Exact
Hummm.....bonne question.... je l'ai supprimée du coup
Merci beaucoup ça fonctionne à nouveau !
Qnap [Tuto] Accéder à son NAS QNAP à distance ( hors réseau local )
- Auteur du sujet EVO
- Date de début
Bonjour et merci pour ce tutoriel !
Je viens de réussir, après une petite journée de bidouillage, à paramétrer un serveur VPN Wireguard (issu de ma Freebox) afin d'avoir un accès distant à mon réseau local et mon NAS Qnap.
Je n'arrive cependant pas à faire fonctionner le lien myqnapcloud.com. Il apparait bien actif et fonctionnel sur l'interface et en utilisant le qlink.to mais pas via l'adresse directe (https://monnas.myqnapcloud.com
ort). Je pense que cela est dû au fait que je n'ai pas autorisé le port sur ma box internet. Mais est-ce que cela pose de gros problèmes de sécurité d'ouvrir son NAS directement sur internet ? Ou peut-on faire confiance au service fourni par qnap ?
Vous comprenez aisément que ce monde est tout nouveau pour moi et que je suis preneur de vos conseils.
Merci !
Je viens de réussir, après une petite journée de bidouillage, à paramétrer un serveur VPN Wireguard (issu de ma Freebox) afin d'avoir un accès distant à mon réseau local et mon NAS Qnap.
Je n'arrive cependant pas à faire fonctionner le lien myqnapcloud.com. Il apparait bien actif et fonctionnel sur l'interface et en utilisant le qlink.to mais pas via l'adresse directe (https://monnas.myqnapcloud.com
ort). Je pense que cela est dû au fait que je n'ai pas autorisé le port sur ma box internet. Mais est-ce que cela pose de gros problèmes de sécurité d'ouvrir son NAS directement sur internet ? Ou peut-on faire confiance au service fourni par qnap ?Vous comprenez aisément que ce monde est tout nouveau pour moi et que je suis preneur de vos conseils.
Merci !
Oui
Tous ce qu'on expose sur internet , c'est un risque supplémentaire. Il y a des méthodes pour limité l'exposition comme par exemple des limitation géographique, mais rien n'ai parfais a partir du moment que tu expose le NAS. Si tu n'a pas besoin d'exposer l'interface de ton nas alors ne le fait pas. Si tu le fait il faut bien garder en tête que le risque existe comme pour tout. Il faut donc encore plus réfléchir a sa stratégie de sauvegarde( sauvegarde non branché sur le nas ,..) et de sécurité (pare-feu avec limitation géographique, https uniquement ,... )
Meme sans parler de confiance, c'est un peu contradictoire avec l'auto-hébergement, et les performance en transfert seront médiocre
Salut EVOTk.
Tu précises dans un de tes autres posts, qu'il est essentiel de ne pas exposer QTS.
Si je comprends bien, le principe de ce tuto est de pouvoir accéder depuis l'extérieur à l'interface QTS du QNAP.
Donc on ouvre le port HTTPS configuré dans la box (dans ton exemple 22222) pour pouvoir se connecter via ce port.
Dans le tuto Wireguard, il est question d'utiliser le port d'écoute 51820.
Je ne comprends pas comment s'articule la connexion via ces deux ports... pourquoi ne pas configurer le port HTTPS en 51820 ?
Si le port 22222 est ouvert sur la box, comment configurer le pare-feu pour qu'ils ne laisse entrer que les adresses IP qui passent par le tunnel Wireguard, et ainsi éviter les intrusions ?
Je voudrais déjà comprendre ces 2 concepts pour aller plus loin et pas uniquement suivre le tuto sans rien saisir du fonctionnement du réseau.
Dans mon cas, je voudrais exclusivement avoir accès depuis l'extérieur à mon fichier Vidéos (via Plex ou Kodi depuis une SmartTV via un tunel Wireguard), et à mes photos depuis mon mobile en utilisant QuMagie (accès depuis un tunel Wireguard également).
Merci d'avance
Tu précises dans un de tes autres posts, qu'il est essentiel de ne pas exposer QTS.
Si je comprends bien, le principe de ce tuto est de pouvoir accéder depuis l'extérieur à l'interface QTS du QNAP.
Donc on ouvre le port HTTPS configuré dans la box (dans ton exemple 22222) pour pouvoir se connecter via ce port.
Dans le tuto Wireguard, il est question d'utiliser le port d'écoute 51820.
Je ne comprends pas comment s'articule la connexion via ces deux ports... pourquoi ne pas configurer le port HTTPS en 51820 ?
Si le port 22222 est ouvert sur la box, comment configurer le pare-feu pour qu'ils ne laisse entrer que les adresses IP qui passent par le tunnel Wireguard, et ainsi éviter les intrusions ?
Je voudrais déjà comprendre ces 2 concepts pour aller plus loin et pas uniquement suivre le tuto sans rien saisir du fonctionnement du réseau.
Dans mon cas, je voudrais exclusivement avoir accès depuis l'extérieur à mon fichier Vidéos (via Plex ou Kodi depuis une SmartTV via un tunel Wireguard), et à mes photos depuis mon mobile en utilisant QuMagie (accès depuis un tunel Wireguard également).
Merci d'avance
Si tu veux accéder à ton NAS via Plex et qu'ils sont tous les deux sur le meme réseau local, aucun interet de passer par Wireguard. Si c'est à distance, ça va etre compliqué d'installer Wireguard sur une smartTV, je ne suis pas sur qu'il existe sur android TV.
sinon
Si tu es connecté à ton réseau local via Wireguard depuis un smartphone ou un pc depuis l'extérieur, alors tu peux accéder à l'interface web via l'adresse ip local de ton nas de type 192.168.1.xx Cette méthode permet de ne pas exposer QTS à l'extérieur. Seul le port 51820 de la machine sur laquelle est installé Wireguard est exposé.
sinon
51820 est le port d'entré de Wireguard et permet son authentification. Le port 22222 est pour du https uniquement dans l'exemple cité.
Si tu es connecté à ton réseau local via Wireguard depuis un smartphone ou un pc depuis l'extérieur, alors tu peux accéder à l'interface web via l'adresse ip local de ton nas de type 192.168.1.xx Cette méthode permet de ne pas exposer QTS à l'extérieur. Seul le port 51820 de la machine sur laquelle est installé Wireguard est exposé.
Merci pierre liths.
Je tâtonne mais j'ai pu mettre en place une connexion entre ma box et mon PC hors réseau local en configurant un serveur VPN Wireguard via l'interface de ma freebox.
Le lien pour la configuration : https://www.nextinpact.com/article/47822/vpn-wireguard-sur-freebox-beta-debute-comment-ca-marche
Je peux donc avoir accès depuis l'extérieur à l'interface de la box.
Je pensais que je pourrais avoir ainsi accès à mon réseau local mais que nenni ça semble bien plus compliqué que ça
.
Si je pouvais déjà depuis mon PC accéder aux dossiers réseau de mon NAS hors local ce serait un grand pas.
Il semblerait que ce soit possible comme précisé dans le lien ci-dessus
Qu'en pensez-vous ?
Je tâtonne mais j'ai pu mettre en place une connexion entre ma box et mon PC hors réseau local en configurant un serveur VPN Wireguard via l'interface de ma freebox.
Le lien pour la configuration : https://www.nextinpact.com/article/47822/vpn-wireguard-sur-freebox-beta-debute-comment-ca-marche
Je peux donc avoir accès depuis l'extérieur à l'interface de la box.
Je pensais que je pourrais avoir ainsi accès à mon réseau local mais que nenni ça semble bien plus compliqué que ça
.Si je pouvais déjà depuis mon PC accéder aux dossiers réseau de mon NAS hors local ce serait un grand pas.
Il semblerait que ce soit possible comme précisé dans le lien ci-dessus
Qu'en pensez-vous ?
Pièces jointes
J'avais testé le VPN Wireguard intégré à la Freebox et en effet, celle-ci semble créer un deuxième réseau local lorsque tu es connecté en VPN à la Freebox 192.168.67.xx. Ce réseau ne semble pas ou mal communiquer avec le réseau local sur lequel se trouve ton NAS probablement en 192.168.1.xx. Je n'avais pas creusé à l'époque. Aujourd'hui j'utilise un serveur Wireguard chez moi qui n'est pas intégré à la Freebox.
Désolé, je ne suis pas un spécialiste de la Freebox qui fait souvent les choses à moitié (bien content d'en avoir une pour autant).
Désolé, je ne suis pas un spécialiste de la Freebox qui fait souvent les choses à moitié (bien content d'en avoir une pour autant).
Salut EVOTk,
Ce que je comprends de ce tuto c'est qu'il permet d'accéder à l'interface du NAS (TS-453D-4G).
Par mesure de sécurité je me disais que je pourrais laisser l'accès à l'interface uniquement en local pour éviter d'exposer QTS.
Ce qui m'intéresserait ce serait de pouvoir accéder depuis mon ordi à mon dossier Films stocké sur le NAS quand je suis hors de chez moi sans me connecter à l'interface QTS (comme je fais en local).
Mais aussi consulter mes photos depuis QuMagie sur mon smartphone, et installer PLEX ou KODI sur la SmartTV de mes parents pour qu'ils puissent profiter des films. Créer un profil "Family" qui n'ait accès qu'au dossier Films et pas au reste.
Je ne sais pas si cette configuration est possible, je tatonne entre les différents tutos.
Je pensais qu'en accédant à la box depuis l'extérieur avec un tunel Wireguard je pourrais avoir accès au réseau local et au moins pouvoir consulter le dossier Films sur le réseau.
Même si je sauvegarde sur plusieurs supports je voudrais éviter de me ramasser un ransomware à cause d'une configuration réseau mal sécurisé ou pleine de brèches.
J'espère que je suis dans le bon salon...
Ma question: Est-ce que si j'active le DDNS cela va affecter le niveau de sécurité de mon NAS?
Actuellement, pour me connecter à mon NAS, j'active mon tunnel VPN "WireGuard" (J'ai utilisé le tutoriel de @EVOTk à la lettre), puis je rentre l'adresse IP local de mon NAS, mes identifiants et tout fonctionne parfaitement. J'ajoute que le point de terminaison correspond à l'adresse IP publique de ma Bbox puis le numéro de port défini via QVPN. Le problème, c'est que cette IP publique n'est pas fixe. (même si elle ne change pas tous les jours)
Maintenant, pour palier à ce problème d'IP publique qui n'est pas fixe, j'aimerai utiliser mon nom de domaine pour me connecter à mon NAS (DDNS). Mais je ne veux pas mettre en péril la sécurité de mon réseau.
@EVOTk comment tu as fait pour pouvoir accéder à ton NAS via ton DDNS uniquement avec Wireguard?
Ma question: Est-ce que si j'active le DDNS cela va affecter le niveau de sécurité de mon NAS?
Actuellement, pour me connecter à mon NAS, j'active mon tunnel VPN "WireGuard" (J'ai utilisé le tutoriel de @EVOTk à la lettre), puis je rentre l'adresse IP local de mon NAS, mes identifiants et tout fonctionne parfaitement. J'ajoute que le point de terminaison correspond à l'adresse IP publique de ma Bbox puis le numéro de port défini via QVPN. Le problème, c'est que cette IP publique n'est pas fixe. (même si elle ne change pas tous les jours)
Maintenant, pour palier à ce problème d'IP publique qui n'est pas fixe, j'aimerai utiliser mon nom de domaine pour me connecter à mon NAS (DDNS). Mais je ne veux pas mettre en péril la sécurité de mon réseau.
@EVOTk comment tu as fait pour pouvoir accéder à ton NAS via ton DDNS uniquement avec Wireguard?
Le DDNS myqnapcloud peut etre actif sans avoir a exposer l'interface d'administration du NAS sur internet.
Donc si je comprends bien, j'ai juste à remplacer mon IP dynamique par le nom de domaine du NAS.
En revanche, dans l'application "MyQnapCloud" est-ce que je dois cocher le DDNS (ci-joint la capture d'écran).
Je dirais non, car pour moi il s'agit de l'interface d'administration du NAS. Correct?
Si je me trompe, je veux bien savoir quel est l'utilité de cocher cette case.
Encore merci de votre aide à tous.
Pièces jointes
Bonjour Fred83Merci pierre liths.
Je tâtonne mais j'ai pu mettre en place une connexion entre ma box et mon PC hors réseau local en configurant un serveur VPN Wireguard via l'interface de ma freebox.
Voir la pièce jointe 9566
Le lien pour la configuration : https://www.nextinpact.com/article/47822/vpn-wireguard-sur-freebox-beta-debute-comment-ca-marche
Je peux donc avoir accès depuis l'extérieur à l'interface de la box.
Je pensais que je pourrais avoir ainsi accès à mon réseau local mais que nenni ça semble bien plus compliqué que ça
Si je pouvais déjà depuis mon PC accéder aux dossiers réseau de mon NAS hors local ce serait un grand pas.
Il semblerait que ce soit possible comme précisé dans le lien ci-dessus
Voir la pièce jointe 9568
Qu'en pensez-vous ?
Je suis tomber sur ton post car j'étais confronté au même problème:
serveur VPN wireguard sur freebox
-Accès au réseau local ok
-Accès Qnap KO
c'est le firewall du Qnap qui bloque, tu dois ajouter une règle dans Qfirewall autorisant le sous réseau créé par wireguard, pour moi c'est le 192.168.27.0/24
A+