Synology Vaultwarden en entreprise

[SystemADM]

Bonjour,
Après avoir testé avec succès la solution auto-hébergée Vaultwarden (Bitwarden) chez moi, en utilisant la solution DDNS avec le domaine synology.me, j'ai pu accéder à l'application depuis l'extérieur en créant une redirection de port depuis l'interface de mon FAI. Cela a permis au site monsite.synology.me de pointer localement vers 192.168.x.x, port 3310, où Vaultwarden est hébergé.

J'ai ensuite apporté mon NAS DS224+ en entreprise dans le but de mettre en place la même solution. Cependant, j'ai rencontré un blocage. J'ai réinitialisé le Synology pour repartir de zéro et effectuer une nouvelle configuration, notamment en attribuant une nouvelle adresse IP locale en 172.17.x.x, etc.

Le problème rencontré est que, malgré la configuration correcte (incluant la création du certificat et de synology.me), je ne parviens pas à accéder au site local avec l'IP publique en utilisant l'URL https://monsite.synology.me:2510. Normalement, cela devrait me permettre d'accéder à Vaultwarden, mais ce n'est pas le cas.
Le blocage semble être lié au firewall ou au DNS, et je n'arrive pas à déterminer si l'opérateur Orange doit autoriser, par exemple, monsite.synology.me:2510.

Idéalement, depuis notre registre DNS qui détient monsite.com avec l'IP associée, j'ai mis en place un sous-domaine, par exemple blog.monsite.com, de sorte que ce soit ce site qui soit accessible depuis le Synology. Avez-vous des idées pour résoudre ce problème ?
Cordialement.

 

[Neo974]

Bonjour,

Tu utilises quoi comme dns dans ton entreprise ?

Est tu sur que au niveau du dhcp ton ip soit renseigné ?

As tu une zone de reverse dns?

Tu utilises synology.me et let's encrypt mais n'as-tu pas ton propre domaine et serveur de certificats ?

Je suppose que tu as d'autres applications Web qui fonctionnent bien dans ton entreprise....

Pour moi les points a vérifier sont :
dhcp - à t'on l'ip du NAS fixer par le serveur dhcp?
DHCP - le NAS reçoit t'il la bonne configuration automatiquement ?

DNS - le NAS et ses alias sont t'il mis correctement ?

Pki - le NAS reçoit t'il tous les certificats nécessaires ?

Network et firewall- il y a t'il des règles spécifiques au niveau de l'accès réseau ? NAC, Vlan, flux à ouvrir ?
Niveau GPO - firewall les ports sont il autorisé pour l'ip du NAS ?


Tant que tu n'arrive pas à faire fonctionner en local, ton FAI n'entre pas en jeu.
Il faudra éventuellement dans le pare-feu, routeur créé une règle si tu veux que le serveur soit accessible à l'extérieur ( mais normalement en entreprise pour accéder aux ressources internes on utilise un VPN d'entreprise)

 

[zypos]

en attribuant une nouvelle adresse IP locale en 172.17.x.x, etc.

Il faudrait vérifier cet IP_local ; car avec Orange les IP locale sont du type 192.168.1.xx
Ensuite mettre en place le reverse proxy pour Vaultwarden . Pas de port spécifique à ouvrir dans ce cas . Et simple de mise en place avec un nom de domaine
synology.me .
Si tu utilise un autre nom de domaine ; dans le panneau de configuration du NAS : il faut que le nom de domaine soit déclarer dans Accès Externe /DDNS et creer un certificat pour ce nom de domaine dans Sécutité / Certificat

 

[SystemADM]

Bonjour,

Tu utilises quoi comme dns dans ton entreprise ?

Est tu sur que au niveau du dhcp ton ip soit renseigné ?

As tu une zone de reverse dns?

Tu utilises synology.me et let's encrypt mais n'as-tu pas ton propre domaine et serveur de certificats ?

Je suppose que tu as d'autres applications Web qui fonctionnent bien dans ton entreprise....

Pour moi les points a vérifier sont :
dhcp - à t'on l'ip du NAS fixer par le serveur dhcp?
DHCP - le NAS reçoit t'il la bonne configuration automatiquement ?

DNS - le NAS et ses alias sont t'il mis correctement ?

Pki - le NAS reçoit t'il tous les certificats nécessaires ?

Network et firewall- il y a t'il des règles spécifiques au niveau de l'accès réseau ? NAC, Vlan, flux à ouvrir ?
Niveau GPO - firewall les ports sont il autorisé pour l'ip du NAS ?


Tant que tu n'arrive pas à faire fonctionner en local, ton FAI n'entre pas en jeu.
Il faudra éventuellement dans le pare-feu, routeur créé une règle si tu veux que le serveur soit accessible à l'extérieur ( mais normalement en entreprise pour accéder aux ressources internes on utilise un VPN d'entreprise)

Tu utilises quoi comme dns dans ton entreprise ? Nous avons un DNS via notre contrôleur de domaine Windows mais pour du local. Autrement on est sur un DNS coté registrer

Est tu sur que au niveau du dhcp ton ip soit renseigné ? Oui elle est renseigné car c'est une IP local distribuer par le Pool IP du DHCP du serveur Windows.

As tu une zone de reverse dns? Non, enfin depuis le Gestionnaire DNS de notre contrôleur de domaine Windows. Mais le NAS récupère une IP local de notre DHCP et il n'est pas intégré au domaine de la société l'IP n'apparait pas dans la liste de la Zones de recherche inversée. (si c'est bien de cela auquel tu faisais allusion..)

Tu utilises synology.me et let's encrypt mais n'as-tu pas ton propre domaine et serveur de certificats ? Oui on a un Domaine et un serveur de Certificats

Je suppose que tu as d'autres applications Web qui fonctionnent bien dans ton entreprise.... > Toutes nos applications sont hébergés sur des VM distante depuis un datacenter, on est sur le même Vlan pour travailler en .local dessus

Pour moi les points a vérifier sont :
dhcp - à t'on l'ip du NAS fixer par le serveur dhcp? > on récupérer une IP mais je peux la configurer en statique depuis notre contrôleur de domaine
DHCP - le NAS reçoit t'il la bonne configuration automatiquement ? > Oui je pense, étant donné que je peux m'y connecter avec mon id / mdp etc.. et Pingé cette IP sans problème en local.

DNS - le NAS et ses alias sont t'il mis correctement ?

Pki - le NAS reçoit t'il tous les certificats nécessaires ? > Je ne vois pas ou je pourrai vérifier cette configuration

Network et firewall- il y a t'il des règles spécifiques au niveau de l'accès réseau ? NAC, Vlan, flux à ouvrir ? > il faut savoir que l'équipement Orange on a pas la main dessus, c'est pas une Livebox, c'est un routeur d'entreprise BVPN > Orange Business Service. et notre IP Publique n'est pas accessible depuis l'exterieur, j'ai ouvert un ticket coté Orange pour savoir si'il pouvait autorisé le port que l'on a persolisé a savoir le 2510 et https://monsite.synology.me:2510

Niveau GPO - firewall les ports sont il autorisé pour l'ip du NAS ? Notre Firewall Fortinet est rattaché à notre BVPN Orange, j'y ai créer une régle > LAN vers Internet ou j'ai autorisé le port 2510. mais ça ne change rien, peut etre que c'est au niveau du routeur que ça bloque.
voir piece jointe

 

[Neo974]

Pour résumer de ce que comprend.

En local avec l'adresse ip, cela fonctionne.
A distance ben non car l'ip est locale uniquement.

Avec monsite.synology.me ou blog.monsite.com cela ne fonctionne pas.

Donc le problème vient du fait que ta box ne transfère pas les informations.

Ce que tu dois faire c'est demander à ce que le port 2510 de ta box redirige vers le port 2510 de ton NAS, il faut que ton NAS ait une ip fixe.

Au niveau du firewall la règle est plutôt internet port 2510 vers lan ip du nas port 2510

 

[PackTu]

IP Publique n'est pas accessible depuis l'exterieur

Comme le dit Neo974.

IP public non accessible depuis l'extérieur et routeur non configurable ==> ca ne peut pas fonctionner par définition.

il faut pouvoir ouvrir les ports pour avoir un accès externe. Donc le ticket ouvert auprès orange est la solution.

Sinon il faut faire comme pour un routeur 4G-5G passer par une connexion vpn pour outre passer la non possibilité d'ouverture de ports.

 

[Eirikr70]

Bonjour, je serais plutôt de l'avis de @zypos : il faut mettre en oeuvre un proxy inverse, de manière à renvoyer un sous-domaine (ex. : vaultwarden.tondomaine.synology.me) vers le port 2510 de ton serveur. Et surtout pas essayer de te connecter directement à Vaultwarden qui risquerait d'être alors en clair (même si je crois que Vaultwarden ne le permet pas).