[mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS
L'objectif de ce mini-tuto est de :
- Créer un nom de domaine Synology (gratuit avec un NAS de la marque) avec certificat LE mis par défaut ;
- Créer des entrées de Reverse Proxy pour accéder aux applications via le port unique 443 depuis l'extérieur ;
- Sécuriser un peu le NAS à l'aide du pare-feu, en créant un jeu de règle adaptées
- Router le port 443 sur la box ou le routeur pour diriger tout le traffic entrant sur le port 443 de la box/routeur vers le port 443 du NAS (à ne fait que quand le pare-feu est configuré !)
1. Création d'un nom de domaine Synology
Voir la pièce jointe 6207
Et ensuite, il faudra le définir pour les services comme DSM (même s'il n'est pas trop conseillé de mettre accessible depuis internet...).
Je conseille d'une part de changer les ports par défaut des applications ET DSM, puis de passer par le reverse proxy.
Le certificat ainsi créé est un certificat wildcard, c'est à dire qu'il est valable pour n'importe quel "sous-domaine", exemple : blabla1.un-ndd.myds.me, ou encore blabla2.un-ndd.myds.me, etc...
En gros, il est valable pour
*.un-ndd.myds.me
Voir la pièce jointe 6208
2. Paramétrage du Reverse Proxy
Il faut déjà modifier les ports par défaut de DSM :
Voir la pièce jointe 6209
Ensuite, faire de même pour chacune des applications dont on veut rendre l'accès possible depuis internet :
Voir la pièce jointe 6210
(sur mon NAS de backup, je n'ai pas d'applications Synology installées, mais elles se trouveront dans cette liste)
Ensuite, on va configurer deux entrées de reverse proxy : une pour DSM et une autre pour Synology Photos :
Voir la pièce jointe 6211
Voir la pièce jointe 6212
Voir la pièce jointe 6213
Sur chaque entrée, il est intéressant de faire ce qui suit :
Voir la pièce jointe 6214 Voir la pièce jointe 6215
Vérifier ensuite que le certificat automatiquement créé avec le nom de domaine est bien affecté aux deux entrées :
Voir la pièce jointe 6216
3. Paramétrage du pare-feu du NAS
Il faut maintenant bien configurer le parefeu, sinon c'est très risqué...
Je n'expliquerai pas tout en détail ici car pas le temps, mais en gros, les règles sont lues depuis le haut vers le bas, et pour une connexion entrantes le pare-feu s'arrête à la première règle qui est satisfaite.
Ainsi il faut mettre les règles dans un certains ordre

et mettre une règle finale interdisant tout sur tout.
Je n'utilise pas les règles dans les interfaces dédiées, je reste sur le "Toutes les interfaces" :
Voir la pièce jointe 6217
Les règles que je propose ici devront être adaptées à tout un chacun en fonction ce que vous voudrez autoriser.
Je met un exemple de règles qui ne passe pas par le port 443 car il se peut qu'une application ne puisse pas avoir son port changé, c'est le cas avec Drive pour la synchronisation.
Personnellement je restreint l'accès aux seules IP FR (en plus des IP LAN et Docker).
Voilà un exemple de règles :
Voir la pièce jointe 6218
4. Paramétrage des redirections dans la box ou du routeur
Bon là ça va grandement dépendre de la box ou du routeur...
Mais en gros, il faut rediriger le port 443 de l'extérieur (toutes IP) vers l'adresse IP du NAS sur le port 443 également.
Exemple avec la Freebox :
Voir la pièce jointe 6219
PS : si vous avez d'autres box, je suis preneur de capture d'écran de cette redirection afin d'agrémenter le tuto à venir
Voilà voilà

À ce stade, l'accès à DSM devrait fonctionner depuis l'extérieur via le nom de domaine choisi :
https://dsm.un-ndd-bla.myds.me.
Même chose pour Photos avec :
https://photos.un-ndd-bla.myds.me
J'espère que ce mini tuto sera clair et que tout le monde arrivera à créer ses propres règles (de pare-feu, de reverse-proxy)...