Synology [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS

Hello,

J'ai du louper quelque chose parce que je n'arrive pas à accéder au serveur de l'extérieur. "Ce site est inaccessible"

-Le DDNS est mis en place , la connexion est "normal"
-Le certificat wildcard du site est bon, il y a le * avant l'adresse
-J'ai mis des ports de connexion aléatoire, au pif. Je me suis dit que 123456 était un exemple
-Dans "Application" j'ai mis d'autres port, au pif (pas sur toutes les application, j'ai laissé vide les autres appli)
-Reverse Proxy, j'ai mis les même ports que Photos (onglet Applications) et pareil pour DSM
-la box est programmé comme sur le tuto

Je ne sais pas du tout pourquoi ça ne marche pas. en local, dans la barre de recherche il y a écrit en rouge "Non sécurisé"
 
Bonjour,

Si en local c'est marqué non sécurisé c'est que ton certificat n'est pas bon / utiliser, sauf si en local tu utilsie l'adresse ip de ton NAS, dans ce cas cela est normal.

Et a distance tu obtient quoi ?

Pour le local tu utilise l'adresse ip ou le nom de domaine DDNS ?
 
En wifi ça fonctionne mais pas en 4G "Ce site est inaccessible". Et en Local c'est noté "non sécurisé", google ne voulait pas me laisser rentrer.
 
@Stuppeur
Bonjour,
Comment tu te connectes au NAS en 4G, avec le nom de DDNS?
En local avec l'IP local du NAS? Si oui c'est normal la notification "non sécurisé" car le certificat n'est valable que pour le DDNS, pas pour les IP.
 
Dernière édition:
Le port 123456 n’existe pas , la valeur la plus grande c’est 65 mille et des brouettes (je n’ai plus la valeur en tête)
Édit : c’est 65 536 !
 
Stuppeur a dit:
Hello,

J'ai du louper quelque chose parce que je n'arrive pas à accéder au serveur de l'extérieur. "Ce site est inaccessible"

-Le DDNS est mis en place , la connexion est "normal"
-Le certificat wildcard du site est bon, il y a le * avant l'adresse
-J'ai mis des ports de connexion aléatoire, au pif. Je me suis dit que 123456 était un exemple
-Dans "Application" j'ai mis d'autres port, au pif (pas sur toutes les application, j'ai laissé vide les autres appli)
-Reverse Proxy, j'ai mis les même ports que Photos (onglet Applications) et pareil pour DSM
-la box est programmé comme sur le tuto

Je ne sais pas du tout pourquoi ça ne marche pas. en local, dans la barre de recherche il y a écrit en rouge "Non sécurisé"
Cliquez pour agrandir...
Bonsoir,
J'ai le même problème, en local ça fonctionne bien pour Synology Drive*, mais quand je passe en 4g cela ne fonctionne plus


*Je ne sais pas si c'est normal ou non, mais je dois passer par drive.synology.me:10003 (port par défaut), mais je ne peux pas mettre directement drive.synology.me ou drive.synology.me:443. ça charge/rafraîchit la page à l'infini.

Alors que pour dsm pas besoin de préciser le port. oui ce n'est pas recommandé, mais j'attends de me faire la main sur tout ça pour voir avec la méthode vpn qui m'a l'air compliquée.
 
Bonsoir @MilesTEG1
En lisant ton tuto, bien utile ma foi, il me vient une question.
J'utilise toujours les ports par défaut. Je trouve que ça évite les erreurs et certains pensent qu'un port différent n'augmente pas énormément la sécurité.
Par contre j'utilise le contrôle d'accès limité au lan et au vpn sauf pour les accès que j'ouvre à mes utilisateurs. En plus d'interdire la connexion par une personne mal intentionnée ça m'avertie immédiatement si j'oublie d'activer le VPN avant de me connecter au nas. Qu'en penses tu ?
 
@Jeff777 bonsoir 👋🏻
je ne peux que valider cette partie :
Jeff777 a dit:
Par contre j'utilise le contrôle d'accès limité au lan et au vpn sauf pour les accès que j'ouvre à mes utilisateurs. En plus d'interdire la connexion par une personne mal intentionnée ça m'avertie immédiatement si j'oublie d'activer le VPN avant de me connecter au nas. Qu'en penses tu ?
Cliquez pour agrandir...
Car je fais exactement la même chose que toi, via swag/nginx.

Pour ce qui est des ports d’accès par défaut changés , ça date de l’époque où j’ouvrais une partie sur internet .
Mais elle si ce n’est plus directement ouvert, ça permet d’éviter quelques attaques simple qui ne ciblent qu’un seul port : celui par défaut. Je suis convaincu que ça existe et que tous les malwares ne sont pas intelligent et ne scannent pas tous les ports 😉
Donc si ça protège ne serait-ce qu’un minimum, c’est bon à prendre.
mdamex a dit:
Bonsoir,
J'ai le même problème, en local ça fonctionne bien pour Synology Drive*, mais quand je passe en 4g cela ne fonctionne plus


*Je ne sais pas si c'est normal ou non, mais je dois passer par drive.synology.me:10003 (port par défaut), mais je ne peux pas mettre directement drive.synology.me ou drive.synology.me:443. ça charge/rafraîchit la page à l'infini.

Alors que pour dsm pas besoin de préciser le port. oui ce n'est pas recommandé, mais j'attends de me faire la main sur tout ça pour voir avec la méthode vpn qui m'a l'air compliquée.
Cliquez pour agrandir...
Bonsoir @mdamex 👋🏻
Si tu as suivi a la lettre mon tuto , tout devrait fonctionner correctement. Sauf si ton FAI fait de l’ipv4 CGNAT (iP partagée).

Pour les applications, préciser le port , même si c’est 443, est « normal », l’appli est codée pour le port par défaut , donc si c’est changé (par 443) elle ne ´s’y retrouve plus et il faut lui préciser le port.
Vérifie que ton port 443 ouvert sur la box est bien un vrai 443.
 
MilesTEG1 a dit:
Bonsoir @mdamex 👋🏻
Si tu as suivi a la lettre mon tuto , tout devrait fonctionner correctement. Sauf si ton FAI fait de l’ipv4 CGNAT (iP partagée).

Pour les applications, préciser le port , même si c’est 443, est « normal », l’appli est codée pour le port par défaut , donc si c’est changé (par 443) elle ne ´s’y retrouve plus et il faut lui préciser le port.
Vérifie que ton port 443 ouvert sur la box est bien un vrai 443.
Cliquez pour agrandir...
Normalement oui j'ai suivi à la lettre je vais recommencer ça plus tard, cela fonctionne quand j'ouvre le port correspondant sur ma box mais quand je le ferme et le laisse avec le 443 non.

Comment savoir si j'ai une ip partagée je suis chez Bouygues ? j'imagine que non car j'arrive à accéder à mon nom de domaine et que cela fonctionne en ouvrant les ports ?

voila les captures
 

Pièces jointes

  • capture1.png
    capture1.png
    112 KB · Affichages: 11
  • capture2.png
    capture2.png
    55.4 KB · Affichages: 9
  • capture3.png
    capture3.png
    28.8 KB · Affichages: 12
  • capture4.png
    capture4.png
    84.6 KB · Affichages: 12
  • capture5.png
    capture5.png
    48.9 KB · Affichages: 10
Dernière édition:
maxou56 a dit:
@Stuppeur
Bonjour,
Comment tu te connectes au NAS en 4G, avec le nom de DDNS?
En local avec l'IP local du NAS? Si oui c'est normal la notification "non sécurisé" car le certificat n'est valable que pour le DDNS, pas pour les IP.
Cliquez pour agrandir...
Bonjour,

Je me connecte, en 4G avec le nom de domaine donné par Synology mais "ce site est inaccessible". En local WIFI ou câblé ça fonctionne.

J'ai remis le NAS par défaut pour que je puisse à nouveau y accéder à distance en attendant de trouver la solution.
 
bonjour à tous

merci à MilesTEG1 pour ce tuto et à EVOTk pour sa réponse à mon post (ici), je poursuis ici puisque mes multiples interrogations sont au sujet de ce tuto, ou plutôt de sa mise en œuvre.


Où est-ce indiqué dans le NAS que c'est 443 ? Nulle part, on est d'accord ? Et par rapport au port sécurisé des différentes applications du Syno (chez moi par ex : 5003 pour DSM, 7001 pour File Station, 200001 pour Calendrier), quelle est la relation entre 443 et ces différrents ports https ? Ça je comprends pas...
 
balthazar a dit:
Où est-ce indiqué dans le NAS que c'est 443 ? Nulle part, on est d'accord ?
Cliquez pour agrandir...

Dansle point 2 du tuto
balthazar a dit:
Et par rapport au port sécurisé des différentes applications du Syno (chez moi par ex : 5003 pour DSM, 7001 pour File Station, 200001 pour Calendrier), quelle est la relation entre 443 et ces différrents ports https ? Ça je comprends pas...
Cliquez pour agrandir...
Le reverse proxy toujours au point 2 il s'agit d'un exemple, il faut faire la même chose pour tous les services nécessaires.
 
le https par defaut à un port 443, donc tous les domaine rentré en sécurisé http(s) sans port accède au nas avec le port 443 et si le port n'est pas sécurisé, donc http, sans forcer aucun port, c'est le port 80

par défaut :
https : 443
http : 80
 
je me noie...

je comprends pas comment, avec 3 NAS chez moi, il y a une distinction depuis l'extérieur entre les requêtes si tout passe par le 443 en sécurisé ? Etant donné que dans ma Livebox je dois indiquer dans les réglages NAT que 443 ça envoie vers tel NAS...

Donc sur un des NAS, au lieu de 443 j'ai choisi 444. J'ai paramétré un proxy inversé pour PHOTOS comme indiqué dans le tuto, voir capture d'écran.



Capture d’écran 2023-06-14 à 14.56.57.png



et j'ai créé une règle dans ma Livebox comme sur la capture d'écran ci-dessous.


Capture d’écran 2023-06-14 à 14.57.34.png


et quand je tape en 4G partage de connexion (comme si j'étais à l'extérieur : photos.mon_NDD.synology.me:444, ça donne rien.
 
Dernière édition:
il faut le faire sur un seul nas, c'est lui qui va renvoyer aux autres par la suite, donc, il faudra remplacer localhost par le nom du nas de destination (ex : nas2, nas3 ---> c'est le nom du nas que tu as mis lors de son installation) ou par son ip

Maintenant, je n'ai jamais essayé vu que je me contente pour acceder aux fichiers par exemple d'y acceder https://ndd:port, c'est moins de prise de tête que de passer par un proxy inversé
 
j'y arrive pas à me connecter en rentrant https://ndd:port, ça tourne dans le vide.
 
C'est une autre solution que celle proposé

pour accéder à photo, il faut rediriger le port, dans ton cas à priori, c'est le 5080 (c'est le port mis dans le portail de connexions, rubrique application) une fois le port rentré en https ou http (il vaudrait mieux seulement le https, et en plus comme tu dois être chez orange, tu devrais avoir moins de problème que les autres pour un accès local. Une fois ce port redirigé depuis la box orange vers le nas, tu pourra y acceder

https://ndd:port

ndd c'est le nom de domaine

et si tu utilise un https, il faut que le certificat soit valide avec le nom de domaine (externe) que tu as créé
 
merci bliz :) , mais pour rediriger le port, c'est une règle dans la Livebox dans la partie NAT, c'est ça ? J'en ai fait plein ça fonctionne pas. Pour faire simple : je mets quoi dans ma règle livebox dans "port interne" et quoi dans "port externe". J'ai essayé toutes les combinaisons entre 443 et 5080/444 et 5080, ça pédale dans la semoule :)
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour