Si vous ne savez pas accéder à distance à votre NAS, cet article est fait pour vous ! C’est assez frustrant parce que souvent il ne manque qu’une information pour y arriver …
Voyons en quelques lignes les informations nécessaires à la mise en œuvre de la liaison à distance avec un NAS Synology.
[alert type=”yellow”]Certaines informations sont des approximations volontaires dans le but de conserver un langage simple, claire et accessible au plus grand nombre … C’est également un exemple, le principe du Dyn DNS et de la NAT est le même avec d’autres équipements et pour d’autres services.[/alert]
[alert type=”red”]Par ailleurs, permettre l’accès à des ressources depuis l’extérieur implique des risques au niveau de la sécurité des données utilisateur (en particulier pour une entreprise). Les sauvegardes ne sont pas une option et la connaissance des services et protocoles utilisés un minimum … le risque majeur étant la panne (DoS) et la perte, voire vol, de données ![/alert]
À noter que le service QuickConnect de Synology répond à la problématique de manière plus simple (pour le plus grand nombre), il ne sera donc pas abordé ici puisque cela ne répond pas aux besoins développés (même si cela reste {complémentaire|utile}).
La communication sur Internet : adressage IP, DNS et NAT
Toutes machines connectées directement à Internet se voient attribuer une adresse physique, appelée adresse IP publique (Internet Protocol), allouée automatiquement par un Fournisseur d’Accès Internet (F.A.I). Pour communiquer avec une machine sur internet, il suffira de connaitre son adresse IP, puis d’utiliser un logiciel pour établir une communication (route), de passer un port (une porte d’entrée) afin d'{accéder à|bénéficier d’} un service (même si maintenant on utilise des sous-domaines hein …).
En français ça donne quoi ?! Faites l’analogie avec une grande entreprise … si vous lui envoyez un courrier (service) par la poste (fournisseur) et que vous indiquez uniquement l’adresse postale (et pas un destinataire précis) (adresse), le facteur (ou vaguemestre) (logiciel ou agent) ne saura pas à qui délivrer le pli … Quand vous précisez le destinataire, le livreur saura à qui (ou quel service) délivrer le message.
Nom de domaine et DNS
Par ailleurs, en informatique, afin de faciliter les échanges, une abstraction a été créée pour atteindre plus facilement une machine (voire service), le nom de domaine.
nota : il est plus simple de retenir un nom qu’une adresse IP pour un humain (alors qu’il est plus simple pour un ordinateur de traiter des chiffres).
Pour ce faire, un service de correspondance (traduction) entre les noms de domaine et les adresses IP est utilisé : le DNS (Domain Name System). C’est un des socles d’Internet. Sans ce service personne ne sait ou aller !
L’exemple le plus commun est celui de la connexion à un site avec un navigateur internet sur le port 80.
nota : le port 80 (et 443) est le port par défaut pour les connexions (sécurisées) à un site internet avec le protocole http (inutile de les préciser, c’est implicite).
Essayez de vous connecter à cette adresse http://173.194.40.151:80 …
Et oui, c’est un des serveurs du service “moteur de recherche” de Google, et on obtient le même résultat (même service) que si on utilise l’adresse http://www.google.fr !
Dans le premier cas, on passe de 1 à 4 directement (cf schéma du dessus), dans l’autre une à plusieurs étapes supplémentaires sont nécessaires …
Accès distant et redirection de ports (NAT)
Pour terminer sur la partie théorique et réseau, un dernier point. Votre installation (box + serveur + machines) locale est visible depuis internet sous forme d’une unique adresse IP (entreprise disponible à une adresse postale). Pour atteindre une machine ou service parmi d’autres, il est nécessaire de préciser quel {poste|service} vous voulez joindre, en utilisant un port (une porte d’entrée en somme), ce qui permettra aux relais internes (routeur|vaguemestre) d’aiguiller les {messages|communications}.
Maintenant que vous en savez plus sur l’adressage et Internet, passons à l’objet de cet article … Procédons !
Configurer le service DDNS depuis le NAS
Les adresses IP fournies par les principaux F.A.I en France ne sont pas fixes … elles sont dites dynamiques parce qu’elles changent (lors d’une déconnexion par exemple).
Rares sont les FAI à proposer une adresse IP fixe (Free par exemple), et généralement c’est un service réservé aux professionnels. Afin de palier le changement d’adresse (qui ne prévient pas), on utilise un service qui permet d’attacher une adresse IP à un nom de domaine, c’est le Dynamic DNS (DDNS). Ce service se charge de mettre à jour l’IP quand elle change.
Différents fournisseurs de service existent, gratuits ou payants, avec des fonctionnalités plus ou moins évoluées. Le site Centre MyDS (MyDS Center) de Synology vous permet, entre autres, de disposer gratuitement d’un nom de domaine et du service DDNS.
Personnellement, j’utilise d’autres services, mais pour un particulier ou professionnel qui n’a pas de besoin spécifique, je vous invite à utiliser ce service : simple et rapide.
Une fois le compte DDNS de votre choix créé, connectez vous à l’admin de votre NAS, et ouvrez le panneau de configuration.
Cliquer sur Accès externe puis Ajouter (une fenêtre s’ouvre)
Remplir le formulaire, et cliquer sur Test de connexion … ça y est, c’est fait ! Vous obtenez un nom de domaine et la correspondance avec votre adresse IP !
nota : vous n’êtes pas obligé d’utiliser cette interface pour DDNS, votre box dispose également de cette fonction (et elle sera certainement compatible avec moins de fournisseurs que le NAS Synology). Attention, le service DDNS est important, ne pas confier sa gestion à n’importe quel tiers non reconnu !
Ouvrez, ouvrez, la cage porte aux oiseaux …
Bon maintenant qu’on nous trouve sur internet, il s’agit de permettre aux utilisateurs externes (i.e non raccordés au réseau local) de pouvoir atteindre les services désirés (et configurés bien évidemment).
Configurer la NAT de la box ou du routeur
nota : notez que nous pourrions utiliser un service type VPN (non abordé ici).
Prenons par exemple l’administration du NAS Synology (c’est un des services actif par défaut).
Si vous avez suivi les recommandations sur la sécurité, vous savez que le port de l’administration par défaut est le port 5001 avec httpS et que l’adresse IP locale du serveur doit être fixe. Maintenant, souvenez vous du vaguemestre qui doit livrer un message à un destinataire …
En local, ça donne cela : https://mon.adresse.ip.locale:5001 (par exemple https://192.168.101.126:5001)
À distance, cela pourrait donner : https://mon.adresse.ip.distante:5001 (par exemple https://exemple.synology.me:5001)
Seul hic, le vaguemestre (la box internet ou modem / routeur) ne sait pas encore (il n’a reçu aucune instruction) à qui délivrer le message … Il doit apprendre.
Pour cela, se rendre dans l’interface d’administration de votre box ADSL, et rechercher la translation d’adresse (N.A.T).
Sur les Livebox de dernière génération, cette fonction se trouve dans configuration avancée > configuration réseau > NAT/PAT
- Application : nouveau (donner un nom),
- Port interne : 5001 (ou autre port si port admin NAS changé, ou si autre service),
- Port externe : 5001 (ou autre), choisissez en un autre pour éviter les attaques,
- Protocole : TCP ou les deux, ça fonctionnera !
- Appareil : choisir l’équipement désiré (ici c’est le NAS hein …)
L’adresse IP locale du NAS doit être fixe
Pour connaitre l’adresse IP de votre NAS sur le réseau, utilisez Synology Assistant. Même si vous devez déjà la connaitre … puisqu’en proposant un service via un NAS, vous savez qu’un serveur doit avoir une adresse IP fixe sur le réseau local … Pourquoi ? Parce que si l’adresse est allouée dynamiquement par le routeur (DHCP), et qu’elle change, toutes les redirections tombent à l’eau !
Besoin de configurer d’autres services et protocoles ?
Voici la liste des ports par défaut, disponible depuis le site de Synology. Ci-joint, une partie des principaux services made in Synology …
Voila, c’est terminé !
Il suffira de rentrer dans votre navigateur préféré l’adresse https://exemple.synology.me:port_utilisé pour désormais accéder à l’administration de votre NAS (un certificat de sécurité doit être accepté !).
Vous pouvez également vérifier la configuration en utilisant un service tiers comme http://canyouseeme.org/ (en effet, un essai depuis l’installation local peut ne pas fonctionner correctement – cf configuration box adsl). Il est recommandé de vérifier depuis l’extérieur, donc depuis un service externe, ou une connexion via smartphone en 3/4G …
Reste maintenant à reproduire le même mécanisme pour d’autres services (ftps, web serveur etc …), et hébergés, qui sait, par d’autres machines …
Pour aller plus loin
Ne voulant pas trop surcharger l’article, je n’ai volontairement pas aborder les problèmes sous-jacent de l’accès à distance (sécurité, accès VPN, …).
Si comme Guillaume, vous avez des inquiétudes par rapport à cela, tournez vous vers les articles concernant l’accès local avec un VPN, et celui de la sécurisation de l’administration de DSM.
bonjour,
Tout d’abord merci énormément pour votre tuto. Je suis sur livebox pro et je ne parvenais pas à lancer l’accès à distance.
J’ai une question dont je ne parviens pas à trouver la réponse. Lorsque je configure les ports, le port local n’est jamais le même que celui demandé. Est-ce normal. Et quand je clique sur mappage, il se produit une erreur.
Je ne m’inquiete pas trop car l’accès à distance fonctionne mais avant sur SFR, les ports sortants et entrants étaient les mêmes.
Si vous avez une réponse.
merci encore
David bonjour,
regardez / relisez bien l’article (ou les articles), des réponses y figurent.
Les informations communiquées de me permette pas de répondre ici.
Avec une livebox pro vous avez la possibilité de solliciter le support Orange …
Si vous n’êtes pas compétent préférez faire appel à un spécialiste … ca sera rapide et il jettera un oeil sur la sécurté de l’installation.
Sébastien
Bonsoir sébastien,
Merci pour votre réponse. Comme je vous l’ai écrit grâce à votre article, j’ai pu faire fonctionner l’accès à distance qui marche très bien.
c’était vraiment une question de curiosité concernant cette histoire de port sortant, qui même quand je le configure en 5001 se transforme en 51121 ou autre. Je vais continuer mes recherches.
bonne soirée
Bonsoir,
effectivement relisez bien. La réponse n’est pas loin.
Depuis la box, vous ouvrez une porte externe (une porte d’entrée) qui permet d’accéder au réseau (donc au parc de machine) et virtuellement à une pièce (ici le NAS) avec un port (une porte interne).
nota : en effet la connaissance d’une simple adresse IP (adresse postale) pour arriver à un lieux physique ne suffit pas à déterminer dans quel service je vais devoir me rendre (la intervient la notion de port qui permet de spécifier sur quelle machine je me rends et donc quel service).
La notion de port interne et port externe est donc introduite.
De fait, vous pouvez configurer ensuite votre équipement (avec la NAT, translation d’adresse), afin que depuis l’extérieur (par ex. le port 95001),
vous accédez à 192.168.1.NAS sur le port 5001 (port interne).
En résumé, tout ceux qui passent par la porte 95001 se rendent automatiquement dans la pièce “NAS” qui se trouve à la porte 5001.
N’activez pas les outils automatiques … préférez une configuration manuelle ! C’est la clé !
Sébastien
c’est là qu’on voit les passionnés…merci beaucoup pour ces infos
Bonjour,
Merci pour le tuto. Il est très clair. Mais j’ai quand même un problème:
J’aurais voulu utiliser le service Synology.me, mais impossible. A chaque fois que je rentre un nom d’hôte et que je fais un test de connection, il me marque “Ce nom d’hôte est déjà en cours d’utilisation”! Et cela même si j’inscris n’importe quoi!
Je ne comprends rien… Avez-vous une petite idée?
Merci et salutations
Bonjour,
que dit le support de Synology ? Cet espace n’a pas pour vocation de le remplacer.
Ce type de problème peut provenir de beaucoup de paramètres … je ne me souviens pas de l’avoir rencontré !
Regardez du côté du routeur (box) et le filtrage / NAT …
Sinon changez de service DynDNS ET connectez vous à l’adresse IP de la connexion internet …
Vous devez vérifiez à minima les maillons de la chaine fonctionnels avant de faire appel à une aide !
Sébastien
Bonjour
Il s’avère que je suis un technicien réseau à la retraite, et que bien-sûr j’ai tout vérifié. J’ai installé des centaines de serveurs en Linux et UNIX, mais je n’ai jamais rencontré ce problème. Comme je ne connais pas le synology, c’est pourquoi je me suis permis de vous poser la question. Excusez-moi de vous avoir dérangé.
Claude
Bonjour Claude,
vous ne dérangez personne, et n’avez pas à vous excuser.
Il est dans votre intérêt de vous adresser aux intéressés, ici je ne pourrai vous venir en aide !
Voyez également sur Nas forum …
Par ailleurs, l’OS des Synology (DSM) est une distribution Linux OpenSource (GPL) …
Donc je pense que vous retrouverez vos petits via le shell (si le pb vient de DSM, attention ça annule la garantie) …
Sébastien
Bonjour Sébastien
Après avoir repris le synology depuis le début, il a enfin accepté le xxxx.synology.me. Le seul problème qui se pose, c’est que lorsque je rentre l’adresse xxxx.synology.me, j’accède à l’interface de ma livebox ! Donc, problème de routeur pour le réseau local, mal configuré
Désolé, je suis passé à côté.
Claude
Reste plus que la NAT et c’est terminé 😉
Bonjour,
J’ai installé WordPress sur mon NAS Synology. Je dois ouvrir le port 80 sur mon routeur et le diriger sur le port 80 de mon NAS pour avoir accés à WordPress, PhpMyAdmin, WebStation… Cependant lorsque je tape dans mon explorateur http://mon_adresse_ip/wordpress, j’arrive sur la page de configuration de WordPress (même sans être passé par la page d’authentification du NAS sur le port 5001). Cela est donc réellement dangereux selon moi… Comment faire pour sécuriser cette connexion? Par authentification par exemple?
Merci d’avance pour votre réponse,
Ludovic
Bonjour,
Une connexion depuis l’extérieur sur IP:80 arrive sur le serveur web (wordpress).
La configuration que vous avez mis en oeuvre a pour objectif ce résultat. Rien d’incohérent !
Le port 5001 est le port d’admin par défaut du NAS. Il n’y a pas lien entre authentification sur le nas et authentification accès backoffice wordpress.
C’est l’admin de wordpress (en https) qui va vous identifier / protéger.
C’est mieux en VPN si besoin. Je ne vois vraiment rien de problématique.
Sébastien.
Bonjour
Je suis sur Mac… j’utilise no-ip.org…. je connecte : caméras, NAS (Synology)….
Or, lorsque le NAS est connecté, et que j’interroge ma Livebox, je n’ai plus accès au tableau NAT/PAT, que je ne peux donc pas modifier.
Par contre, si je déconnecte le NAS, et que je relance la BOX, alors NAT/PAT ré-apparaît.
Puis-je avoir vos lumières, svp; pour y remédier ? car cela est bien gênant, je vous l’avoue.
Merci d’avance.
Jacbu
Bonjour,
Difficile d’en dire plus sans informations complémentaires … Les commentaires ici ne doivent concerner que l’article. De plus nous ne fournissons pas de support à travers le blog. Il est préférable d’utiliser un forum d’aide comme nas forum. Merci de votre compréhension.
—
Ceci dit, à mon avis, c’est un problème de livebox (d’ailleurs ces équipements ont très mauvaise presse auprès des pro.), de plus je ne vois pas de lien direct entre le NAS et la box, ça serait plus au niveau réseau …
Si vous pouvez vous enregistrer depuis l’interface d’admin de la box (log in)
et qu’il n’y a que la NAT qui ne s’affiche pas, c’est un problème de Livebox …
Essayez depuis un autre ordinateur, un autre navigateur internet, en filaire et/ou sans fil,
vérifiez les réglages DNS de l’ordinateur et ceux de la box.
Faites les essais un à un.
Sébastien
J’ai un abonnement 4G / SFR / 40 Go / Mois et je voudrais y connecter mon Synoloy DS214Play en RJ45 via (à l’étude) le “D-Link DWR-921/E routeur mobile wifi 4G”. Compte tenu de la fréquence je crois importante du changement des adresses IP affectées par SFR mobile via le 4G, penses-tu que l’utilisation des services du Centre MyDS (MyDS Center) de Synology est viable et compatible avec la fréquence présumée élevée du changement d’adresse IP ?
Est-ce que tu préconises qqchose d’autre ( simple / je ne suis pas tres técom-compétent )
Que penses-tu du D-Link DWR-921/E routeur mobile wifi 4G pour cette tache ?
Merci de tes conseils précieux
Albert
Bonjour.
question hors sujet avec l’article.
Nous ne fournissons pas ce niveau de support depuis les commentaires.
Ça peut marcher … après la QoS ? Y’a qu’en testant … et puis tout dépend du contexte (nbre utilisateur, services utilisés etc …).
Sébastien
Merci Sebastien pour ces quelques info, .
Il s’agit + d’echange d’expériences que de demande de support en fait. L’utilisation de IP / 4G se développe compte tenu de ses performances/cout et il est intéressant de tester et de connaitre ce qui ressort des expériences ici et la.
Cordalement,
Albert
@ Albert : échange d’expériences ou demande de support, c’est la même chose quand la relation est unidirectionnelle … Vous comprenez qu’il ne nous est pas possible de le faire sans un retour sur investissement.
Au sujet de la 4G, ces informations font notre valeur ajoutée en clientèle face à la concurrence !
Concernant les offres 4G, si vous cherchez un peu sur le net, il existe aujourd’hui des offres avec IP fixe (soit avec débit faible en illimité, soit débit 4G mais limité en consommation) …
Par ailleurs, les informations publiques partagées (il existe une partie privée) sur le site sont connues et maitrisées par la profession …
Nous nous en servons comme base de connaissance, pour nous faire reconnaitre aux yeux de Google (référencement), et acquérir expérience dans la rédaction d’articles / positionnement sur niche.
EDIT 09/01/2016 : @
Albert, j’ai modéré le message suivant … si vous avez besoin d’échanger, utiliser plutôt les forum adéquat.
Les commentaires de cet article doivent rester en relation avec ce dernier merci.
Sébastien
[…] concernant l’accès à distance à un NAS a particulièrement retenu l’attention des lecteurs alors que celui-ci commence à […]
Bonjour et merci pour vos explications.
Derrière un VPN les choses se compliquent pour accéder de l’extérieur, avez-vous une piste ou idée ?
merci.
Bonjour,
Pouvez vous être plus précise ?
Sébastien
Bonjour,
Merci pour ce tuto toujours bien utile…
J’ai un soucis pour joindre un de mes NAS :
j’ai un domaine : exemple.fr
j’ai un sous-domaine : nas.exemple.fr
J’ai un autre sous-domaine : backup.exemple.fr
Mon but : faire une sauvegarde de mon NAS sur mon autre NAS situé à ….backup.exemple.fr
j’ai des redirections dans ma zone DNS vers les IP appropriées, j’ai des regles NAT en place MAIS:
impossible de joindre avec mon PC (en LAN avec le NAS pointé par nas.exemple.fr (info utile ???)) mon NAS distant backup.exemple.fr alors que j’y arrive en 4G avec mon téléphone….
Je ne comprend vraiment pas pourquoi…. est-ce une suptilité dans la gestion de zone DNS ??
Merci de votre aide.
Thomas
Bonjour,
Difficile de répondre avec si peu d’informations … et je ne fournis pas ce niveau de support par commentaires interposés …
Regardez chaque maillon de la chaine, regardez si chaque maillon fait son boulot …
– Quelques mots clés / pistes :
routeur / DNS / NAT / ports / parefeu entrant et sortant /
Si adresse statique pourquoi utiliser des NDD ?
Si sous NDD, qui fait correspondre IP et NDD ? Si ip dynamique, faut un Dynamic DNS …
Pour le service de backup y’a des ports particuliers …
Pourquoi ne pas créer un VPN ? en utilisant VLAN etc …
Sébastien
bonjour
après plusieurs jours de recherche et de test je viens de voir que sur ma Freebox dans redirection des ports
j’avais mis acces à distance à Freebox OS le port 80 donc a chaque fois que je souhaitais accéder à mon WordPress cela ne marchait pas.*
j’ai modifié le port en 81 pour accès à ma Freebox et la magique tous fonctionne
Bonjour,
Éviter de mettre vos syno sur les ports standard comme le port 80, 443, 5000, 5001… pour la simple et bonne raison que les hackers utilise beaucoup ces ports.
de plus si vous voulez une sécurité total, utiliser un certificat authentifier gratuit -> site : startssl
PS : bonne explication de l’accès à distance 🙂
@ Rom’s :
c’est plus ou moins implicite dans l’article … mais ce n’est pas son objet initial, cela représente trop d’informations.
Par ailleurs il est préférable de conserver les ports par défaut sur le NAS et de changer uniquement la redirection (NAT) au niveau du routeur pour accès extérieur.
Pour ce qui est de la sécurité totale … le certificat n’est pas suffisant.
Il est préférable d”utiliser un accès VPN, et de bloquer l’accès à distance au NAS,
de fait seules les IP connues et local (voire même autorisées) pourront y accéder.
+ la double authentification, ça sera suffisant !
Sébastien
Bonjour,
Merci pour ce tuto très pédagogique, ça m’a permis de confirmer les manips que j’avais pu faire.
Malheureusement je ne parviens toujours pas à accéder à mon nas (ds214play) à distance, c’est-à-dire via la 3G de mon mobile.
En wifi par contre aucun problème.
Je suis moi aussi avec une Freebox revolution, j’ai ouvert les ports 5000, 5001, 5005, 5006 et 80. Mon nas a bien une IP fixe et DDNS est activé.
Est-ce qu’il faut activer dans les paramètres freebox les DNS dynamique ? J’ai essayé mais il y a toujours une erreur d’authentification alors je l’ai laissé désactivé.
Et sinon si je passe par quickconnect, je n’ai accès qu’à photostation. J’ai pourtant bien activer le partage des autres dossiers !
Bref aucun accès à distance à mes fichiers ne fonctionnent (excepté les photos via quickconnect).
Je suis complètement perdu, si une bonne âme charitable pouvait m’aider !!! Merci d’avance…
Bonjour,
je lis “ouverture des ports sur la Freebox”, il manque donc la redirection des connexions sur ces ports vers l’adresse IP fixe du NAS.
Si vous utilisez quickconnect :
– aucune redirection de ports ne sera nécessaire,
– pour les dns idem, pas besoin quickconnect le gère.
Après tout dépend comment vous accèder au NAS et pour quels services.
– Vérifiez les droits de l’utilisateur qui se connecte à distance.
– Si les services désirés sont bien actifs.
Je ne sais pas plus vous aider … Voyez NAS-Forum si besoin, cet espace est plus adapté.
Sebastien
Effectivement ça marche. Ca faisait quelques heures que je cherchais sur le web la solution. Un grand merci.
https://monsite.synology.me:5001
Toutefois je souhaite faire arriver un intervenant extérieur sur la page wordpress/admin
en utilisant l’url : https://monsite.synology.me:5001/web/wordpress/admin
Et là pour le coup ça ne marche pas.
Les essais sont faits depuis un portable en 3G.
Merci d’avance si vous avez une solution.
Cordialement
Le port par défaut d’un serveur apache c’est 80 … donc ça peut pas marcher sur le 5001 !
https://monsite.synology.me/web/wordpress/admin
Donc déjà regardez du côté des redirections NAT du routeur et définir qui fait quoi sur quel port.
Il y a pas mal de condition pour que l’accès fonctionne … difficile de répondre et fournir par écrit toutes les conditions !
Essayez cet article du blog de Julien NICOLE.
Bonsoir,
Merci pour le retour, effectivement ça ne marche pas. J’arrivais juste sur la page admin du syno
avec ce lien. ça fonctionne – http://monsite.synology.me:80/wordpress/wp-admin/
Je fais un nouveau test avec – https://monsite.synology.me:443/wordpress/wp-admin/
Cordialement
Bruno,
préférez un port différent de ceux par défaut …
Le risque est l’attaque suite à faille sécurité, ou par force brute sur le serveur.
Donc protégez aussi le nas, avec le blocage d’IP auto.
Sebastien
Bonsoir,
J’ai lancé QuickConnect afin de configurer l’accès distant à mon NAS. Pour se faire, une adresse mail(sur lequel est envoyé le lien d’activation du compte MyDS) est demandé. Sauf que, j’ai mis une mauvaise adresse mail( un .fr au lieu de .com).
Résultat: je ne peux activer le lien et donc pas possible de configurer l’accès distant.
Comment réinitialiser cette adresse mail!??
Merci pour votre aide.
Bonjour,
soit contacter Synology, soit créer un autre compte (ca va plus vite).
Bonsoir et merci pour ça !
” L’adresse IP locale du NAS doit être fixe
Parce que si l’adresse est allouée dynamiquement par le routeur (DHCP), et qu’elle change, toutes les redirections tombent à l’eau ! ”
Des dizaines d’heures de recherches sur le/les forum syno n’avaient pas résolu mon pb…
Bonjour et bravo pour la clarté des explications,
J’ai suivi le tutoriel et ai réussi à configurer le NAT sur mon routeur situé après une livebox (configurée en DMZ). Tout fonctionne parfaitement.
J’ai suivi vos conseils et n’ai pas utilisé le port 5001 en externe.
Il est donc plus compliqué de m’attaquer que si j’avais “paresseusement” utilisé le 5001 (en externe).
Mais ce numéro de port n’est pas un mot de passe ni une couche de sécurité supplémentaire. N’importe qui peut essayer de dérouler les numéros de port un par un et d’arriver à la page de connexion au NAS.
Qu’en pensez-vous ?
Guillaume.
Bonjour,
Merci Guillaume pour ce retour !
Et oui, vous avez tout à fait raison, c’est une question pertinente !
Le changement de port permet d’éviter certains types d’attaques ET n’empêche pas d’accéder à l’interface de connexion (ie à la porte d’entrée de votre logement).
Ceci dit des personnes peuvent passer devant votre porte d’entrée et la trouver fermée … cela ne pose pas de pb !
Le pb serait plutôt quand on “insiste” pour rentrer …
Dans le cas du changement de port, l’intérêt est de cacher la porte le mieux possible, c’est tout !
Un attaquant (en général un programme) ne sait pas sur quelle machine / service il se connecte.
nota : si ce paramètre est prévu dans le programme, il saura si c’est un NAS Synology (sauf avec le filtrage d’IP et le VPN).
Ici, le port 5001 par défaut indique implicitement le service derrière (ce n’est pas une garantie pour autant, disons que oui dans 90% des cas) …
nota : même si une ruse consisterait à choisir les ports utilisés par d’autres services …
Par ailleurs, si quelqu’un se connecte sur l’interface DSM, il doit fournir identifiant et un mot de passe.
Vous pouvez améliorer la sécurité d’accès :
– changer l’identifiant par défaut,
– activer le blocage d’IP automatique après un certain nombre de tentative,
– activer la double authentification,
– faire un accès externe VPN,
– autoriser des IP externes spécifiques,
etc …
Bref, si vous mettez à jour DSM fréquemment, les risques restent faibles en passant par ce biais (ce chemin).
Mais il y a tellement d’autres portes d’entrées potentielles …
La sécurité d’un système d’information est très complexe (difficile d’en parler comme ça),
les problèmes se situent à tous les niveaux, et je suis très loin d’en maitriser ne serait ce qu’une partie …
De plus, je n’explique pas ici comment véritablement protéger l’accès …
il existe de multiples ressources sur ce site qui vous permettront d’y répondre (dixit les liens).
nota : j’ai mis à jour l’article …
Sébastien
J’ai eu la réponse en exécutant votre tutoriel sur la sécurité du NAS. Il “suffit” de forcer l’accès en HTTPS.
Merci et bravo encore.
Bonjour,
Bravo pour ce didacticiel très clair. On comprend ce que l’on fait à chaque étape et cela permet de valider. La notion de paramètre imposé et de paramètre libre est bien traitée. Merci.
Cependant je bute à la fin de la configuration.
J’ai créé un compte et une adresse DynDNS chez Noip. J’ai saisi les informations de cette adresse dans l’admin du NAS>>panneau de configuration>>Accès externe. Sur le site Noip j’ai vérifié l’adresse est bien mon adresse externe. Tout est OK.
Le Nat maintenant. J’ai aussi une liveBox.
J’ai saisi une ligne redirigeant le port entrant 5001 vers mon NAS (ip fixe) pour le protocole TCP avec le port 5001 (nota : dans votre copie d’écran c’est le port 58 ce qui est incohérent avec ce que vous décrivez).
J’ai modifié la configuration du pare-feu de la liveBox afin d’accepter les connections entrantes sur le port 5001.
Tout semble OK mais la connexion est impossible depuis l’extérieur.
Access denied
Par ailleurs, je n’ai pas bien compris cette histoire de certificat.
Merci pour votre aide.
Pour la capture c’est normal, je n’ai pas affiché/diffusé le port externe du NAS du client (sécurité oblige).
Et d’ailleurs, je précise justement “5001 ou autre” puisque je n’ai pas fait ce choix.
Aussi, je vous invite à ne pas utiliser le port 5001 par défaut puisque le NAS risque d’être attaqué sur ce port (c’est un numéro connu).
Dixit les dernières failles CVE exploitées ces derniers temps.
Sebastien
tout simplement merci, enfin un didacticiel abordable et joyeux. Beau travail
Ça fait plaisir d’entendre ce retour ET de prendre 20 secondes pour cela encore plus. J’apprécie, merci !
Sébastien
Je souhaite vous contactez par skype je n’arrive pas a configuré mon NAS svp skype: cyril4064
Bonjour,
Je ne sais pas fournir de support par skype … ces informations sont fournies en l’état, et chaque lecteur doit composer avec (ou rebondir vers d’autres articles sur internet).
Si toutefois vous souhaitez être accompagné, cela se fera dans le cadre d’un contrat (devis) avec la SARL AEM.
Bonjour,
Tout d’abord un grand merci pour vos explications qui s’adaptent au commun des mortels!!!
Et oui, pour les novices (comme moi) en matière de réseau, protocole de communication, Nas,… le langage, les termes techniques sont souvent très difficiles (et les explications souvent déconcertantes!!!).
Bref, vos explications pour configurer l’accès distant avec mon NAS, m’ont permis de comprendre la logique de dialogue entre le Nas, le routeur et les périphériques.
J’ai donc créer une adresse synology.me mais par contre, il m’est impossible d’y accéder via mon smartphone (???)
Ma LiveBox est configurée sur le port 5001, l’adresse synology est active mais je n’y ai pas accès…
Pourriez-vous m’aider sur le diag ?
Petite remarque: Dans le dernier chapitre “Voila, c’est terminé !”, vous dites qu’il suffit de rentrer l’adresse https://monadresse.dyndns.me:port_utilisé MAIS n’est-ce pas https://monadresse.synology.me:port_utilisé ?
C’est difficile de vous accompagner comme cela, il y a trop de paramètres à prendre en compte et cela prendrait des heures par mail ou même téléphone.
La zone “commentaires” n’est pas plus adaptée …
Ceci dit, quelques pistes :
– la translation (NAT) sur le port 5001 doit être vers l’adresse IP du NAS,
– l’accès depuis smartphone doit se faire depuis le réseau internet 3G (ou connexion externe), pas depuis le wifi local.
– attention le certificat de sécurité doit être accepté,
– essayer accès local, puis avec l’adresse IP publique, puis avec NDD (nom de domaine),
– essayer avec d’autres navigateurs et terminaux,
– utiliser le site CanYouSeeMe.org pour confirmer l’ouverture du port,
Sur la manière de procéder … c’est une chaine avec plusieurs maillons. Contrôler chaque maillon permettra d’identifier l’origine du dysfonctionnement.
Au sujet de la dernière remarque, non. Il existe d’autres fournisseurs DDNS comme DynDNS, No-IP, Synology.me etc …
Effectivement, cela ne suit pas la logique développée dans l’article … je corrige (entraine confusion) !
Sebastien