Voici un rapide article pour décrire et décrypter le fonctionnement de la NAT (redirection d’adresse sur ce routeur) à travers un exemple concret. Procédons !
Le contexte et objectif
Un accès VPN doit être créé entre des utilisateurs externes et un NAS. C’est le NAS qui héberge le service VPN (ne demandez pas pourquoi, c’est comme ça). L’objectif est de forcer le trafic externe arrivant sur le NAS (données de l’entreprise) à travers le VPN pour des raisons évidentes de sécurité.
L’intérêt est qu’une fois connecté au VPN, il n’y a plus besoin de mécanisme de redirection, l’utilisateur est connecté en “local”.
Configuration du routeur et du firewall
Le service Calendrier – d’un NAS Synology ayant pour adresse IP 192.168.100.23 – a été configuré sur port 5006.
Depuis l’extérieur, les utilisateurs se connectent à ce service sur l’IP externe du routeur (WAN 1) à partir du port 36006.
Création d’un Custom Services
S’identifier en qualité d’administrateur du routeur,
puis se rendre dans le menu Security (sécurité), et cliquer sur Custom Services (Services personnalisés).
Renseigner un nom pour le service, puis saisir dans Source Start Port : 1, dans Source Finish Port : 65535.
Dans Destination Start Port : le numéro du port du service utilisé sur votre NAS Synology, ici 36006 pour calendrier.
Dans Destination Finish Port : puisqu’un seul port est utilisé ici, saisir 36006 également.
nota : oui, ce n’est pas logique mais ça fonctionnera … J’ai tourné en rond des heures pour trouver ce paramètre …
A ce stade le port d’entrée est déterminé.
Création d’une règle dans le firewall
Se rendre dans le menu Security (sécurité), et cliquer sur Firewall Rules (règles du pare-feu).
Dans le champ From Zone : sélectionner WAN 1/2/3,
Dans le To Zone : sélectionner le VLAN désiré, puis le Service (ici le custom service créé précédemment i.e calendar),
Action : allow,
Source hosts et log : votre problème … donc ce que vous voulez !
Destination NAT settings (port d’arrivée)
Internal IP adresse : l’adresse IP de votre NAS, ici 192.168.100.23.
Activer Enable port forwarding si le port d’entrée externe est différent du port ouvert sur le NAS (dans notre cas, oui).
Translate port number : 5006 (ici les requêtes arrivent sur le port 36006 et sont redirigées sur 5006, i.e le comportement que l’on cherche).
External IP adress : Dedicated WAN (WAN 1), c’est le WAN par lequel arrive la connexion.
Voilà le service calendrier est pleinement accessible. Cette méthode permet également de configurer le routeur pour accéder au NAS Synology via un VPN.
Quelques précisions et commentaires
Les ressources disponibles pour ce routeur sont peu nombreuses (routeur enterprise grade) et D-Link France tente de contraindre les propriétaires de passer par leur réseau de distribution … donc pas de support pour ceux qui achètent par Amazon … (sic transit gloria mundis) ! Est ce légal ? Amazon prétend que D-Link doit fournir le service … D-Link ne le fera pas …
Je me pose surtout une question pour la garantie matériel au final … N’hésitez pas à laisser un commentaire pour enrichir le débat et partager vos retours d’expérience !
Merci pour vos réponses, Sébastien.
C’est ldlc pas qui m’a conseillé ce routeur sans modem avec un pare-feu de haut niveau.
Je suis un particulier (cinq utilisateurs), donc pas dans le cadre d’une entreprise, même petite.
Mon inquiétude, vu le prix à l’achat, est d’avoir un matériel stable sur le long terme.
Vous me rassurez en me confirmant que vous avez deux clients qui l’utilisent en production.
Et en plus, si la garantie est de 5 ans, cela me va !
Même si la configuration n’est pas très intuitive, j’ai du temps à perdre pour le tester.
Le projet consiste à gérer des ordinateurs, des téléphones, un NAS (fichier et multimedia), une télévision, et de la domotique.
Je n’ai pas vu la partie DNS. Existe-elle comme dans les Box ?
Pour les plages d’adresses de votre didacticiel, j’ai vu cela dans mon D-Link DSL-320B dans la partie QoS.
Le site et la documentation de chez D-Link est très avare de détail sur ce que peu faire ce routeur et c’est dommage.
Pourquoi je m’inquiète ?
J’ai lu les avis utilisateurs du LinkSys EA9500. Ils ont tous des problèmes avec le Wifi qui rend l’âme au bout de quelques mois d’utilisation.
Cordialement.
@+
Dans ce cas, préférez la gamme Unifi de Ubiquiti !
C’est un vrai régal, mais nécessite de comprendre l’anglais !
L’architecture est modulaire, les mises à jour fréquentes, système et matériel fiables, UI au top.
Le Dlink n’a pas un firmware/UI au top (meme si stable) et les maj ne sont pas fréquentes.
Le cout est lié au VPN qui supporte bcp de connexion parallèle (et demande puissance).
Sait gèrer une double connexion WAN.
Oui le Dlink gère le loopback si hébergement service en local.
Bonjour Sébastien.
J’ai lu votre commentaire chez Amaozone, et j’aimerai savoir si vous me conseillez ce routeur à l’achat ?
Est-il fiable dans son fonctionnement matériel sur le long terme ?
Avez-vous rencontré des problèmes de connexions, instabilité du wifi, ou je ne sais quoi d’autre ?
Est-il destiné à faire du filtrage, genre pare-feu afin d’améliorer la sécurité de mon LAN ?
C’est sur ce point que je choisirais mon futur routeur.
Cordialement.
@+
Bonjour,
la réponse est difficile ne connaissant pas le projet derrière (nbre user, sécurité, QoS etc …).
Voici qques éléments (2 x clients l’utilisent en prod.) :
– Wifi : non utilisé,
– De mémoire D-Link garantit 5 ans le support,
– attention achat Amazon = pas de support FR en cas de besoin,
– produit stable sur connexion fibre simple,
– configuration pas très intuitive … mais quand on comprend la logique, ca fonctionne …
– pour la question de sécurité, cela ne vaut pas du stormshield ou autre …
(mais c’est pas les mêmes cibles / gammes de tarifs non plus).
Sebastien
Merci pour ce tutoriel, qui m’a aidé à configurer le routeur en tant que serveur Openvpn, et les règles de NAT pour un accès RDP.
Bonjour Sébastien
Votre tutoriel est très bien expliqué.
Auriez-vous par hasard un tutoriel sur la configuration de 2 DSR1000 qui permettent relier 2 sites par VPN (client/serveur). Côté serveur, il y aura un NAS Synology et côté client PC sous Windows.
D’avance merci
Tony
Bonjour
cherchez des tutoriels pour une connexion site-to-site (et non client serveur).
Le DSR est compatible.
Sinon le DSR n’est pas la seule solution … le VPN peut être assumée par le NAS et les DSR laissent passer le trafic.