Synology [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS

[belek37]

??? Tu peux accéder à DSM via https://monnas.syno.me:5441 - c'est but du jeu, non ?

Si tu tapes l'adresse : monnas.syno.me:5440 (http) - ton navigateur ira directement à monnas.syno.me:5441 (https)

Je voulais accéder à DSM ces prochains jours a fin de faire quelques petit ajustement de l'extérieur... Une fois que j'aurai effectué ce que je voulais, je supprimerai la règle DSM créer dans reverse proxy et la DSM ne sera plus directement exposé de l'extérieur... Sommes nous bien d'accord? Je laisserai juste les applications voulu.

Ai je bien compris... soit je ne passe pas par le reverse proxy, dans ces cas la, je dois donc noter chaque port des applications ou je veux garder un accès de l'extérieur et je dois attribué à ma box l'ouverture des ports en questions, donc X applications veut dire X port ouvert.
Puis j'accèderai via http://ndd.syno.me:X ou X est le port ouvert.

En utilisant le reverse proxy, je n'utilise que le port 443 et je dois créer une règle par application dans DSM et l'onglet reverse proxy?

Je ne sais pas si je me fais bien comprendre

 

[morgyann]

Une fois que j'aurai effectué ce que je voulais, je supprimerai la règle DSM créer dans reverse proxy et la DSM ne sera plus directement exposé de l'extérieur

Si tu veux que ton interface DSM ne soit pas accessible via l'extérieur (donc uniquement en local) - il te faudra faire plusieurs manips (une fois de + je ne vois pas vraiment l'intérêt pour un nas) - Attention je n'ai jamais testé ... si d'autres l'ont fait il me corrigerons.
1. Il faut que tu supprimes le port https (mais laisser le port http sinon tu ne n'auras plus accès en local) sur ton DSM
-> panneau de config -> Portail de connexion -> DSM (+ à Avancé si tu l'as affecté aussi en reverse proxy associé à un NDD)
-> panneau de config -> Accès externe -> désactiver quick connect + Avancé https -> vide
+ si tu as activé la conf du routeur il faut désactiver aussi le port https
-> Refuser au niveau du pare-feu du Nas l'accès au port https de DSM
2. Au niveau de ta Box/Routeur -> désactiver le UPnP et supprimer le port https DSM (tu réactives ou pas le UPnP c'est toi qui voit)
+ dans gestion des ports ou NAT/PAT (suivant les Box/Routeur) enlever le port https DSM + le refuser (par ex ip sources aucunes).

Après ces différentes manips, l'interface DSM devrait être inaccessible depuis l'ext. (elles ne sont pas toutes obligatoires - le pare-feu peut par ex peut suffire - il te faut tester)

je ne passe pas par le reverse proxy, dans ces cas la, je dois donc noter chaque port des applications ou je veux garder un accès de l'extérieur et je dois attribué à ma box l'ouverture des ports

Je rappele une fois encore que pour DSM de Syno, il n'y a pas à s'embêter de configurer le reverse-proxy pour attribuer soit un port en https ou un NDD à DSM ou aux applis natives (Drive, Photo, Audio ...) -> Les onglets DSM et Applications sont fait pour cela (et fonctionnent très bien).
L'onglet "Avancé -> reverse proxy" permet la conf et l'accès ext pour les apps tierces et apps Docker.

 

[belek37]

Accéder a l'interface de DSM de l'exterieur, non pas spécialement besoin, par contre oui je veux garder accès de l'extérieur à certaines applications (comme synology photo et file station pour l'instant)

 

[morgyann]

je veux garder accès de l'extérieur à certaines applications (comme synology photo et file station pour l'instant)

2 solutions pour accéder depuis l'ext à tes 2 apps :
1. le DDNS + port -> il faut affecter un port en http + un port en https pour chaque app + ouvrir les ports (https) au niveau de ta box/routeur
ce qui donnera -> monnas.syno.me:7001 (si c'est le port affecté par ex en https pour file station).
Il te suffit juste d'affecter ces ports dans l'onglet Panneau de conf -> Portail de conn. -> Applis (ne rien mettre dans ce cas dans l'onglet avancé - proxy inverse) et ne rien mettre dans la case "domaine personnalisé".
2. Créer un wildcard/app (voir tuto du fil) - ex. dossier.monnas.syno.me - faire correspondre dans Sécurité le nom du "sous-domaine" <-> "service" + ouvrir uniquement le port 443 au niveau de ta box/routeur.
Il te suffit juste d'affecter ce nom dans la case "domaine personnalisé" dans l'onglet Panneau de conf -> Portail de conn. -> Applis (ne rien mettre dans ce cas dans l'onglet avancé - proxy inverse) et ne rien mettre dans les cases des ports.

 

[MilesTEG]

Bonsoir,
je n'ai lu que de loin les derniers messages, mais pour un accès aux services vitaux et sensibles comme DSM, je ne conseille pas de laisser l'accès depuis internet.
En revanche, je conseille d'installer le paquet VPN Server, et de configurer deux accès différents comme L2TP et OpenVPN pour y accéder depuis l'extérieur : c'est sécurisé.
Idéalement, il faudrait un serveur VPN Wireguard, ce que ne propose pas Synology.
Mais si tu as une Freebox, ça devrait être le faire ^^

 

[morgyann]

serveur VPN Wireguard, ce que ne propose pas Synology

Sinon il ya Tailscale qui a l'air pas mal (testé qu'une fois) - paquet Syno et aucune config. Les retours de ceux qui l'utilise au quotidien ont l'air top (perso plus besoin de VPN au quotidien).

Installer Tailscale sur un NAS Synology (VPN WireGuard)

Il y a quelques jours, en toute discrétion, Synology a mis à disposition un nouveau paquet : Tailscale. Il s’agit d’un service permettant de créer un réseau sécurisé entre vos périphériques (ordinateurs, téléphones, tablettes…). Même si ces derniers ne sont pas sur le même réseau, Tailscale...

www.cachem.fr

Tailscale · Best VPN Service for Secure Networks

Securely connect to anything on the internet with Tailscale. Built on WireGuard®️, Tailscale enables you to make finely configurable connections, secured end-to-end according to zero trust principles, between any resources on any infrastructure.

tailscale.com

 

[belek37]

Donc moi ce que j'ai fais ce n'est pas très bon alors?
Car moi j'ai configuré via le reverse proxy et j'ai ouvert le port 443 sur ma box... Quel est la méthode la plus sur?
Tailscale j'ai vu, mais je crois que cela fonctionne qu'avec un utilisateur, ma conjointe et moi voulons tous les 2 accéder au Nas depuis l'extérieur...

Je vous remercie tous, sans vous j'aurai déjà abandonné depuis longtemps, je n'aurai même pas essayé de me lancer la dedans...

 

[MilesTEG]

Ouvrir seulement le port 443 et passer par le reverse proxy est pour moi la meilleure méthode. Tu centralises la gestion des services en un seul endroit.
Par contre, ne laisse pas l'accès à DSM depuis internet, passe plutôt par le server VPN sur le NAS ou la box si elle possède un serveur VPN.

 

[mandaurelien]

Salut.
J'avais eu beaucoup de mal à configurer le reverse proxy de mon synology DS920 avec un routeur et une livebox, et là coup de folie (et aussi j'en avais marre de voir ma ligne sauter tous les 2 mois) je viens de changer d'opérateur et...bon ben je crois que je vais en baver pour configurer ma bouygues BBOX Fast5330b-r1.

Quand j'essaye d'accéder à mon NAS depuis l'extérieur (mobile réseau 5G) ça ne fonctionne simplement pas, et quand j'essaye depuis le réseau local je tombe sur la page d'administration de la box (avec mon dsm.lenomdemonnas.synology.com), ça surprend un peu.

Je n'ai rien modifié dans les réglages de mon routeur ni de mon NAS pour l'instant, j'imagine que c'est sur la bbox que ça va se jouer, mais je suis un peu largué.
Je ne suis pas familier de l'interface bouygues, j'ai activé le DMZ, tenté de faire une redirection des ports 80 et 443 (avec et sans l'adresse IP locale de mon nas: même résultat). Dans les paramètres d'accès externe du NAS, l'adresse IP de ma ligne étant réglée en automatique elle a suivi et c'est bien l'actuelle.

Que configurer et comment avec la bbox de base?

Merci

 

[MilesTEG]

Je ne suis pas familier de l'interface bouygues, j'ai activé le DMZ, tenté de faire une redirection des ports 80 et 443 (avec et sans l'adresse IP locale de mon nas: même résultat). Dans les paramètres d'accès externe du NAS, l'adresse IP de ma ligne étant réglée en automatique elle a suivi et c'est bien l'actuelle.

Salut ,
Heu, tu as activé la DMZ... ??
Tu as mis quoi dans la DMZ de ta box ??

Recommençons depuis le début.
Précise-nous ta configuration réseau en partant d'internet vers ton NAS. C'est pour être sûr de ce qu'il y a entre la box et ton NAS.

Ensuite, désactive tout de suite la DMZ car je ne sais pas ce que tu as fait, mais je sens que tu as mis ton NAS en DMZ de ta box... ce qui est une très très trèèèèèèèès mauvaise idée. Il est en open bar sur le NET.

Relis ensuite ce tuto depuis le départ ^^

Et pose tes questions si tu ne comprends pas une étape. Mais applique ce que j'ai écrit.

 

[mandaurelien]

Reprenons depuis le début: j'imagine que mon NAS et mon routeur sont toujours bien configurés, puisque je l'avais fait avec ce tutoriel et l'ancienne box de l'ancien opérateur, je pensais naïvement ne plus y toucher.
J'ai donc

• une bbox bouygues depuis hier
• un routeur Asus RT-AX86U Pro (dont j'ai fixé l'adresse locale à 192.168.50.1)
• le reste de mon réseau (y compris mon synology DS920+, ip locale 192.168.50.92) relié à mon routeur.

Quand j'essaye d'accéder à dsm.mondomaine ça m'envoyait sur la page de configuration de la bbox, c'est rigolo au début mais c'est pas ça que je voulais faire.
Je crois que j'ai trouvé la solution
il y a un rubrique accès à distance dans la configuration de la bbox que je n'avais pas renseigné et désormais me voilà en capacité d'accéder à dsm.mondomaine.me


A noter que je pouvais quand même accéder à mon serveur plex depuis l'extérieur avant cette modification (et ça marche toujours après modification)

 

[MilesTEG]

@mandaurelien
Ce que tu montres, l'accès à distance, de ta box, je ne pense pas que ce soit cela qu'il faille configurer...

Masque les QR-Code...

 

[mandaurelien]

Décidément je fais beaucoup de choses aujourd'hui et je bâcle tout. J'ai viré les QRcodes merci.

Avec l'adresse de mon domaine j'ai accès à mon nas...depuis le réseau local (en passant par le routeur, et là j'ai connecté le pc portable directement à la box pour accéder à la configuration de la BBOX ça fonctionne aussi) et pas depuis l'extérieur donc ça va dans le mieux mais c'est pas encore ça.
Mais je constate que l'accès à distance n'était pas (plus?) activé: je l'ai réactivé et même constat ça va pas mieux. Il faut que je continue à creuser, et malheureusement il me faut tirer un câble au milieu de l'appartement pour me relier directement à la BBOX et ça n'est pas compatible avec les enfants en bas-âge.

Est-ce qu'il faut ouvrir quelque chose dans le pare-feu sur le port 443? Comme ça sans y réfléchir ça me parait un peu dangereux alors je n'ai rien fait

 

[mandaurelien]

Bonjour.
Au chapitre des redirections de ports, j'en suis là. J'ai accès à mon serveur plex installé sur le synology (si je désactive le DMZ ça ne fonctionne plus) mais toujours pas au NAS en lui même.
L'adresse du routeur est 192.168.1.57 et l'adresse du nas est 192.168.50.92

je pense que je ne suis pas loin d'y arriver, ça doit être une connerie mais je ne vois pas ce qu'il manque.

 

[MilesTEG]

Bonjour.
Au chapitre des redirections de ports, j'en suis là. J'ai accès à mon serveur plex installé sur le synology (si je désactive le DMZ ça ne fonctionne plus) mais toujours pas au NAS en lui même.
L'adresse du routeur est 192.168.1.57 et l'adresse du nas est 192.168.50.92

je pense que je ne suis pas loin d'y arriver, ça doit être une connerie mais je ne vois pas ce qu'il manque.
Voir la pièce jointe 13419

Je ne comprends pas l’architecture du réseau…
Tu utilises le réseau du routeur ou celui de la box pour ton NAS ?

 

[mandaurelien]

Ben si j'ai un routeur c'est pour m'en servir, le routeur est la seule chose branchée à la bbox, mais il y a quand même du réglage à faire sur la bbox pour que ça fonctionne.
Les réglages sur le routeur et sur le nas sont faits depuis plusieurs mois là j'ai changé d'opérateur cette semaine donc j'ai du réglage à faire sur la box

 

[MilesTEG]

Ben si j'ai un routeur c'est pour m'en servir, le routeur est la seule chose branchée à la bbox, mais il y a quand même du réglage à faire sur la bbox pour que ça fonctionne.
Les réglages sur le routeur et sur le nas sont faits depuis plusieurs mois là j'ai changé d'opérateur cette semaine donc j'ai du réglage à faire sur la box

Ok, donc tu n'as pas besoin de redirection de port vers le routeur si tu mets le routeur dans la DMZ de la box, car la DMZ ça envoie littéralement tous les ports à l'adresse IP.

Par contre, il faut configurer la redirection de port dans le routeur.

edit : et en plus, tu mélanges les réseaux dans la configuration de la box :
tu mets ton routeur en DMZ via son adresse IP dans le réseau de la box : 192.168.1.57
et tu utilises les adresses du réseau du routeur pour rediriger les ports 80 et 443 (vers le routeur ???) : 192.168.50.92
Si cette IP est celle du routeur dans son propre réseau, c'est vraiment pas conventionnel... je ne mettrais pas ça.

 

[PackTu]

hello,

Cela ne peut pas fonctionner comme cela vu que le routeur et le nas ne sont pas dans le même subnet.

1 - Mettre dans DHCP de la BBox une adresse pour le routeur (192.168.1.57), la fixer en DMZ de la BBox
2 - enlever les redirections de la BBox puisque le routeur est en DMZ tous les ports sont transférés au routeur.
3 - sur le routeur Asus parce que sont IP est 192.168.1.57 et si le nas est connecté au routeur, il ne peut pas avoir une IP 192.168.50.
le Nas doit avoir une ip statique, allez dans les paramètres du Nas pour lui attribuer une IP en 192.168.1. pour être dans le même subnet.
4 - Faire les redirections de port sur le routeur Asus.

Ou autre solution, changer l'adresse de la BBox pour qu'elle soit en 192.168.50. et le routeur en 192.168.50

 

[oleevr]

[mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS​

L'objectif de ce mini-tuto est de :

1. Créer un nom de domaine Synology (gratuit avec un NAS de la marque) avec certificat LE mis par défaut ;
2. Créer des entrées de Reverse Proxy pour accéder aux applications via le port unique 443 depuis l'extérieur ;
3. Sécuriser un peu le NAS à l'aide du pare-feu, en créant un jeu de règle adaptées
4. Router le port 443 sur la box ou le routeur pour diriger tout le traffic entrant sur le port 443 de la box/routeur vers le port 443 du NAS (à ne fait que quand le pare-feu est configuré !)

1. Création d'un nom de domaine Synology​

Voir la pièce jointe 6207

Et ensuite, il faudra le définir pour les services comme DSM (même s'il n'est pas trop conseillé de mettre accessible depuis internet...).
Je conseille d'une part de changer les ports par défaut des applications ET DSM, puis de passer par le reverse proxy.

Le certificat ainsi créé est un certificat wildcard, c'est à dire qu'il est valable pour n'importe quel "sous-domaine", exemple : blabla1.un-ndd.myds.me, ou encore blabla2.un-ndd.myds.me, etc...
En gros, il est valable pour *.un-ndd.myds.me

Voir la pièce jointe 6208

2. Paramétrage du Reverse Proxy​

Il faut déjà modifier les ports par défaut de DSM :
Voir la pièce jointe 6209

Ensuite, faire de même pour chacune des applications dont on veut rendre l'accès possible depuis internet :
Voir la pièce jointe 6210
(sur mon NAS de backup, je n'ai pas d'applications Synology installées, mais elles se trouveront dans cette liste)

Ensuite, on va configurer deux entrées de reverse proxy : une pour DSM et une autre pour Synology Photos :
Voir la pièce jointe 6211

​

Voir la pièce jointe 6212

Voir la pièce jointe 6213

Sur chaque entrée, il est intéressant de faire ce qui suit :
Voir la pièce jointe 6214 Voir la pièce jointe 6215

Vérifier ensuite que le certificat automatiquement créé avec le nom de domaine est bien affecté aux deux entrées :
Voir la pièce jointe 6216

​

3. Paramétrage du pare-feu du NAS​

Il faut maintenant bien configurer le parefeu, sinon c'est très risqué...
Je n'expliquerai pas tout en détail ici car pas le temps, mais en gros, les règles sont lues depuis le haut vers le bas, et pour une connexion entrantes le pare-feu s'arrête à la première règle qui est satisfaite.
Ainsi il faut mettre les règles dans un certains ordre et mettre une règle finale interdisant tout sur tout.
Je n'utilise pas les règles dans les interfaces dédiées, je reste sur le "Toutes les interfaces" :
Voir la pièce jointe 6217
Les règles que je propose ici devront être adaptées à tout un chacun en fonction ce que vous voudrez autoriser.
Je met un exemple de règles qui ne passe pas par le port 443 car il se peut qu'une application ne puisse pas avoir son port changé, c'est le cas avec Drive pour la synchronisation.
Personnellement je restreint l'accès aux seules IP FR (en plus des IP LAN et Docker).

Voilà un exemple de règles :
Voir la pièce jointe 6218

4. Paramétrage des redirections dans la box ou du routeur​

Bon là ça va grandement dépendre de la box ou du routeur...
Mais en gros, il faut rediriger le port 443 de l'extérieur (toutes IP) vers l'adresse IP du NAS sur le port 443 également.
Exemple avec la Freebox :
Voir la pièce jointe 6219

PS : si vous avez d'autres box, je suis preneur de capture d'écran de cette redirection afin d'agrémenter le tuto à venir




Voilà voilà
À ce stade, l'accès à DSM devrait fonctionner depuis l'extérieur via le nom de domaine choisi : https://dsm.un-ndd-bla.myds.me.
Même chose pour Photos avec : https://photos.un-ndd-bla.myds.me

J'espère que ce mini tuto sera clair et que tout le monde arrivera à créer ses propres règles (de pare-feu, de reverse-proxy)...

Hello MilesTEG et merci infiniment pour ce tuto très bien documenté ! En 15 minutes j'ai la solution alors que cela fait 3 soirs que je suis dessus ^^

 

[MilesTEG]

Hello MilesTEG et merci infiniment pour ce tuto très bien documenté ! En 15 minutes j'ai la solution alors que cela fait 3 soirs que je suis dessus ^^

Merci pour ton message