Synology [mini-Tuto] Création d'un nom de domaine Synology (gratuit) + Utilisation du reverse proxy pour les applications + Configuration du pare-feu du NAS
- Auteur du sujet MilesTEG
- Date de début
j'ai affiché le mauvais, celui que j'ai affiché est en http, le https est en dessous avec le bon chiffre
voilà, j'ai édité ma capture d'écran
quand tu aura réussit de cette manière, tu pourra ensuite faire comme dans le tuto si tu veux, les nom c'est plus facile à retenir que les chiffres
Message automatiquement fusionné :
quand tu aura réussit de cette manière, tu pourra ensuite faire comme dans le tuto si tu veux, les nom c'est plus facile à retenir que les chiffres
regarde si ton nom de domaine est actif et actualisé dans panneau de configuration / accès externe / ddns
Message automatiquement fusionné :
donc soit le mauvais port est utilisé lors de la redirection soit une config mal faite dans le panneau de configuration
ps : efface au cas ou la redirection proxy au cas ou
oui j'avais pensé à effacer la redirection proxy en me disant que ça pouvait peut-être perturber.
tant pis, je sais plus quoi faire, ça fonctionnait et ça fonctionne plus. Je peux me connecter uniquement depuis mon LAN désormais :-(
merci en tous cas bliz !
tant pis, je sais plus quoi faire, ça fonctionnait et ça fonctionne plus. Je peux me connecter uniquement depuis mon LAN désormais :-(
merci en tous cas bliz !
@balthazar
Oulala, que de notions qui te sont floues !
Je vais essayer d'expliquer assez simplement.
Le reverse proxy (qu'on abrégera en RP) va servir d'aiguilleur aux requêtes arrivant sur lui.
Il écoute principalement sur le port 443, car comme l'ont dit mes camarades, c'est le port par défaut pour une connexion chiffrée en HTTPS. On n'a pas besoin de l'écrire dans l'URL de connexion. (imagine que tous les sites en https nécessitent d'écrire le port après : https://www.forum-nas.fr:443 ; https://www.cachem.fr:443 ... ce serait bien pénible...)
Donc le RP écoute sur le port 443.
Il va interpréter toutes les URLs demandées, et via les règles que tu auras créées, il va aiguiller telle demande vers telle IPort, telle autre demande vers telle autre IPort... etc...
En gros c'est comme des rails de trains : une seule voie arrive à ton NAS. Mais derrière il y en a plein plein.
Ces voies ne sont pas visibles depuis l'extérieur, et c'est bien là l'aspect sécuritaire.
Il ne peut donc y avoir qu'un seul RP dans ton réseau, sinon c'est la misère.
Donc tu as 3 NAS. Sur celui que tu choisis pour faire tourner le RP aura des règles de ce style :
Il te faut donc reprendre le tuto depuis le début, ne saute aucune ligne, aucune étape.
Si tu bloques, vient demander de l'aide et ne continue pas.
Mais surtout : procède par étape !!! Un service à la fois ! Tant qu'il ne fonctionne pas, reste dessus.
Là ton réseau est une passoire... Tous ces ports natés
Moi je n'ai que le port 443 et 6690. Rien d'autre...
PS : j'ai lu un peu en diagonale les derniers échanges... je verrais demain si j'ai plus de temps ^^ Mais les camarades t'ont apporté de bonnes réponses.
Oulala, que de notions qui te sont floues !
Je vais essayer d'expliquer assez simplement.
Le reverse proxy (qu'on abrégera en RP) va servir d'aiguilleur aux requêtes arrivant sur lui.
Il écoute principalement sur le port 443, car comme l'ont dit mes camarades, c'est le port par défaut pour une connexion chiffrée en HTTPS. On n'a pas besoin de l'écrire dans l'URL de connexion. (imagine que tous les sites en https nécessitent d'écrire le port après : https://www.forum-nas.fr:443 ; https://www.cachem.fr:443 ... ce serait bien pénible...)
Donc le RP écoute sur le port 443.
Il va interpréter toutes les URLs demandées, et via les règles que tu auras créées, il va aiguiller telle demande vers telle IP
ort, telle autre demande vers telle autre IPort... etc...En gros c'est comme des rails de trains : une seule voie arrive à ton NAS. Mais derrière il y en a plein plein.
Ces voies ne sont pas visibles depuis l'extérieur, et c'est bien là l'aspect sécuritaire.
Il ne peut donc y avoir qu'un seul RP dans ton réseau, sinon c'est la misère.
Donc tu as 3 NAS. Sur celui que tu choisis pour faire tourner le RP aura des règles de ce style :
- nas1.monndd.syno.me : envoi le traffic vers IP_NAS_1ort_gestion
- nas2.monndd.syno.me : envoi le traffic vers IP_NAS_2ort_gestion
- nas3.monndd.syno.me : envoi le traffic vers IP_NAS_3ort_gestion
- photos-nas1.monndd.syno.me : envoi le traffic vers IP_NAS_1ort_photos
- fichiers-nas1.monndd.syno.me : envoi le traffic vers IP_NAS_1ort_filestation
- etc...
Il te faut donc reprendre le tuto depuis le début, ne saute aucune ligne, aucune étape.
Si tu bloques, vient demander de l'aide et ne continue pas.
Mais surtout : procède par étape !!! Un service à la fois ! Tant qu'il ne fonctionne pas, reste dessus.
Là ton réseau est une passoire... Tous ces ports natés
Moi je n'ai que le port 443 et 6690. Rien d'autre...
PS : j'ai lu un peu en diagonale les derniers échanges... je verrais demain si j'ai plus de temps ^^ Mais les camarades t'ont apporté de bonnes réponses.
hello à tous et merci encore à chacun de ceux qui ont pris le temps de me répondre
@MilesTEG1 : oui ces notions sont floues et pas forcément simples à comprendre pour moi, c'est pour ça ue je viens volontiers demander de l'aide auprès de ce forum, justement
J'ai bien compris l'histoire d'avoir un seul RP pour mes 3 NAS, là je dois filer (prendre un train justement ), je vais évidemment refaire tout par étape et comme tu le dis en venant demander ici si ça bloque.
Je précise que la capture d'écran de la Livebox que tu commentes, MilesTEG1, c'est pas la mienne mais je reconnais que la mienne n'était guère mieux jusqu'à ce que je vienne ici pour mettre en place du RP.
je ferai ça peut-être ce soir sinon demain soir ou samedi, donc pas d'inquiétude si je viens pas avant
merci à tous !
PS : pour annuler le RP que j'ai essayé de mettre en place sur 2 de mes 3 NAS, je fais comment pour faire ça proprement ?
@MilesTEG1 : oui ces notions sont floues et pas forcément simples à comprendre pour moi, c'est pour ça ue je viens volontiers demander de l'aide auprès de ce forum, justement
J'ai bien compris l'histoire d'avoir un seul RP pour mes 3 NAS, là je dois filer (prendre un train justement
), je vais évidemment refaire tout par étape et comme tu le dis en venant demander ici si ça bloque.Je précise que la capture d'écran de la Livebox que tu commentes, MilesTEG1, c'est pas la mienne
mais je reconnais que la mienne n'était guère mieux jusqu'à ce que je vienne ici pour mettre en place du RP.je ferai ça peut-être ce soir sinon demain soir ou samedi, donc pas d'inquiétude si je viens pas avant
merci à tous !
PS : pour annuler le RP que j'ai essayé de mettre en place sur 2 de mes 3 NAS, je fais comment pour faire ça proprement ?
Dernière édition:
j'ai eu un peu de temps pour lire mais j'ai rien fait encore, d'abord parce que je suis au boulot mais aussi pour tout reprendre comme tu dis depuis le début du tuto. Mais j'ai déjà quelques questions pour être sûr de bien comprendre.
1/ sur mes 3 nas, je dois en choisir un seul sur lequel je mets mes règles de proxy inversé. Et c'est sur ce NAS que la règle 443 de la livebox va pointer ? Oui ? Non ?
2/ dans les règles que tu cites :
3/ la capture d'écran que tu montres en dernier, c'est ton routeur, c'est ça ?
3a/ Donc sur ma Livebox, j'aurai a minima la règle 5 (que j'ai déjà je crois).
3b/ je vois que tu as fait une règle pour Hyper Backup. Justement, je me sers de HB sur 2 NAS, pour faire des suvegardes d'un NAS sur l'autre . des sauvegardes des nas 1 et 2 dans le cloud, cela ne posera pas de problème ? Dois-je faire une règle du genre "hyperbackup-nas1.monndd.syno.me : envoi le traffic vers IP_NAS_1ort_hyperbackup" pour le nas1 et une équivalent pour le nas2 (mais avec un port différent je suppose ?)
4/ deux questions peut-être importantes :
4a/ sur quel NAS dois-je choisir de faire mes règles, entre un DS715 et un DS216+II ? Sur le 216+II je peux installer Docker, pas sur le 715, je ne sais pas si c'est important pour le problème actuel.
(je laisse voloontairement de côté le 3e NAS car c'est un petit DS114 qui me sert uniquement pour du backup local)
4b/ mon DS715 et mon DS216+II sont en DSM 6 (la dernière version) et le DS114 est en DSM7. C'est gênant ?
Merci ! Je continue à fouiller
1/ sur mes 3 nas, je dois en choisir un seul sur lequel je mets mes règles de proxy inversé. Et c'est sur ce NAS que la règle 443 de la livebox va pointer ? Oui ? Non ?
2/ dans les règles que tu cites :
- nas1.monndd.syno.me : envoi le traffic vers IP_NAS_1ort_gestion
3/ la capture d'écran que tu montres en dernier, c'est ton routeur, c'est ça ?
3a/ Donc sur ma Livebox, j'aurai a minima la règle 5 (que j'ai déjà je crois).
3b/ je vois que tu as fait une règle pour Hyper Backup. Justement, je me sers de HB sur 2 NAS, pour faire des suvegardes d'un NAS sur l'autre . des sauvegardes des nas 1 et 2 dans le cloud, cela ne posera pas de problème ? Dois-je faire une règle du genre "hyperbackup-nas1.monndd.syno.me : envoi le traffic vers IP_NAS_1
ort_hyperbackup" pour le nas1 et une équivalent pour le nas2 (mais avec un port différent je suppose ?)4/ deux questions peut-être importantes :
4a/ sur quel NAS dois-je choisir de faire mes règles, entre un DS715 et un DS216+II ? Sur le 216+II je peux installer Docker, pas sur le 715, je ne sais pas si c'est important pour le problème actuel.
(je laisse voloontairement de côté le 3e NAS car c'est un petit DS114 qui me sert uniquement pour du backup local)
4b/ mon DS715 et mon DS216+II sont en DSM 6 (la dernière version) et le DS114 est en DSM7. C'est gênant ?
Merci ! Je continue à fouiller
Dernière édition:
1/ oui pour les deux
2/ oui, nom du nas ou son ip
3/ oui, il a un routeur synology
4a/ sur le nas qui n'est pas surchargé et dont le processeur ne monte pas réguliairement à 100% (histoire de répartir la charge de travail)
2/ oui, nom du nas ou son ip
3/ oui, il a un routeur synology
4a/ sur le nas qui n'est pas surchargé et dont le processeur ne monte pas réguliairement à 100% (histoire de répartir la charge de travail)
Comme l'a répondu @bliz , Oui, c'est tout à fait ça ^^
Même chose : oui, mais... Tu peux appeler comme tu veux ton "sous-domaine" nas1. Tu peux mettre2/ dans les règles que tu cites :
je remplace "nas1" par le nom dudit NAS, c'est ça ? SI j'ai bien lu le tuto, ces règles se font dans la partie proxy inversé, mais sur un seul NAS.
- nas1.monndd.syno.me : envoi le traffic vers IP_NAS_1
azertyuiiopqsdsdfgfghhjklmlmwxcvbn.monndd.syno.me si le cœur t'en dit.Perso, j'essaye de ne pas mettre les termes les plus utiliser, pour éviter une attaque directe sur un ndd trop facile.
Et oui pour le fait de faire ces règles dans le seul reverse proxy du nas choisi pour.
Choisi le NAS le plus puissant. Car tout le trafic passera par lui avant d'atterrir sur le bon service.
Oui, mon routeur est un Synology RT2600AC.
4a/ Là comme ça je dirais sur celui qui peut installer Docker. Il est plus récent, et je pense plus performant. Mais l'autre pourrait aussi faire office de RP.
Voir la réponse bien formulée de @bliz
4b/ Non aucun souci. Mais je te conseille de passer à DSM7 partout où c'est possible. Car le NAS qui va servir de RP devra être le plus à jour possible pour palier tous risques de sécurité. C'est quand même lui qui sera en ligne de mire d'internet.
Et aussi, avec DSM7, le RP à un peu changé. Mes captures d'écrans sont pour DSM7 je crois.
merci @bliz et @MilesTEG1
je commence à comprendre. Pour l'instant je crois que c'est ce que j'avais fait, mais je reprendrai tout depuis le début, promis
j'ai bien compris qu'il fallait que je change le numéro des ports par défaut, surtout pour DSM si je décide de le rendre accessible de l'extérieur.
Je peux choisir n'importe quel port qui n'est pas sur la liste des ports réservés (genre pas de ports qui sont sur cette liste) ?
je commence à comprendre. Pour l'instant je crois que c'est ce que j'avais fait, mais je reprendrai tout depuis le début, promis
j'ai bien compris qu'il fallait que je change le numéro des ports par défaut, surtout pour DSM si je décide de le rendre accessible de l'extérieur.
Je peux choisir n'importe quel port qui n'est pas sur la liste des ports réservés (genre pas de ports qui sont sur cette liste) ?
bonjour à tous
j'ai lu au tout début du tuto que lors de la création du certificat, l'astérisque dans la partie "pour" du certificat signifie que tous les sous-domaines fonctionneront.
Problème pour moi : le certificat est créé depuis longtemps, voici une copie d'écran où j'ai juste masqué le nom de domaine, l'astérisque n'apparaît pas.
et je n'arrive pas à le supprimer pour le refaire, et comme il est chez synology.me, je ne peux pas en refaire un chez eux.
Par contre, j'ai essayé, juste pour voir, de faire un RP sur dsm comme indiqué dans le tuto de MileTEG1, et il apparaît bien sur la dernière ligne de ma capture.
ALors j'ai un autre certificat qui est apparu hier soir quand j'ai mis à jour DSM de la version 6 à la version 7. Ce certificat est "adossé" au Quickconnect que j'avais défini pour ce NAS il y a longtemps et dont je ne me sers pas.
Question : puis-je définir ce certificat quiconnect comme certificat par défaut pour pouvoir supprimer l'autre en synology.me et pour pouvoir le recréer dans la foulée comme indiqué au début de ce tuto ? Comme ça, j'aurai alors l'* qui apparaîtra.
merci !
j'ai lu au tout début du tuto que lors de la création du certificat, l'astérisque dans la partie "pour" du certificat signifie que tous les sous-domaines fonctionneront.
Problème pour moi : le certificat est créé depuis longtemps, voici une copie d'écran où j'ai juste masqué le nom de domaine, l'astérisque n'apparaît pas.
et je n'arrive pas à le supprimer pour le refaire, et comme il est chez synology.me, je ne peux pas en refaire un chez eux.
Par contre, j'ai essayé, juste pour voir, de faire un RP sur dsm comme indiqué dans le tuto de MileTEG1, et il apparaît bien sur la dernière ligne de ma capture.
ALors j'ai un autre certificat qui est apparu hier soir quand j'ai mis à jour DSM de la version 6 à la version 7. Ce certificat est "adossé" au Quickconnect que j'avais défini pour ce NAS il y a longtemps et dont je ne me sers pas.
Question : puis-je définir ce certificat quiconnect comme certificat par défaut pour pouvoir supprimer l'autre en synology.me et pour pouvoir le recréer dans la foulée comme indiqué au début de ce tuto ? Comme ça, j'aurai alors l'* qui apparaîtra.
merci !
Dernière édition: