Synology : Accès depuis Internet (DSM 5 – DSM 6)

Synology : Accès depuis Internet (DSM 5 - DSM 6)
Synology : Accès depuis Internet.
L’objectif de ce billet est configurer votre NAS Synology pour y avoir accès depuis internet, en HTTPS uniquement. Bien pratique lorsque l’on est au boulot derrière des proxys nous bloquant tous les ports ! Bien qu’avoir aperçu de nombreux billets et discussions sur des forums sur le sujet, la démarche à suivre pour avoir un accès via Internet n’est pas des plus clairvoyantes, surtout lorsque l’on souhaite une connexion sécurisée.

Cet article a été écrit pour DSM 5 mais est maintenant à jour pour DSM 6 (uniquement avec Nginx). Au final, nous pourrons accéder à l’administration du NAS via l’URL https://admin.thorpora.fr pour l’exemple.

Synology : Accès depuis Internet

Pour modifier les ports d’administration de votre NAS il suffit normalement de se rendre dans le Panneau de configuration > Réseau > Paramètre de DSM. Ceci dit, vous constaterez qu’il n’est pas possible de configurer ces ports sur 80 et 443 (ce qui est logique puisque cela engendrerait un conflit avec vos sites web). Il est néanmoins préférable de ne pas laisser les ports par défaut. Dans la suite de ce billet nous supposerons que les ports ont été modifiés à 40000 et 40001 respectivement pour le HTTP et HTTPS.

La suite nécessite des prérequis :

  • Vous avez votre propre nom de domaine, thorpora.fr pour l’exemple.
  • Vous avez créer un sous-domaine qui pointe également vers votre NAS, nous prendrons comme exemple admin.thorpora.fr
  • Vous avez mis en place le service ssh pour effectuer des configurations manuelles

L’objectif est d’accéder à l’administration de notre NAS grâce à un virtual host, le tout en https !

POUR DSM 5 Uniquement : Avant de continuer, je dois vous avertir que vous ouvrez une petite faille de sécurité, petite car il est question ici de sensibiliser vos utilisateurs à ne jamais se connecter avec une connexion non sécurisé. En effet, il est nécessaire de désactiver l’option de redirection automatique HTTP vers HTTPS car celle-ci engendre un conflit de configuration. Cela n’a guère d’incidence, le plus important étant de ne jamais accéder à votre NAS depuis internet sans connexion sécurisé ! Pour désactiver l’option de redirection : Panneau de configuration > Réseau > Paramètre de DSM et décochez la redirection automatique.

POUR DSM 6 : il n’y a pas ce problème, on peut conserver la redirection automatique HTTP vers HTTPS tout ayant en parallèle notre vhost.

Création d’un dossier partagé

Cette partie est optionnelle, vous pouvez directement créer vos vhosts dans le répertoire /etc/nginx/sites-enabled. Personnellement, j’ai opté pour la création d’un répertoire partagé etc qui rassemble beaucoup de configurations du système, notamment les virtual hosts. L’idée est simplement de se prémunir d’éventuels changements de config de Syno et le cas échéant de simplement mettre à jour des liens symboliques.

Si vous n’êtes pas à l’aise avec l’éditeur en mode console (vi), cette configuration vous permettra d’éditer vos fichiers directement via votre poste personnel avec l’éditeur de texte de votre choix 🙂

La création d’un répertoire partagé ce fait depuis l’IHM : Panneau de configuration > Dossier partagé > créé (droits r/w admin).

Une fois cela fait, vous pouvez créer vos répertoires et fichiers (sudo -i pour passer root) :

$whoami
root
$mkdir /volume1/etc/vhost
$touch /volume1/etc/vhost/admin.thorpora.conf
$cd /etc/nginx/sites-enabled
$ln -s /volume1/etc/vhost/admin.thorpora.conf
$ls -l
admin.thorpora.conf -> /volume1/etc/vhost/admin.thorpora.conf

Voila, notre vhost est créé et sera automatiquement chargé par Nginx, il ne reste plus qu’à le metter à jour !

Configuration du virtual host (DSM 6 avec Nginx)

Précédemment dans cet article je préconisais de modifier le fichier des vhosts gérés par Synology : /etc/nginx/app.d/server.webstation-vhost.conf. En réalité ce n’est pas une bonne pratique puisque Synology est susceptible de régénérer ce fichier et même sans aucune action humaine ! La solution est donc de ne plus utiliser ce fichier mais simplement d’ajouter un vhost dans le répertoire initialement fait pour cela : /etc/nginx/sites-enabled.

Mise à jour du vhost /volume1/etc/vhost/admin.thorpora.conf :

La configuration SSL requise par notre vhost (actif uniquement pour l’HTTPS) est héritée par celle déjà existante dans le fichier de configuration principal : /etc/nginx/nginx.conf. Si vous disposez de vos propres certificats vous pouvez mettre à jour les deux lignes commentées. Cet autre article explique comment générer ces fichiers. Autrement, vous aurez simplement l’alerte classique de sécurité du navigateur, ce qui n’est pas bien grave pour ce cas d’utilisation.

Un rechargement de Nginx est nécessaire : nginx -s reload

C’est terminé ! Vous devriez désormais avoir accès depuis Internet à votre NAS avec les urls suivantes (et uniquement celles-ci) :

  • https://admin.thorpora.fr
  • https://thorpora.fr:40001

Configuration du virtual host (DSM 5 avec Apache)

Cette section a été écrite pour DSM 5, je ne garantie pas qu’elle soit correcte avec un système DSM 6 + Apache.

Connecter vous à votre NAS via un terminal SSH. Pour les utilisateurs Windows, un simple client Putty suffit.

Le répertoire racine de configuration d’Apache est /etc/httpd. Avec la dernière version de DSM, tous les modules nécessaires sont déjà présents (/etc/httpd/conf/httpd.conf).

Le répertoire de configuration des utilisateurs  /etc/httpd/sites-enabled-user  est celui qui nous intéresse. Par principe, pensez à effectuer un backup des fichiers de configuration que vous modifiez 😉 Notre but étant de garantir un accès sécurisé à travers Internet, nous n’allons configurer qu’un seul virtual host, sur le port 443. Pour cela il faut modifier (avec vi par exemple) le fichier httpd-ssl-vhost.conf-user, vide par défaut.

Les lignes de configuration correspondant au certificat ne sont pas nécessaires mais doivent être mises à jour si vous avez un autre certificat que celui fournit par défaut par votre NAS.

Dernière étape, redémarrer votre serveur Apache : httpd -k restart.

Vous devriez désormais avoir accès depuis Internet à votre NAS avec les urls suivantes :

  • https://admin.thorpora.fr
  • https://thorpora.fr:40001
  • http://thorpora.fr:40000

Enjoy 🙂

Synology : Accès depuis Internet

2 réponses

  1. Scorpdragon dit :

    Bonjour
    J’ai trouvé ce tuto très instructif.J’ai juste une question si je met en place Nextcloud avec accès https dois je crée un fichier dans le dossier vhost et générer un certificat.

  2. Salut,
    Intuitivement j’aurais envie de répondre que oui (vhost qu’il vaut mieux gérer soi-même ainsi qu’un certificat à générer avec Let’s Encrypt). Ceci dit je n’ai jamais utilisé Nextcloud donc je ne sais pas quelle est la meilleure façon de le configurer 🙂 Il y aura aussi une différence si tu utilises Docker ou pas mais globalement c’est toujours le même principe !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *