merci du conseil, rien n'est valide enfin plus maintenant c'est juste des testes, j'avais masqué au début mais qu'importe c'est plus valide
Synology [Tuto] Acceder à son NAS de l'exterieur
- Auteur du sujet Esteban
- Date de début
Avoir un NAS, c’est bien, mais combien parmi vous n’arrivent pas à se connecter depuis un autre endroit que de son canapé ? Quid alors de la sécurité de nos données personnelles ? Comment s’y prendre que ça marche ?
Vous l’avez compris, le but de ce tuto est de pouvoir vous permettre une connexion depuis « ailleurs » mais pas n’importe comment. Je vais essayer d’être le plus clair possible pour les néophytes. Bien entendu, si vous avez une configuration « particulière » cela ne sera pas fonctionnel. N'hesitez pas à demander, j’intégrerai au fur et à mesure les cas.
Étant donné que je n’ai pas de Mac, ni Livebox, ni Bbox, je serai ravi de recevoir des captures d’écrans pour les intégrer.
Vocabulaire simplifié:
- Ailleurs / Extérieur : Quand j’évoque ces idées, bien entendu, je ne parle pas de notion géographique, mais en dehors du réseau où se trouve ledit NAS. ;o)
- Ports : Il faut imaginer ça comme les fenêtres d’une maison. Il y en a plein, mais dès qu’on met une ouverture possible sur l'une d'elles, c’est un risque supplémentaire que vous courrez. Alors imaginez, si vous faites cela à toutes vos fenêtres
- Adresse Mac : Référence constructeur propre à son équipement.
- Adresse IP locale : Adresse sur votre réseau (en général 192.168.x.y)
- Adresse Ip Publique : C’est comme votre adresse postale : c’est celle de votre box. Il existe 2 types d’adresses IP publique. La statique (ou fixe) et la dynamique. A l’opposé de la statique, la dynamique change fréquemment (lors d’un redémarrage, au bout d’un certain nombre jours…). Chez Orange, elles sont dynamiques (voire statique si on paye l’option…)
Prérequis :
- Un NAS Synology avec DSM 6.2
- Une Box ou un routeur
- Smartphone ou un ordinateur (ailleurs)
Pour se connecter de l’extérieur, vous avez plusieurs possibilités:
- Soit la méthode en ouvrant les ports qui vont être utiles pour telles ou telles utilisations (parfois ouvrir un port permet d’utiliser plusieurs choses).
- Soit la methode VPN (plus securisée). Pour cette dernière méthode, j’ai dejà fait un tuto. https://www.forum-nas.fr/viewtopic.php?f=56&t=7233
On va voir ici la première méthode qui fait « moins » peur pour M. et Mme Toutlemonde.
Voici le listing des ports nécessaires pour chacun des services souhaités : https://www.synology.com/fr-fr/know...t_network_ports_are_used_by_Synology_services
Nous allons prendre le cas le plus « commun » : Accéder à DSM lorsque l’on n’est pas chez soi.
Vous noterez dans le listing que vous avez le choix entre le port 5000 (http) ou le 5001(https). Je DÉCONSEILLE très fortement le port 5000. (Vous avez remarqué qu’il manque le petit « s » dans http. Le « s » veut dire « sécure »
Coté nas (Phase 1):
Connectez-vous avec votre compte administrateur depuis votre réseau local à DSM.
Fixer l'adresse IP
Nous allons fixer l’adresse IP du NAS, cela évitera des ennuis plus tard. La méthode que nous allons voir ne sert pas uniquement aux NAS. Chez moi par exemple tous le matériel du réseau est administre de cette façon. L’avantage est que ca me permets d’avoir toujours les mêmes IP sur chacun des équipements. C’est bien plus facile à gérer aussi.
Une façon est de la fixer est via l’adresse mac du NAS.
Attention : Si vous avez déjà une ip fixée manuellement, vous pouvez passer cette étape.
Rendez-vous dans la fenêtre suivante et notez sur un papier le code sous la forme XX-XX-XX-XX-XX-XX.
Elle sera utile pour le paramétrage coté box/routeur.
DHCP
Port 5001
Dans panneau de configuration :
Vous auriez pu mettre un port « exotique » mais il y a peu d’incidence d’un point de vu sécurité (si ce n’est que psychologiquement) et cela évite de s’emmêler les pinceaux.
D'ailleurs voici une liste des ports utilisés pour vous aider à en trouver qui sont libres : https://fr.wikipedia.org/wiki/Liste_de_ports_logiciels
Coté Box Routeur :
Si vous souhaitez fixer une IP et/ou faire des redirections pour d'autres équipements, le principe est le même.
Ci dessous, voici des façons de procéder en fonction du matériel que vous avez. je compléterai la liste au fur et à mesure, merci de bien vouloir me faire suivre vos captures d'ecran. ;o)
Avec une Freebox (Toutes versions)
Connectez-vous à la console free : https://subscribe.free.fr/login/
Paramétrer l’adresse Mac qui avait été écrite sur notre papier.
Attention a bien respecter la forme XX :XX :XX :XX :XX :XX
Puis choisir une adresse IP qui servira à l’avenir à vous connecter à votre nas.
=> Sauvegarder les changements.
Tant qu’on est là, nous allons en profiter pour faire la redirection du port 5001.
Cela revient à dire à la box : Quand quelqu’un frappe à la fenêtre 5001, tu le laisse entrer uniquement pour aller vers l’IP du nas sur le port 5001. Comme evoqué precedemment, vous pourriez mettre dans les champs du port externe autre chose que 5001. Certains le font pour éviter les attaques. Mais les outils des hackers permettent de vous détecter quand même. C’est une affaire de quelques secondes de différences. Mais encore une fois, si cela vous rassure, allez y. ;o)
Et puis on sauvegarde. (NE PAS OUBLIER DE CLIQUER SUR "AJOUTER" AVANT) -> Merci @agassi
Upnp
Et tant qu’à faire, pour une question de sécurité, on peut désactiver Upnp… et bien sûr on sauvegarde.
AVEC FREEBOX OS
Vous pouvez egalement passer par freeboxOS : http://mafreebox.freebox.fr
Fixer l'IP du NAS
REDIRECTION
Avec une Livebox
Merci @Invité pour ses captures d'ecran
On remplit les cases... ;o)
Vous pouvez maintenant REDEMARRER la box/routeur et le NAS.
Coté nas (Phase 2):
Vous allez maintenant vous connecter au NAS avec l’adresse IP inscrite et configurée via l’adresse mac dans votre box/routeur.
Paramétrage du Pare-feu
Ceci est une étape importante du paramétrage. Cela permets de designer qui/comment/depuis où, il est possible d’accéder au nas.
Voici un exemple de configuration de Pare-feu (les regles ont un ordre)
Ici on va :
- Bloquer la chine pour tous les services (on peut aussi bloquer d’autres pays)
- Autoriser les IP locales en 192.168.1.x
- Autoriser de France les accès uniquement en TCP vers le port 5001 (si vous avez mis un port exotique, à vous de modifier)
- On bloque tout le reste
Et puis comme on est dans le coin, pour une question de securité :
Connexion depuis l’extérieur
Pour accéder sur votre nas, on a besoin de de se rendre informatiquement sur le lieu où se trouve le NAS.
On va utiliser un des 2 cas suivant:
Pour la connaitre son IP Publique www.whatismyIP.com depuis votre reseau local.
- IP Statique :
Dans ce cas rien de plus simple pour se connecter de l’extérieur :
https://@IPpublique:5001
Et vous voilà chez vous.
Comme elle change fréquemment, il existe une « parade » pour eviter de se demander quelle est l'ip que l'on doit utiliser. Il s'agit du DDNS – Cette mise en application peut tres bien se faire si vous avez une IP statique: Ca évitera d’apprendre une succession de chiffre. ;o)
- IP dynamique :
Pour ce faire, on pourrait utiliser autre chose que synology.me. Par exemple OVH ou no-IP ou d'autres, proposent des services intéressants alors si cela vous intéresse, allez y.
Cependant, pour M. et Mme Toutlemonde, un compte synology fonctionnera très bien… et en plus, c’est gratuit.
On va commencer par se rendre sur https://account.synology.com/fr-fr pour creer un compte. Je vous laisse suivre les pages les unes après les autres… rien d’extraordinaire.
Ensuite il va falloir mettre en liaison notre NAS avec ledit compte tout juste créé.
Rien de plus simple :
Après le tuto, vous pourrez aller faire un saut sur votre compte (pas bancaire hein... ;o))et vous verrez que votre nas y est inscrit et qu’il est actif. ;o)
Ensuite :
On configure et on teste avant de valider. Le statut doit être en « normal ».
On valide,
Retenez bien le nom que vous avez mentionné. C’est grâce à lui que vous pourrez vous connecter.
Pour une question de sécurité, je déconseille l’utilisation de Quickconnect. Donc comme on est dans le coin…
Voilà, il ne vous restera plus qu’à vous connecter de l’extérieur avec : https://UnNomFacile.synology.me:5001 ou https://UnNomFacile.synology.meort_Exotique
Vous pouvez utiliser les applications mobiles également avec votre nom de domaine : UnNomFacile.synology.me
Une dernière chose : Je vous conseille de créer un compte du groupe utilisateur pour vos accès du quotidien, cela évitera que le login/password du compte administrateur tombe entre de mauvaises mains…
Ne m'en voulez pas, mais j'ai fait ce tuto, un peu à l'aveugle (ma config étant complétement différente). Alors, S'il y a des erreurs: ne pas hésiter !
Bonjour,
Le mieux est de mettre un Reverse proxy pour isoler les processus et pouvoir faire une gestion multi-domaine si on le souhaite
Bonjour à tous,
j‘ai configuré mon NAS Synology comme indiqué sur ce tuto et, après quelques questions complémentaires et réponses pertinentes obtenues (merci encore…), mon accès extérieur sécurisé fonctionne parfaitement.
Sauf que Plex n’est plus accessible de l’extérieur !
Apres diverses manips hasardeuses, j’ai pu constater que lorsque je désactive le pare feu du NAS, tout refonctionne immédiatement, et inversement.
Quelle régle mettre en place pour permettre l’accès à PLEX ?
Merci d’avance pour vos lumières.
j‘ai configuré mon NAS Synology comme indiqué sur ce tuto et, après quelques questions complémentaires et réponses pertinentes obtenues (merci encore…), mon accès extérieur sécurisé fonctionne parfaitement.
Sauf que Plex n’est plus accessible de l’extérieur !
Apres diverses manips hasardeuses, j’ai pu constater que lorsque je désactive le pare feu du NAS, tout refonctionne immédiatement, et inversement.
Quelle régle mettre en place pour permettre l’accès à PLEX ?
Merci d’avance pour vos lumières.
Bonjour, tout le monde
Suite à l'optimisation de mon réseau via l’ajout d’un nouveau routeur. Je n’ai plus accès à distance à mon NAS. J’ai branché mon nouveau routeur, un Asus RT-AX58U derrière la box de mon FAI est effectuer une configuration DMZ qui va donc rediriger directement tous les flux de données entrants issus d’Internet vers le routeur.
Ma configuration réseau s’articule maintenant comme ça :
[Internet] => [Box fournisseur – 192.168.1.1] => [192.168.1.254 – routeur – 192.168.0.1] => [192.168.0.0/24 PC/NAS et autres périph]
Au niveau des manipulations que j’ai faites :
• attribution d’ip Fixe d’une nouvelle IP fixe au NAS dû au changement de plage réseau
• Suppression des règles de redirection des ports sur la Box du FAI
• Ajout des règles de redirection des ports sur le routeur Asus
Voici quelque capture d'écran de la configuration de mon routeur :
Si quelqu'un peut m'apporter son aide sa serait super.
Cordialement;
Suite à l'optimisation de mon réseau via l’ajout d’un nouveau routeur. Je n’ai plus accès à distance à mon NAS. J’ai branché mon nouveau routeur, un Asus RT-AX58U derrière la box de mon FAI est effectuer une configuration DMZ qui va donc rediriger directement tous les flux de données entrants issus d’Internet vers le routeur.
Ma configuration réseau s’articule maintenant comme ça :
[Internet] => [Box fournisseur – 192.168.1.1] => [192.168.1.254 – routeur – 192.168.0.1] => [192.168.0.0/24 PC/NAS et autres périph]
Au niveau des manipulations que j’ai faites :
• attribution d’ip Fixe d’une nouvelle IP fixe au NAS dû au changement de plage réseau
• Suppression des règles de redirection des ports sur la Box du FAI
• Ajout des règles de redirection des ports sur le routeur Asus
Voici quelque capture d'écran de la configuration de mon routeur :
Si quelqu'un peut m'apporter son aide sa serait super.
Cordialement;
Dans tes captures d'écran normalement l'adresse de la passerelle par défaut devrait corresponde à l' adresse IP Lan de l' ASUS .
Chez moi avec routeur en DMZ en 192.168.1.1 , l'adresse de la passerelle est bien :192.168.1.1 . Ton adresse en 192.168.1.254 correspond à l'IP WAN de l'asus adresse qu'il lui permet de ce connecté à la DMZ de la BOX
Chez moi avec routeur en DMZ en 192.168.1.1 , l'adresse de la passerelle est bien :192.168.1.1 . Ton adresse en 192.168.1.254 correspond à l'IP WAN de l'asus adresse qu'il lui permet de ce connecté à la DMZ de la BOX
En complément : l'adresse IP_LAN de l'ASUS devrait se retrouver en 192.168.0.xx donc dans la même plage DHCP que les clients du LAN ; ce qui correspond à l'IP de la Passerelle . Je n'ai pas de routeur ASUS mais tu devrais avoir dans les paramètres du routeur ( exemple)
IP_LAN : 192.168.0.1 : IP_LAN du routeur
Plage DHCP : de 192.168.0.2 à 192.168.0.254 pour les clients
Masque sous-réseaux : 255.255.255.0
IP de la Passerelle : 192.168.0.1
Les adresses IP_LAN ne doivent pas se trouver dans la même plage que l' IP_Wan du routeur ( celui attribuer au routeur par la BOX ) donc dans ton cas 192.168.1.xxx
IP_LAN : 192.168.0.1 : IP_LAN du routeur
Plage DHCP : de 192.168.0.2 à 192.168.0.254 pour les clients
Masque sous-réseaux : 255.255.255.0
IP de la Passerelle : 192.168.0.1
Les adresses IP_LAN ne doivent pas se trouver dans la même plage que l' IP_Wan du routeur ( celui attribuer au routeur par la BOX ) donc dans ton cas 192.168.1.xxx
au niveau de mon dhcp j'ai bien la conf que tu décris :
Pour mon la config WAN j'ai mis l'ip de ma box en tant que passerelle, selon toi il faudrait que je mets l'ip de la partie LAN en tant que passerelle ?
Pour mon la config WAN j'ai mis l'ip de ma box en tant que passerelle, selon toi il faudrait que je mets l'ip de la partie LAN en tant que passerelle ?
Au vu de cette capture , la config DHCP du LAN est bonne ; l'adresse de la passerelle par défaut 192.168.0.1 doit correspondre à l'adresse LAN du routeur : l'adresse avec laquelle tu te connecte au routeur
Les DNS sont mal configuré il ne doit pas avoir 192.168.1.1 qui correspond dans ton cas à l'IP de la BOX
TU devrais mettre :
DNS 1 : 1.1.1.1 et DNS 2 : 1.0.0.1 qui correspond au DNS IPv4 de CloudFlare . Dans ce cas si les clients sont en IP fixe avec comme passerelle par défaut 192.168.0.1 ils passent par cloudFare et non pas par les DNS de ton FAI.
As-tu accés à l'interface de ta Box par son IP :192.168.1.1 depuis un PC baranché sur le routeur ?
Les DNS sont mal configuré il ne doit pas avoir 192.168.1.1 qui correspond dans ton cas à l'IP de la BOX
TU devrais mettre :
DNS 1 : 1.1.1.1 et DNS 2 : 1.0.0.1 qui correspond au DNS IPv4 de CloudFlare . Dans ce cas si les clients sont en IP fixe avec comme passerelle par défaut 192.168.0.1 ils passent par cloudFare et non pas par les DNS de ton FAI.
As-tu accés à l'interface de ta Box par son IP :192.168.1.1 depuis un PC baranché sur le routeur ?
Bonjour,
La Box étant en 192.168.1.1 et le côté WAN est en 254, tout me semble normale
Côté LAN change l'adresse réseau pour éviter un conflit .
192.168.1.X : WAN
192.168.2.X: LAN
Pour ma part, j'ai aussi un routeur Asus (AC88U) qui est connecté sur ma box mais mon LAN de mon routeur est sur une adresse réseau.
La Box étant en 192.168.1.1 et le côté WAN est en 254, tout me semble normale
Côté LAN change l'adresse réseau pour éviter un conflit .
192.168.1.X : WAN
192.168.2.X: LAN
Pour ma part, j'ai aussi un routeur Asus (AC88U) qui est connecté sur ma box mais mon LAN de mon routeur est sur une adresse réseau.
Bonsoir,
Merci pour vos conseils, ça m'a permis d'optimiser ma configuration.
Pour le problème comme la fait remarquer @Neo974 le forçage de la page en https n'était pas activer.
Ensuite au niveau de la redirection des ports le port 80 n'était pas inclus dans ma configuration.
Une fois, ce changement fait, j'ai pu avoir les accès.
Merci pour vos conseils, ça m'a permis d'optimiser ma configuration.
Pour le problème comme la fait remarquer @Neo974 le forçage de la page en https n'était pas activer.
Ensuite au niveau de la redirection des ports le port 80 n'était pas inclus dans ma configuration.
Une fois, ce changement fait, j'ai pu avoir les accès.
Bonjour, j'ai eu beau regarder toutes les pages de ce sujet... je sèche !
(les ports décrits ici ne sont pas les vrais, mais pour l'exemple)
Voici ce que j'ai fait sur mon NAS :
- j'ai activé Quickconnect
- j'ai activé Let's Encrypt
- j'ai créé un DDNS avec synology.me (lenomdemonnas)
- j'ai téléchargé le paquet Webdav Server et modifié les ports par défaut avec 11111 (http) et 22222 (https)
- j'ai modifié les ports DSM par défaut en http 33333 / https 44444
- j'ai activé le pare feu mais je n'ai pas décrit de règle particulière
- je n'ai pas fait de configuration de routeur sur le NAS
Sur ma box (SFR THD Fibre 4K en FTTLA) :
- j'ai déclaré une adresse IP fixe pour le NAS
- j'ai paramétré les transferts de port pour diriger les ports décrits ci-dessus vers l'adresse IP fixe de mon NAS sur le réseau local
Ce que je peux faire depuis l'extérieur :
- accéder au DSM via mon navigateur en entrant l'adresse https://lenomdemonnas.direct.quickconnect.to:44444/
Ce que je n'arrive pas à faire :
- Créer un lecteur réseau (service web) depuis le poste de travail de mon PC, chaque fois j'ai un msg me disant que l'adresse n'est pas accessible. En gros, je ne peux pas me connecter au NAS autrement qu'avec le navigateur qui m'amène sur le DSM.
- Trouver les bons paramètres pour utiliser KODI
Qu'ai je oublié ou mal fait ?
(les ports décrits ici ne sont pas les vrais, mais pour l'exemple)
Voici ce que j'ai fait sur mon NAS :
- j'ai activé Quickconnect
- j'ai activé Let's Encrypt
- j'ai créé un DDNS avec synology.me (lenomdemonnas)
- j'ai téléchargé le paquet Webdav Server et modifié les ports par défaut avec 11111 (http) et 22222 (https)
- j'ai modifié les ports DSM par défaut en http 33333 / https 44444
- j'ai activé le pare feu mais je n'ai pas décrit de règle particulière
- je n'ai pas fait de configuration de routeur sur le NAS
Sur ma box (SFR THD Fibre 4K en FTTLA) :
- j'ai déclaré une adresse IP fixe pour le NAS
- j'ai paramétré les transferts de port pour diriger les ports décrits ci-dessus vers l'adresse IP fixe de mon NAS sur le réseau local
Ce que je peux faire depuis l'extérieur :
- accéder au DSM via mon navigateur en entrant l'adresse https://lenomdemonnas.direct.quickconnect.to:44444/
Ce que je n'arrive pas à faire :
- Créer un lecteur réseau (service web) depuis le poste de travail de mon PC, chaque fois j'ai un msg me disant que l'adresse n'est pas accessible. En gros, je ne peux pas me connecter au NAS autrement qu'avec le navigateur qui m'amène sur le DSM.
- Trouver les bons paramètres pour utiliser KODI
Qu'ai je oublié ou mal fait ?
bonjour,
Tu utilises Quick connect,
C'est un service qui passe par les serveurs synology avant de te diriger sur ton NAS.
Pour ce service tu n'a même pas besoin d'ouvrir des ports ou de les mettre dans l'adresse.
Par contre le débit n'est pas optimum et tu passe par les serveurs synology.
As tu essayé avec ton domaine https:\\lenomdetonnas.synology.me:44444
Cela devrait fonctionner et de même pour les autres services.
Bonjour je confirme que cela fonctionne.
Je vais me lancer dans la config de Kodi désormais.