour agrandir...
7. Au regard des captures d'écran postées + haut, le NAS est bien sur la Livebox en 443 en NAT/PAT. (Ne pas toucher à IPV6).
 
Dernière édition:
Alors je suis dans l’univers du Nas depuis 2 semaines 😆, j’ai pas mal parcouru le forum mais j’ai du mal comprendre certaines choses.
Je voulais utiliser le reverse proxy avec le nom de domaine pour me connecter de l’extérieur, j'ai compris que quickconnect n’était pas recommandé pour cela.
En aucun cas je n’aurai besoin d’aller sur DSM via l’extérieur, juste l’application photo et drive pour l’instant (je ne voudrai plus utiliser google photo et google drive)
Bliz tu fais mentions que aucune règle n’est définie dans ma livebox...
Effectivement sur ton screen tu as beaucoup plus de règle que moi...
Je croyais qu’au contraire, nous avons besoin d’ouvrir qu’un port en l’occurence le 443, et que tout passerai par lui...
J’ai encore mal compris?

Merci pour votre temps accordé et désolé si mes propos semblent hors sujets!
 
bliz a dit:
compare à sa copie d'écran,
Cliquez pour agrandir...
Sur sa copie d'écran -> le port 443 est validé en https pour son NAS
belek37 a dit:
En aucun cas je n’aurai besoin d’aller sur DSM via l’extérieur, juste l’application photo et drive pour l’instant
Cliquez pour agrandir...
Pour l'accès extérieur, soit tu choisis :

1. DDNS + port en https (que tu choisis) ex. monnas.syno.me:5443 par ex (par défaut) pour Photo - A configurer dans Panneau de conf -> portail de connexion -> appli Syno - Puis ouvrir sur ta box le port 5443 - et l'accès externe se fera via monnas.syno.me:5443

2. DDNS (seul) - dans ce cas il te faut créer un wildcard (sous domaine) Syno Par ex : photo.monnas.syno.me - le mettre en correspondance dans sécurité certificat - le déclarer dans portail de connexion -> appli Syno - Sur ta box laisser que le port 443 - et l'accès se fera via photo.monnas.syno.me
 
morgyann a dit:
4. Regarde aussi sur : Panneau de Conf -> Accès ext -> Avancé : soit tu laisses les champs vides (voir si ce ne sont pas les anciens ports qui sont restés dessus) sinon tu remplis les ports (5440/5441) et le NDD (monnas.syno.me).
Cliquez pour agrandir...

Bien joué morgyann!!! Effectivement c'était ça!!! Maintenant j'arrive bien à accéder via mon nas de mon téléphone!!
J'ai donc supprimé l'accès de DSM et garder photo et file station (dans les règles du proxy inversé)
regle proxy inversé.jpg
On est bien d'accord que en faisant ceci, je n'expose pas DSM à l'exterieur?

Une autre question, lorsque je vais sur: portail de connexion->DSM : il y a une phrase "rediriger automatiquement les connexions etc..." cela veut dire quoi exactement? cette case n'est pas activé pour ma part.

Ah aussi, chose étrange, lorsque j'ai allumé mon pc, je voyais mon Nas apparaitre dans l'explorateur windows via le réseau mais impossible de me connecter dessus, par contre je pouvais y arriver via mon navigateur internet et son adresse ip, puis après quelques minutes c'était bon j'ai pu me reconnecter via l'explorateur sans effectuer le moindre changement....
Capture d’écran 2024-08-03 231439.jpg

Encore merci pour votre précieuse aide!!
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas