Accueil
NAS & Stockage
NAS & Stockage
··14 Commentaires

Accès NAS à distance : comparatif des 5 meilleures solutions (VPN, DDNS, Cloudflare…)

Accéder à son NAS depuis l’extérieur n’a rien de compliqué… mais toutes les méthodes ne se valent pas. Certaines privilégient la simplicité, d’autres la sécurité ou les performances. Si vous possédez un NAS, vous vous êtes probablement déjà demandé quelles solutions existent et quelles sont leurs différences. Voici un rapide tour d’horizon, avec les bonnes pratiques à connaître 😉

acces nas distant - Accès NAS à distance : comparatif des 5 meilleures solutions (VPN, DDNS, Cloudflare…)

Accès à distance

Quand on possède un NAS, on devient vite exigeant en matière de sécurité. Pendant longtemps, il était strictement impossible d’accéder à mon NAS depuis l’extérieur. Et puis, les usages ont changé, les enfants ont grandi… nos besoins ne sont plus les mêmes.

La question n’est donc plus “faut-il y accéder ?” mais plutôt “comment le faire correctement ?”

Accès facile des constructeurs

Les fabricants de NAS proposent des solutions clés en main, très simples à configurer. Chacun propose son propre service de type Cloud Relay.

Service Accès
Synology QuickConnect quickconnect.to/mon-id
QNAP myQNAPcloud Link qlink.to/mon-id
ASUSTOR EZ-Connect mon-id.ezconnect.to
UGREEN UGREENlink ug.link/mon-id
TerraMaster TNAS.online tnas.online/mon-id

L’activation se fait généralement en un clic, sans configuration réseau ni redirection de port. Ces services fonctionnent via un serveur relais hébergé par le fabricant. Cela signifie que vos données transitent par une infrastructure tierce. Même si elles sont chiffrées, cela implique une dépendance à l’écosystème du fabricant… et des performances souvent en retrait.

Sa simplicité extrême pousse de nombreux utilisateurs à l’activer sans en mesurer les implications, d’autant que certains fabricants la proposent dès le premier démarrage. C’est tellement simple que personnellement, je trouve cela dangereux.

DDNS

Le DDNS (Dynamic DNS) permet d’associer une adresse IP publique (celle de votre Box qui change régulièrement) à un nom de domaine fixe.  Vous pouvez acheter un domaine (.fr, .com, .eu…) pour quelques euros par an chez un registrar comme OVH ou Cloudflare, ou opter pour un sous-domaine gratuit via des services tiers tels que ChangeIP, FreeDNS, ou ceux proposés directement par les fabricants de NAS. Dans ce dernier cas, vous n’aurez pas la maîtrise totale du nom de domaine.

Cette méthode nécessite une redirection de port sur votre routeur. Il est également possible d’intégrer un reverse proxy (directement sur le NAS ou sur un autre équipement) pour gérer proprement un domaine et ses sous-domaines avec HTTPS.

VPN auto-hébergé

Héberger son propre serveur VPN est la solution offrant le meilleur rapport sécurité/contrôle. Le VPN constitue une porte d’entrée chiffrée vers votre réseau domestique. Pour accéder au NAS, vous devez d’abord vous authentifier via ce tunnel sécurisé… vous êtes connectés ensuite comme si vous étiez en local.

Le serveur VPN peut être installé sur :

  • Votre Box ou routeur ;
  • Un appareil dédié comme un Raspberry Pi ;
  • Le NAS lui-même.

Je recommande WireGuard, qui combine une sécurité élevée avec d’excellentes performances, notamment en mobilité. C’est la solution que je privilégie personnellement. La contrepartie, c’est que sa configuration est plus technique que les autres méthodes. Elle nécessite également une redirection d’un port sur votre Box.

VPN hybride (mesh VPN)

Des solutions comme Tailscale proposent une approche simplifiée du VPN. Il suffit d’installer l’application sur le NAS et sur vos appareils, puis de se connecter avec un compte. La mise en relation entre les appareils est gérée automatiquement, sans configuration réseau.

Ces outils sont bien sécurisés (chiffrement de bout en bout), mais les données transitent via les serveurs de l’éditeur pour l’établissement de la connexion. Les performances sont souvent inférieures à un VPN auto-hébergé. L’offre gratuite est souvent suffisante pour un usage personnel…

Cloudflare Tunnel

Cloudflare Tunnel permet d’exposer son NAS via un nom de domaine, sans ouvrir le moindre port sur votre box… et en bénéficiant de la protection applicative de Cloudflare (WAF, gestion des accès, authentification à deux facteurs…).

Le fonctionnement repose sur un agent installé sur le NAS (généralement via Docker), qui établit une connexion sortante vers les serveurs Cloudflare. C’est ce tunnel qui permet l’accès depuis l’extérieur, sans exposition directe de votre réseau. La limite principale reste la même que pour toute solution cloud : vous faites confiance à un tiers pour le transit de vos données.

Rappel de sécurité

Dès qu’un NAS est accessible depuis Internet, il devient une cible potentielle. Des robots scannent en permanence le Web à la recherche de services exposés et des failles exploitables.

Je vous recommande d’appliquer un minimum de règles de sécurité :

  • Activez le blocage automatique après plusieurs tentatives de connexion infructueuses ;
  • Désactivez les comptes par défaut (admin, guest) ;
  • Activez le pare-feu du NAS ;
  • Utilisez un mot de passe robuste (majuscules, minuscules, chiffres et caractères spéciaux) ;
  • Changez les ports par défaut ;
  • Forcez l’utilisation du HTTPS (redirection HTTP vers HTTPS) ;
  • Maintenez votre NAS à jour (système et applications) ;
  • Mettez en place des sauvegardes régulières…

Il faut respecter toutes ces règles, voire plus…

En synthèse

Accéder à son NAS à distance est aujourd’hui indispensable, mais cela ne doit pas se faire au détriment de la sécurité. Plus une solution est simple à activer, plus elle mérite d’être questionnée. Prenez le temps de comprendre vos besoins et privilégiez toujours une approche sécurisée, même si elle demande un peu plus d’effort à la mise en place.

Facilité Sécurité Contrôle Ouverture de port
Solution constructeur ⭐⭐⭐⭐⭐ ⭐⭐ Non
DDNS ⭐⭐⭐ ⭐⭐ ⭐⭐⭐⭐ Oui
VPN auto-hébergé ⭐⭐ ⭐⭐⭐⭐⭐ ⭐⭐⭐⭐⭐ Oui
VPN hybride ⭐⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐ Non
Cloudflare Tunnel ⭐⭐⭐ ⭐⭐⭐⭐ ⭐⭐⭐⭐⭐ Non
Étiquettes
CloudFlarevpn
Fx
Passionné de nouvelles technologies, je suis un touche-à-tout. Mon smartphone ne me quitte (presque) jamais. Je peux vous parler des NAS pendant des heures.
Similaire
edito - Edito du 22 avril
Précédent Edito du 22 avril
Chad Chiang Synology France - Interview Chad CHIANG, directeur général de Synology France...
Suivant Interview Chad CHIANG, directeur général de Synology France…

14 Commentaires

    1. Pour le matériel Ubiquiti / Unifi il existe également un Cloud Relais pour accéder à ton routeur de l’extérieur. Mais tu peux faire une redirection via le Reverse Proxy d’un NAS qui pointe vers l’IP_LAN de celui-ci ( par défaut : 192.168.1.1) et ainsi utiliser ton nom de domaine perso.

      Répondre

  2. A noter : Cloudflare tunnel a une limite d’upload (100MB en mode gratuit, 200 et 500MB en mode payant) donc cela peut poser des problèmes pour envoyer des fichiers volumineux.

    Répondre

    1. Attention, 100 Mo c’est la taille de la requête HTTP complète… Si tu envoies un fichier de 150 Mo en une seule requête : tu auras un souci. Mais si ton protocole upload par morceaux (chunked), qui envoie par exemple plusieurs requêtes HTTP de 50 Mo : ça passe. Tu as de nombreux outils qui le permettent comme Nextcloud 😉

      Répondre

  3. Excellent article qui mériterait d’être développé tant le sujet revient sur le Forum
    Avec un DDNS , nous ne sommes pas à l’abri d’une Panne chez le registar , et bien souvent, cela demande de gérer soi-même le certificat SSL .
     » Pendant longtemps, il était strictement impossible d’accéder à mon NAS depuis l’extérieur.  » A mes débuts sur les NAS en 2003 , avec un Synology DS 101 effectivement pas de QuickConnect , pas de DDNS maison ; mais on pouvait accéder au NAS avec un nom de domaine dyndns .

    Répondre

  4. Bonjour,
    Très bon article et comme l’indique @zypos, c’est un sujet qui revient souvent sur le Forum attenant à CACHEM.
    Pour ma part, étant assez peu maintenant en déplacement, je n’utilise quasiment pas ce type d’accès – ce qui ne m’empêche pas de tester occasionnellement ces dispositifs par curiosité.
    Utilisateur, en mode lab et sauvegarde, de ZimaOS, j’ai découvert le « protocole » / logiciel de réseau VPN : ZeroTier – pas d’ouverture de port, extrêmement simple d’utilisation et fonctionne à merveille (tout au moins sur son intégration à ZimaOS). Il est installable sur tout type de matériel (NAS commerciaux, Linux, Win etc). Ton article vient de me donner l’idée de le tester sur mon Debian en prod.
    Concernant Cloudflare, bien que ne l’ayant jamais tester en prod – tout en connaissant ses nombreux avantages (mise en cache des CMS, diffusion mondiale, gratuité en partie …) – je reste néanmoins très dubitatif quant à passer par un tiers – comme tu l’indiques à juste à propos dans cet article. N’oublions pas que c’est le nouveau GAFAM Californien des réseaux internet mondiaux. Si Google était fut un temps notre ami … La nouvelle politique de la Silicon Valley devrait inquiéter les auto-hébergeurs qui nous incitent sur leur blog respectif à utiliser ce service …
    En bref, encore merci pour cet article qui nous éclaire sur ce protocole (et plus particulièrement concernant les « Relay » des Nas constructeurs). Au delà de l’aspect pratique de ces Relay et du Quid de leur sécurité, il faut savoir aussi que ceux ci ralentissent considérablement le débit de transfert des données (tests réalisés sur mes ex-Syno).

    Répondre

    1. Je ne connais pas les détails de zerotier mais il faut partir du principe que n’importe quoi qui ne demande pas d’ouvrir de port s’appuie sur une plate-forme externe. Ça ne veut pas dire que TOUT le traffic va passer par la plateforme externe mais vue ta critique de Cloudflare, il me semblerait bon que tu te rendes compte de ça.

      Répondre

      1. @ Gerard Concernant ZeroTier, ce n’est pas vraiment un VPN au sens où tu navigues sur ton réseau à distance – la fonction est similaire aux Cloud Connect des Nas > d’appareil à appareil mais, sans passer par un relais intermédiaire – c’est en fait une sorte de Peer to Peer.
        Sur ZimaOS cette technologie est intégrée sans validation, ni relais externes.
        Pour l’utilisation de ZeroTier (Docker) sur un serveur avec OS classique, il faut simplement faire « approuver » les machines via le site avec un jeton et, par la suite, c’est du direct chiffré. Je fais simplement part d’une techno que j’ai découverte depuis peu.
        Perso, les rares fois que j’utilise un VPN, c’est WireGuard autohébergé pour avoir accès à l’ensemble de mon réseau.
        Concernant CloudFlare, je maintiens ma réflexion quant aux blogueurs qui promeuvent l’indépendance vis-à-vis des GAFAM et paradoxalement font l’apologie de CloudFlare.
        Si pour faire du SEO, le passage chez Google est quasi obligatoire (et bientôt sur les IA), pour diffuser des services web, en revanche, le passage par CloudFlare ne l’est pas …

        Répondre

        1. @morganyann
          Comme je ne crois pas aux miracles, j’ai regardé en détails. En fait zero tier utilise une technologie dite de UDP hole punching qui fonctionne avec les firewall classiques, pas trop stricts.
          Avec cette technique, et sans rentrer dans les détails, zero tier n’est PAS en relay des flux (c’est ce que tu indiquais) MAIS ils voient toutes les metadonnées: quel identifiant lié à quelle IP a communiqué avec quel identifiant lié à quelle IP à quelle heure.

          Répondre

  5. Tailscale peu-être auto-hebergé sur son NAS avec Headscale, implementation open source de Taislcale. Si on veut on peut rajouter une interface graphique (Headplane par exemple) mais ce n’est pas obligatoire.
    Enquite coté client c’est transparent, si ce n’est au premier login, ou lo’on doit pointer vers un serveur spécifique plutot que de se loger avec un compte tailscale.

    Répondre

    1. Complètement
      Le gros reproche que je fais à Synology c’est l’age canonique du kernel 4.4 (DS920 et RS1619). Synology est completement nul sur ce point, et c’est probleme pour les performances avec Tailscale et Wireguard.
      J’ai pris un mini PC N95 pour y loger Tailscale et Headscale. J’ai ainsi un réseau mesh sécurisé mais les performances de connexion avec les NAS Synologies ne sont pas bonnes. Il faudrait que le positionne un N95 devant chaque NAS pour assurer de bonnes performances.
      Cette configuration me permet d’accéder à tous les services docker que je ne veux pas exposer sur le web (gitlab…), mais qui restent accessibles aux équipes dès lors qu’ils sont connectés à Tailscale.
      Tout est open source, et un N95 ne coute presque rien

      Répondre

  6. Excellente présentation qui fait le point sur les offres du marché. Mais pourquoi ne pas utiliser un nom de domaine géré par un registar (OVH chez moi) ?

    Je n’utilise pas de wildcard mais des noms attribués pour chaque service ouvert sur le NAS, par exemple portainer.ndd.fr ou scrutiny.ndd.fr tous doublés d’un reverse-proxy. Auparavant DSM était ouvert sur l’extérieur via un nom de domaine personnalisé du type dsm.ndd.fr mais j’ai supprimé cette entrée. DSM n’est désormais accessible qu’en local ou via un VPN installé sur le NAS.

    Certains services gérés par un nom de domaine sont accessibles de l’extérieur, encore faut-il connaître ce nom de domaine puisque je n’utilise pas de wilcard. J’ai bien conscience que ce n’est pas une protection absolue d’où l’intérêt des sauvegardes que tu mentionnes en même temps que d’autres mesures de sécurité.

    Répondre

  7. L’option un VPN auto hébergé peut être très facile (5 étoiles) sur un routeur de grande marque. C’est mon cas avec mon ASUS qui génère un code QR que je scan avec l’application WireGuard VPN. Pour moi c’est la meilleure option!

    Répondre

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.