Synology [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS

[Neo974]

une erreur http 403, ca veut dire que le serveur ( ton NAS) a refuser d'authentifier le client ( ton PC).

Du coup ca veut surement dire que ton IP n'a pas le droit d'acceder au NAS.


Avoir si ton adresse publique n'est pas bloquer par tes règles de parefeu ou bloquer dans la partie sécurité a cause d'un nombre de tentative de login en échec.

 

[samH]

OK

En effet, j'ai autorisé dans le parefeu le port de DSM. Du coup, j'accède au DSM par quickconnect, mais ce n'étais pas le but du RP qui devais servir a n'ouvrir qu'un port, le 443 qui dispatch sur les autres ports en local.

 

[MilesTEG]

il a toujours bien la même adresse IP en local 192.168.1.200. C'est une IP fixe voir copie d'écran ci-dessous
Je peux accèder au DSM via cette adresse, en local, mais pas en WAN

C'est parfaitement normal.
En WAN, tu es sur internet. Et une IP LAN ne peut pas être jointe depuis internet.

Bon, on pédale dans la semoule.

J'ai l'impression que c'est de pire en pire : je n'arrive plus à accéder à dsm ! ni en local, ni en WAN avec quickconnect, ni avec dsm.mondomaine.....
En revanche, les synchros nextcloud se font bien sur toutes les machines.
En local je peux accéder à nextcloud à l'aide de l'adresse ip que je lui ai donné, mais ca rame toujours autant (ce qui me fait dire que la question de lenteur ne vient pas de quickconnect).
C'est à s'arracher les cheveux.

Je suis quand même assez inquiet sur le fait de ne plus avoir acces a DSM.
Quelqu'un a une idée ?

Va falloir reprendre à zero ta configuration, et surtout communiquer clairement sur ce que tu fais, car là on sent bien que tu touches des choses, mais pas quoi... Et fait des captures :

• des entrées du reverse proxy
• du virtual host pour nextcloud
• des règles du parefeu

Tu as bien aussi créé un certificat wildcards pour ton nom de domaine synology ? Si non, tu le supprimes et tu le recrées en suivant à la lettre mon tuto

Et tu désactives quickconnect. Il ne faut plus t'en servir.


Et pour le dashboard de nextcloud, c'est pas super rapide à charger chez moi non plus, mais ça dépend de plein de facteurs, comme le nombre d'apps que tu as installé, la puissance du serveur, etc...

Et pour ton accès à DSM, tu y as accès via l'IP LAN, donc tu y accèdes bien
Je ne recommande pas d'utiliser DSM depuis internet directement, mais de passer par le serveur VPN du NAS ou du routeur/box.

 

[samH]

C'est parfaitement normal.
En WAN, tu es sur internet. Et une IP LAN ne peut pas être jointe depuis internet.

oui, oui, ça j'ai bien compris. Mais je faisais echo au message précedent qui disait que probablement l'adresse du NAS avait sauté. Or, elle est bien la même

Va falloir reprendre à zero ta configuration, et surtout communiquer clairement sur ce que tu fais, car là on sent bien que tu touches des choses, mais pas quoi... Et fait des captures :

J'essaie a chaque fois de ne changer qu'un seul paramètre, et je communique.

• des entrées du reverse proxy

• du virtual host pour nextcloud

• des règles du parefeu

Tu as bien aussi créé un certificat wildcards pour ton nom de domaine synology ? Si non, tu le supprimes et tu le recrées en suivant à la lettre mon tuto

Et tu désactives quickconnect. Il ne faut plus t'en servir.

Je comprends qu'il ne faut plus s'en servir, mais aujourd'hui c'est ce qui est spécifié sur mes synchros des clients nextcloud sur les 4 machines + 2 téléphones. J'aimerais m'assurer que nextcloud fonctionne a l'aide du RP et/ou du VH avant d'enlever quickconnect (mais peut-être que mon raisonnement n'est pas bon)

Et pour le dashboard de nextcloud, c'est pas super rapide à charger chez moi non plus, mais ça dépend de plein de facteurs, comme le nombre d'apps que tu as installé, la puissance du serveur, etc...

Et pour ton accès à DSM, tu y as accès via l'IP LAN, donc tu y accèdes bien

Oui, quand je suis de chez moi. Mais j'aimerais bien gérer ça aussi depuis le boulot (en tout cas pour le moment)

Je ne recommande pas d'utiliser DSM depuis internet directement, mais de passer par le serveur VPN du NAS ou du routeur/box.

Merci encore pour tout ca

 

[MilesTEG]

Ok, alors, :

1. Pour le nom de domaine, tu avais bien coché la case ? :
2. Pour le reverse proxy : supprime la redirection de nextcloud, il ne la faut pas.
3. Pour la configuration du virtual host, il y a un problème dans ce que tu as fait ici :
   
   
   Il faut activer le PHP, sinon, ça ne fonctionnera pas.
4. Et là, tu mets bien le nom de domaine complet nexctloud.ndd.synology.me dans Nom d'hôte ?
   
   
5. Pour le pare-feu, je trouve que tes règles sont trop permissives, et mal ordonnées... Reprends le point 3 de mon tuto.

6. Je comprends qu'il ne faut plus s'en servir, mais aujourd'hui c'est ce qui est spécifié sur mes synchros des clients nextcloud sur les 4 machines + 2 téléphones. J'aimerais m'assurer que nextcloud fonctionne a l'aide du RP et/ou du VH avant d'enlever quickconnect (mais peut-être que mon raisonnement n'est pas bon)

   Ok, mais dès que ton ndd fonctionnera correctement, il faudra désactiver QC.
   Tu peux aussi envisager de mettre en place le VPN Server sur le NAS. As-tu une freebox ? Si oui, tu peux même activer le serveur VPN dessus, et utiliser Wireguard.

7. Oui, quand je suis de chez moi. Mais j'aimerais bien gérer ça aussi depuis le boulot (en tout cas pour le moment)

   VPN

PS : pour le RP et Virtual Host, il y a concurrence des effets des deux, donc si tu fais un RP pour NC, le virtualhost ne peut pas fonctionner

Voilà voilà
À toi de jouer ^^
Bon courage, et @bientôt pour nous dire que tout fonctionne enfin correctement

 

[samH]

Dans l'ordre :

1 - oui, j'ai bien coché la case, d'ailleurs on le voit ici, c'est le 1er de la liste.

2 - J'ai supprimé le reverse proxy pour nextcloud

3 - J'ai modifié les éléments dans le virtual host, j'ai maintenant ceci :


4 - Avec la bonne url !




Avec PHP d'activé

5 - Le pare feu :





Si je comprends bien :
La 1er ligne pour le LAN
La 2e pour le reverse proxy (ouvert sur le 443) restreint à la france
3e : les services web station/web mail et virtual host (mais c'est les même ports que reverse proxy et https, c'est a dire 80 et 443), restreint à la france
4e rien d'autre

Remarque 1 : si je comprends bien la aussi les lignes 2 et 3 sont redondantes non ? ca ouvre les même ports
Remarque 2 : dans le virtual host, on parle du serveur apache, il ne faut pas l'inclure dans le pare feu (je dis ca mais je n'ai pas trouvé d'entrée pour Apache dans le configuration)

Tel quel, j'ai essayé mais ca ne fonctionne toujours pas : j'ai une erreur 403 avec l'url nextcloud.mondamine..... En revanche, ca fonctionne pour dsm.mondomaine
Aussi, il fallait s'y attendre, mais les synchros NC sur les machines ne fonctionnent plus (il n'y a plus QC)

hypothèse : comme c'est une erreur 403, d'après ce que j'ai compris plus haut, c'est un problème de pare feu. J'ai essayé d'y acceder avec une autre adresse IP (en partage de connexion avec mon telephone) ca ne marche pas non plus.


7 et 8 - Pour le VPN, c'est le nextstep. J'ai en effet une free box. On va déjà essayé de resoudre ce problème là.

PS : J'aurai bien aimé pouvoir dire que mon problème était résolu...

 

[Neo974]

hypothèse : comme c'est une erreur 403, d'après ce que j'ai compris plus haut, c'est un problème de pare feu. J'ai essayé d'y acceder avec une autre adresse IP (en partage de connexion avec mon telephone) ca ne marche pas non plus.

Ce n'est pas forcément lié au pare-feu, c'est un problème d'autorisation et d'authentification.

d'ailleurs si dsm.mondomaine.fr fonctionne, le problème n'est pas le pare-feu.

L'accès à nextcloud.mondomaine.fr est interdit à ton pc depuis l'extérieur.

As tu bien accès en https https://192.168.1.200/nextcloud fonctionne en local ?
Pourrais tu tenter en l'accès externe en navigation privée ?

 

[samH]

Pour le moment, je suis au boulot, je regarderai ca ce soir
(vivement le VPN)

 

[samH]

Ce n'est pas forcément lié au pare-feu, c'est un problème d'autorisation et d'authentification.

d'ailleurs si dsm.mondomaine.fr fonctionne, le problème n'est pas le pare-feu.

L'accès à nextcloud.mondomaine.fr est interdit à ton pc depuis l'extérieur.

As tu bien accès en https https://192.168.1.200/nextcloud fonctionne en local ?

oui, en local ca marche

Pourrais tu tenter en l'accès externe en navigation privée ?

Ca ne marche pas non plus ;(

L'accès à nextcloud.mondomaine.fr est interdit à ton pc depuis l'extérieur.

et du coup, comment je peux rendre mon pc (et les autres machines) whitelisté depuis l'exterieur ?

 

[samH]

L'accès a DSM depuis mondomaine.me fonctionne car ce n'est pas une application web, c'est ça ?

Le problème vient de l'installation de nexcloud faite sur le web station (?)

n'y aurait-il pas d'autres tests possibles ? en particulier si on installe une autre petite application sur le web station (ou autre chose) ?

 

[Neo974]

Dans sécurité > protection > blocage auto


Si ce n'est pas la, il faut regarder les options de nextcloud.

 

[samH]

Dans sécurité, le blocage auto est désactivé

Je vais me pencher sur les settings de Nextcloud, mais franchement, si ça marche en local et avec quickdirect ça m’étonnerait qu’il y ait un paramètre spécifique pour un virtuel host

 

[MilesTEG]

@samH je viens de voir ceci :

System requirements — Nextcloud latest Administration Manual latest documentation

Il faut php 8 mini voir mieux php 8.1.

Modifie ton profil php pour que ce soit la v8 ou v8.1 .

Au fait , tu as quoi comme routeur ou box ? Pour savoir si tu as potentiellement le loopback de géré.
Car si ce n’est pas le cas l’accès via le ndd depuis le lan ne fonctionnera pas.

 

[samH]

Je vais faire la migration vers php 8.1 et refaire des tests

Sinon, j'ai une free box pop.

 

[Mn3menth]

Bonjour à tous,

Lorsque je tente de créer des règles pour le Reverse proxy, j'ai le message suivant :

J'accédais à mon Nas par Quickconnect avant.
J'ai loupé quelque chose ?
Merci

 

[samH]

Je vais faire la migration vers php 8.1 et refaire des tests

Sinon, j'ai une free box pop.

Bon, j'ai fais la mise a jour NC vers la version 25 (j'avais la 23)
J'ai mis a jour php vers la version 8 (pas trouvé la 8.1)

et...

Je n'accède même plus a nextcloud en LAN, j'ai un écran blanc.

Pfff

 

[MilesTEG]

Bon, j'ai fais la mise a jour NC vers la version 25 (j'avais la 23)
J'ai mis a jour php vers la version 8 (pas trouvé la 8.1)

et...

Je n'accède même plus a nextcloud en LAN, j'ai un écran blanc.

Pfff

Oh ! Tu n’avais pas la 25 directement ?!
Je sais que la migration vers la v25 peut causer des soucis…
Ne serait-il pas plus pratique de refaire une installation propre de la 25 ? Enfin si tu n’as pas trop de données car faudra faire un scan des dossiers pour les indexer via une commande terminale.
Mais avec une version installée comme tu l’as fait je ne sais pas…

Mais je pense qu’il faudrait que tu tentes une installation neuve dans un nouveau dossier pour valider le fonctionnement du nom de domaine (tu peux prendre un autre comme nc2.machin.Synology.me ). Juste pour faire l’essai avec une v25 sans données et toute propre.

 

[samH]

Oh ! Tu n’avais pas la 25 directement ?!
Je sais que la migration vers la v25 peut causer des soucis…
Ne serait-il pas plus pratique de refaire une installation propre de la 25 ? Enfin si tu n’as pas trop de données car faudra faire un scan des dossiers pour les indexer via une commande terminale.
Mais avec une version installée comme tu l’as fait je ne sais pas…

Mais je pense qu’il faudrait que tu tentes une installation neuve dans un nouveau dossier pour valider le fonctionnement du nom de domaine (tu peux prendre un autre comme nc2.machin.Synology.me ). Juste pour faire l’essai avec une v25 sans données et toute propre.

oui, je pense que ça peut être une bonne option de repartir d'une installation propre.

En revanche, si je me confronte à la même difficulté, ne serait-il pas judicieux de changer de méthode d'installation de NC ? via un docker par exemple ou une machine virtuelle ?

On s'écarte un peu de l'objet du tuto... désolé.

 

[MilesTEG]

oui, je pense que ça peut être une bonne option de repartir d'une installation propre.

En revanche, si je me confronte à la même difficulté, ne serait-il pas judicieux de changer de méthode d'installation de NC ? via un docker par exemple ou une machine virtuelle ?

On s'écarte un peu de l'objet du tuto... désolé.

Ne supprime pas ton installation actuelle ^^

Mais pour le type d'installation, je pense qu'il serait préférable de passer par docker en effet. Je ne te l'avais pas proposé car je pensais que ton NAS n'était pas compatible docker...

 

[samH]

Existerait il un tuto particulier à suivre ? De la qualité de celui-ci.