services informatiques sur Grenoble

Réseau et télécom.

Publié le mai 10th, 2015 | par Sébastien

13

Synology : se connecter à un réseau local depuis l’extérieur

C’est un problème qui concerne majoritairement les entreprises … que d’accéder au réseau local de la société (et, donc, des services associés), en étant situé à l’extérieur de ses murs (les employés d’une agence dans un autre département, un commercial d’une antenne à l’international).

Il existe bien des solutions (TSE, web app, VPN …) pour répondre à cette problématique. En principe, ce n’est qu’une question de moyens, ET il n’existe pas de meilleure solution puisqu’elle doit être compatible avec les solutions utilisées en interne (bande passante, logiciel utilisé, ressource CPU etc …).

D’ailleurs, et par exemple, Synology permet déjà d’accéder aux fichiers stockés (service de partage de fichiers) sur le NAS par l’intermédiaire de différents moyens :

  • CloudStation,
  • FTP,
  • WebDAV,
  • HTTP avec FileStation (via une interface web),

et j’en passe …

Un VPN (réseau privé virtuel) est un réseau {privé|local} qui utilise un autre réseau plus vaste (comme internet par exemple) pour relier des équipements (ordinateur, serveurs etc …) entre eux. Les {connexions|liaisons} sont sécurisées et cryptées pour la transmission de données.

nota : l’intérêt est le coût relativement faible de la solution puisqu’il n’est pas nécessaire de relier deux usines entre elles par un ou plusieurs câbles (i.e ouvrir les routes et faire passer des câbles sur des dizaines kilomètres …). Autant utiliser l’existant, c’est à dire internet (ce n’était pas le cas auparavant).

Les entreprises utilisent souvent la solution VPN afin que leurs employés puissent accéder aux ressources situées sur le réseau privé de l’entreprise, quand ils sont à l’extérieur (déplacement, en clientèle ou à domicile). Une des solutions les plus abordables quand cela est possible …

C’est ici que les NAS Synology entrent en jeu … avec le paquet VPN Server !

nota : la fonction VPN peut être assurée par un boitier compatible (routeur par ex.), autre que Synology.

Pré requis et introduction

openvpn logoDans ce tutoriel, nous utilisons le logiciel OpenVPN. Cette solution est reconnue pour être :

  • sécurisée (pas de faille connue : bibliothèque d’encryptage d’OpenSSL et authentification par certificat),
  • souple (existe sur tous les OS, choix des ports si blocage),
  • rapide (plus légère que les autres solutions),
  • et robuste (connexion longue distance).

Le NAS va assurer la partie serveur de la solution et les terminaux (ordinateur, smartphone, tablette), qui se connecteront à distance au serveur, utiliseront la partie cliente.

nota : OpenVPN n’est pas supporté en natif par tous les systèmes d’exploitations … de fait, il sera nécessaire d’installer un client VPN compatible (ça existe sur presque toutes les plateformes …).

Dans notre cas, nous allons utiliser un ordinateur Apple sous MAC OS X, avec le logiciel Tunnelblick.

Cahier des charges

Comme toujours il est préférable d’écrire ce qu’on veut faire, et de l’appliquer ensuite. Comme par exemple la politique d’adressage IP, les scenario de connexion, etc … Ce tableau et schéma peuvent résumer cela en quelques lignes !

Paramètres Réglages Commentaires
adresse IP internet du serveur URL sous la forme example.orgou adresse IP fixe 193.80.18.# pouvoir localiser le serveur (et accéder aux services), point entrant dans la société, à partir de n’importe quel endroit sur la planète.Avec le NAS, utilisez le service DynDNS en xxx.synology.me
port externe 10094 il est préférable de changer le port par défaut vu depuis l’extérieur.
adresse IP locale du serveur OpenVPN l’adresse IP locale du NAS c’est une adresse IP fixe que vous avez déterminé préalablement
port interne 1194 par défaut UDP, préférez TCP quand les connexions sont difficiles (distance, déconnexion).

vpn-architecture

Configuration d’OpenVPN sur un NAS Synology

Vous devez installer le paquet VPN Server depuis le centre de paquet de DSM (utilisez la fonction recherche).

Une fois le paquet installé et le service lancé, vous pouvez passer à l’étape de configuration.

0 – ouvrir la fenêtre de configuration de VPN Server.

vpn-server-emplacement-onglet

1 – fenêtre d’accueil et vue d’ensemble des services (actifs ou non).

vpn-server-vue-d-ensemble

2 – fenêtre de configuration OpenVPN (adressage, port réseau, etc …).

vpn-server-open-vpn

C’est ici qu’on va attribuer le port réseau {interne|local} du serveur !

3 – privilèges utilisateur … n’oubliez pas de vérifier les droits d’accès !

vpn-server-privileges

Pensez à exporter la configuration (format .zip).

Ouverture des ports sur le routeur ADSL

La connexion depuis l’extérieur va arriver sur un port dédié (selon votre infrastructure). Il est donc nécessaire de rediriger la connexion sur l’équipement qui assure la fonction de serveur VPN (dans notre cas le NAS).

Voici un exemple avec une livebox 2 …

livebox-nat-vpn

Configuration VPN côté client

Installez le logiciel Tunnelblick et importez la configuration OpenVPN issue du NAS Synology. Il y a quelques {réglages|vérifications} à faire, à partir du fichier texte !

tunnelblick-import-configuration tunnelblick-modification-fichier-configuration

Voila, c’est terminé … Enjoy !

Pour aller plus loin

Tutoriels Synology sur la connexion VPN article 1 et article 2.

Tags: ,


À propos de l'auteur

est professionnel de l'informatique et de la communication internet. Son métier lui donne souvent l'occasion de découvrir du matériel hightech, de développer et approfondir ses compétences dans des domaines complémentaires et variées (référencement, création de site, communication, marketing, formation etc …). Les articles et sujets abordés ici sont le fruit d'expériences de terrain et tentent d'apporter des solutions (ou des éclairages) à des problématiques bien réelles.



13 Responses to Synology : se connecter à un réseau local depuis l’extérieur

  1. Valentin says:

    Bonjour Sébastien,
    J’ai suivi les instructions et tout fonctionne. Merci.
    La seule chose qui ne passe pas est le « nom » du NAS.
    Mon NAS a pour IP locale 192.168.0.2 et s’appelle « SYNO ». Quand je suis sur le réseau local, tous les raccourcis sont en //SYNO/quelquechose/undossier/
    Quand je me connecte en VPN, les raccourcis ne fonctionnent plus.
    Si je remplace SYNO par 192.168.0.2, cela fonctionne à nouveau : //192.168.0.2/quelquechose/undossier/
    Comment puis-je faire que connecté via le VPN, l’association SYNO = 192.168.0.2 se fasse ?

  2. Clément says:

    Bonsoir,

    Article très intéressant, mais une petite question me trotte.. est il possible de réaliser des sauvegardes TimeMachine sur le NAS synology quand celui-ci est branché au réseau local et l’ordinateur connecté à un réseau extérieur ? devons nous passer par un VPN pour accéder au réseau local où y a t’il une autre solution ? En vous remerciant par avance.
    Cdt.

    • Sébastien says:

      Bonjour,

      oui, DSM est compatible avec les sauvegardes TimeMachine, on peut même régler la destination.
      En local oui aucun pb, à distance non faisable facilement / directement.
      Avec un VPN, ça devrait marcher (pas certain à 100 % pas vérifier directement ou sur le net).

      La question est plutôt …
      0 – qu’entendez vous par sauvegarde ? système, données, bootable … ?
      1 – quelle quantité de données à sauvegarder ? et fréquence ? jour ? semaine ?
      2 – disposez vous d’une bande passante suffisante pour sauvegarder vers le NAS à distance (upload côté client).

      Parce que si vous balancez 50 Go (quelque soit la solution utilisée pour la sauvegarde)
      sur le réseau, en LAN ça sera OK, mais à distance je doute que ce soit très pertinent.

      Par exemple, 50 Go avec un débit UP de 1 Mo/s, y’en a pour plus de 12h !

      Pour faire du CloudStation (Cloud), c’est OK, pas très adapté pour des backup > 2 Go par jour.

      Et CloudStation est bien plus pratique pour faire des sauvegardes de données par exemple.
      Sauvegardez aussi le NAS …

      Sébastien.

  3. Slee says:

    Hello,
    article intéressant, j’ai suivi pas à pas le tuto. Tunnelblick se connecte bien , mais il m’est impossible d’acceder aux dossiers du NAS. comment acceder au partage de fichier du NAS, faire en sorte de voir les dossiers du NAS comme un dossier local ?

    • Sébastien says:

      @Slee : bonjour,

      Les services de découverte réseau (et donc machines) sont filtrés par la configuration.
      Le plus rapide est de monter le disque (la machine) avec l’adresse ip local …

      Essayez :
      – smb://ServerName/ShareName, ex. : smb://192.168.1.10/mondossierpartage
      – afp://DOMAIN;User@ServerName/ShareName

      Ne connaissant pas l’installation / configuration, je ne sais pas fournir (plus) de support depuis ce blog !

      nota : attention ce type d’accès n’est pas fiable (déconnexion possible, surtout en longue distance)
      (dépend de la qualité de la connexion côté client et côté serveur),
      préférez CloudStation / OwnCloud pour accéder aux fichiers.

      Sébastien

  4. Sacha says:

    Bonjour Sébastien,

    Merci pour votre tuto, bien utile.
    De ce que je sais d’un VPN, c’est qu’il encapsule les connexions de tous les protocoles (TCP, IMAP, http://FTP…..) dans un tunnel, ce qui le rend sûr. N’est-ce pas là une bonne méthode pour s’assurer d’une manière générale depuis l’extérieur un accès sécurisé aux services qu’offre le Nas. Il serait intéressant de développer un peu ses accès dans le tunnel, ce qui manque également dans la doc Synology. Par exemple, une fois connecté au VPN, comment accéder au gestionnaire d’administration, utiliser Cloud Station, …. Et également comment autoriser ces possibilités ou les restreindre.

    Cordialement.
    Sacha.

    • Sébastien says:

      Sacha,

      je ne comprends pas votre suggestion / demande / question ?

      Le VPN permet ici d’être relié au réseau local. Avec cette abstraction, c’est comme si vous étiez présent/connecté chez « vous ».

      De fait, si vous savez vous connecter (depuis un réseau local) aux services du NAS,
      je ne vois aucune difficulté pour vous connecter à ces mêmes services avec le VPN.

      Par ex., une fois la connexion VPN établie, connectez vous à https://ip.local.du.nas:5001 depuis un navigateur,
      vous aurez accès à l’admin. du NAS via VPN de manière « doublement » sécurisée (VPN + https).

      Quand à autorisation ou non d’accès … il y a déjà des mots de passe … n’est ce pas suffisant ?
      Sinon faudra passer par ligne de commande …

      Sébastien

  5. delmotte says:

    Bonjour, merci pour ce tuto mais j’avoue ne pas comprendre les ports sélectionnés dans le tuto:

    Vous avez choisi le port externe 94 sur la box et pourtant avez mis le port 10094 dans le fichier de configuration, de plus j’ai lu qu’il fallait mettre l’adresse ip de la box (pro en l’occurrence) plutôt que le domaine. J’aimerai beaucoup avoir des éclaircissements.

    Merci.

    • Sébastien says:

      Bonjour,

      regardez bien … une partie avant le 94 est floue …
      c’est masqué puisque la config. client est en ###94 et que je n’allais pas indiquer le vrai port ici …
      ou refaire la config. pour que la capture corresponde à l’article !
      Dans l’exemple c’est bien 10094 qui doit être indiqué dans la NAT de la Livebox …

      Pour l’IP de la box pro, vous évoquez certainement l’IP externe de la LBP …
      si celle ci est fixe, ca fonctionnera
      sinon utilisé un service DynDNS donc nom de domaine …
      Dans les deux cas, DynDNS fonctionne …

      Sebastien

  6. zack says:

    Bonjour.

    J’ai deux questions :
    – A t-on besoin d’acheter un nom de domaine ou autre chose pour pouvoir accéder au NAS?
    – Peut-on accéder à son réseaux local et utiliser son réseaux local en passant par la connexion VPN créé?

    merci.

    • Sébastien says:

      Bonjour,

      1 – NON, c’est l’intérêt de l’ID Quickconnect, voire de DynDNS quand on a pas d’adresse IP fixe.
      2 – Depuis l’extérieur oui, c’est le but ! Mais il y a des conditions et ça dépend quoi / quel service …

      Vos questions montrent que vous n’avez pas lu / compris les articles diffusés sur ce blog … relisez, lisez en d’autres … ca va rentrer !

      Sébastien

  7. Pingback: Synology : comment configurer l’accès à distance avec un NAS ? | AEM Blog

Retour vers le haut de la page ↑