Si vous utilisez plusieurs applications sur votre NAS et que vous souhaitez pouvoir y accéder depuis internet, en toute sécurité, ce tutoriel est fait pour vous. Nous ne reviendrons pas ici sur la création et l’utilisation d’un nom de domaine ni sur l’emploi d’un certificat Let’s Encrypt pour utiliser le HTTPS. Ces deux sujets ont fait l’objet de plusieurs articles ici sur Cachem et sur le Forum des NAS.
Domaine, sous-domaine, Reverse-Proxy et https
Si ces notions vous sont étrangères, rassurez-vous, nous allons prendre le temps de les aborder tranquillement et si vous avez une question ou un doute… laisser un commentaire, nous serons ravis de vous aider.
Définitions
Les puristes m’excuseront, il ne s’agit pas de définitions officielles, mais cela doit-être accessible aux plus grands nombres.
Équipement
Matériel réseau pouvant être relié directement au réseau local (LAN). Cet équipement possède donc une adresse IP : PC, NAS, Box TV (u compris Apple TV et Nvidia Shield), Raspberry Pi…
Services / Applications
Applications pouvant être installées sur plusieurs équipements : Serveur Plex, Nextcloud, Bitwarden…
Application propriétaire
File station (application Synology permettant l’accès aux dossiers/fichiers hébergé sur le NAS), QuMagie…
Docker
Docker pouvant être assimilé à une application hébergeant plusieurs services (Docker pour les Nuls) accessibles via Internet et possèdent un port réseau bien défini…
Sous-domaine
Avec un NAS, au fil du temps, nous installons des applications. Afin de les utiliser applications, nous allons utiliser un sous-domaine. Vous possédez un nom de domaine : xxxx.synology.me. J’installe Plex Server depuis le Centre de paquets. Je peux créer un sous-domaine : plex.xxx.synology.me. Idem avec File station (file.xxx.synology.me), le but étant de pouvoir partager des fichiers avec des membres de la famille et amis, sans ouvrir l’interface d’administration DSM via un navigateur. Même chose avec Docker, par exemple pour Bitwarden, j’ai créé un sous-domaine : mdp.xxx.synology.me
Dans tous les cas nous arrivons sur une page d’accueil et il faudra donc s’authentifier. Il sera nécessaire de créer au préalable un utilisateur et lui donner les droits d’accès correspondant…. et bien sûr l’URL type : https://mdp.xxx.synology.me.
Reverse Proxy
Application installée sur un équipement (ici un NAS ) dont le but est de rediriger les requêtes venues de l’extérieur (internet) vers l’application dédiée. C’est donc le Reverse proxy qui va rediriger le sous-domaine sur une application ou un service. Nous pouvons multiplier les exemples, la limite est celle de votre imagination. L’utilisateur arrivera sur la page d’accueil suivante :
Pour Bitwarden via Docker : mdp.xxx .synology.me
Pour File Station : file.xxx.synology.me
Avantage : tout passe par le sous-domaine. Plus besoin de se souvenir du port réseau et de faire les redirections de port sur la box opérateur. Dans mon cas, seuls les ports 443 (HTTPS) et 5001 (DSM ; File station ; photo station) sont redirigés depuis la box vers le NAS. Si vous avez plusieurs sous-domaines, je vous recommande de faire un petit tableau avec les services, les ports et les adresses IP. Sinon vous risquez , comme moi, de les oublier et lors d’ajouts et modifications. Mieux vaut connaître tous les ports utilisés et l’IP desservi. DSM de Synology intègre nativement un Reverse Proxy, idem avec ADM pour Asustor. Qnap n’a pas de Reverse Proxy intégré dans QTS, il faudra passer par un service tiers .
Les explications suivantes seront basées sur DSM, mais je pense qu’elles sont transposables chez Asustor
Synology et Reverse Proxy
Comme indiqué précédemment, DSM intègre nativement un Reverse Proxy (Panneau de configuration / Portail des applications).
Aujourd’hui, nous allons créer un sous-domaine pour Bitwarden avec Docker (onglet Proxy inversé / bouton Créer).
Il suffit de valider avec OK et notre sous-domaine est créé. Plutôt simple ! Attention à bien vérifier dans destination / Port que le port indiqué est bien celui de Bitwarden.
Remarques : Pour toutes les applications hébergées sur le NAS sur lequel est configuré le Reverse-Proxy. Dans destination , le nom d’hôte sera invariablement : localhost. Si je veux rediriger vers un autre équipement du réseau il faudra indiquer son IP LAN : 192.168.xyz.xyz.
Pour File station et les services internes de Synology, il va falloir définir le nom de sous-domaine dans : Portail des Applications / Application puis modifier après d’avoir sélectionné une application.
En validant par OK le nom de sous-domaine est créé, il n’y a rien d’autre à configurer.
Sous-domaines et HTTPS
Comme moi, vous utilisez déjà une connexion sécurisée pour accéder à votre NAS. Comme des grands(es), vous avez installé un certificat Let’S Encrypt valide avec votre nom de domaine. Quid des sous-domaines ? Let’s Encrypt gratuit et renouvelable automatiquement accepte les sous-domaines. Il me semble que le nombre de sous-domaines pouvant être géré n’est pas illimité, mais cela conviendra au plus grand nombre. Il est inutile de supprimer le certificat existant, nous allons le remplacer manuellement et son renouvellement sera automatique sous domaine compris. Magique !
Rendez-vous dans : Panneau de configuration / Sécurité / Certificat. Le certificat valide doit apparaître, cliquer sur Ajouter puis sélectionner l’option Remplacer un certificat existant.
En cliquant sur suivant, vous devez avoir cet écran :
Cliquez sur le bouton Suivant
Nom de domaine : Vous inscrivez votre nom de domaine : xxx.synology.me.
Courrier électronique : en cliquant sur la petite flèche de droite, vous devez retrouver l’adresse électronique utilisée par le précédent certificat.
Autre nom de l’objet : c’est à cet endroit que l’on inscrira les sous-domaines séparés par des virgules : file.xxx.synology.me, mdp.xxx.synology.me…
Cliquez sur Appliquer et si je n’ai rien omis et sauf erreur : tout est OK.
Vous pouvez vérifier dans Panneau de configuration / Sécurité / Certificat que les sous-domaines apparaissent bien dans : autre nom de l’objet. Dérouler le certificat par défaut pour avoir accès à toutes les informations.
Conclusion
Les possibilités avec un sous-domaine / reverse Proxy sont nombreuses, impossible ici d’en faire l’inventaire. Le but est de montrer l’ utilité, la configuration et l’utilisation de ces outils.
À vous de jouer et d’innover !