Accès a distance

[Yannbicou]

Bonjour,

Je suis nouveau dans la communauté TrueNas. Je suis donc assez novice, j’ai monté mon serveur NAS en DIY il y a peu et cherche à le configurer pour de l’accès a distance.

L’utilisation que je recherche est simplement de pouvoir accéder à mes différents répertoires (soit mes dossiers Famille, Utilisateur, Publique...) depuis d’autres appareils sous une autre connexion internet et même que différents utilisateurs (ajouter depuis l’interface root) puissent accéder à ses dossiers depuis leurs propres connexion.

J’ai cru voir qu’il y aurait pas mal de solutions... Visiblement possible via un VPN, mais aussi le plugin NextCloud, ainsi qu’avec la paire de clé SSH. J’ai tenté une connexion a distance via la clé SSH et le programme WinSCP, sans succès.

Si quelqu’un aurait une solution a privilégié par rapport à mon besoin, et qui pourrait m’accompagner dans la configuration, ou bien me documenter. N’ayant pas le savoir faire, j’ai besoin d’un guide !

Merci à tous par avance pour votre temps !

Yann


Plateforme: Générique

Version: TrueNAS-13.0-U3.1

 

[Pitfrr]

Bonjour,

Comme tu le dis, il y a plusieurs solutions, qui ont différents niveaux de complexité et offrent différents niveaux de sécurité.
De manière non exhaustive:

• Forward de port du routeur et exposition directe du service à internet
  • Alors c'est un exemple de solution facile à mettre en oeuvre d'un point de vue pratique mais extrêmement dangereuse d'un point de vue sécurité
  • Dans cette solution je mets: NextCloud ou accès SSH
    • Tu me diras éventuellement que l'accès NextCloud est protégé par mot de passe et que l'accès SSH se fait avec une clé valide... ok... oui... mais tu exposes un service (NextCloud ou SSH) direct en frontal à internet et il y a un risque qu'il se fasse attaquer et pas forcément de manière directe (donc sur le mot de passe) mais détournée en essayant d'exploiter d'autres failles (typiquement, dans le cas d'un mot de passe, le dépassement de chaîne de caractère).
• Proxy inverse (ou reverse proxy)
  • Je connais pas assez pour dire autre chose que d'aller voir l'article sur wikipedia! ;-D
  • De ce que j'en comprends, c'est une solution sûre d'accès à distance mais pour ma part, jamais mise en pratique donc je ne saurai dire sur sa complexité.
• VPN
  • Solution complexe à mettre en oeuvre je dirai mais la plus sécurisée
  • Deux approches possibles:
    • Un serveur VPN externe (bon, faut avoir confiance quoi... )
    • Un serveur VPN local (approche que je préconise)
  • TrueNAS intègre un serveur VPN (ainsi qu'un client), il peut donc être utiliser à cette fin
    • Pour la mise en place du serveur VPN, je te conseille de te documenter sur les sujets suivants:
      • Certificats (racine et client) de manière générale pour comprendre un peu le fonctionnement et plus particulièrement au niveau de TrueNAS
      • Configuration réseau: es-tu en IP fixe ou dynamique. Dans le cas d'une IP dynamique, le plus simple c'est de passer par un service de dynDNS pour pouvoir te connecter facilement depuis l'extérieur
      • Client VPN: relativement facile mais selon le client (windows/linux/android) la configuration peut être différente
    • Je n'ai pas de guide à te proposer ici car j'utilise le service client VPN de TrueNAS et non le service serveur! Mais en cherchant dans la partie anglophone, tu devrais trouver des infos je pense.

Visiblement possible via un VPN, mais aussi le plugin NextCloud

Pour moi, un accès VPN ou NextCloud n'est pas la même chose... Tu ne feras pas la même chose en fait.
Avec NextCloud, tu vas mettre à disposition ce qui est dans NextCloud seulement (ça peut être des fichiers, agenda, photos, ...) et avec un VPN tu auras accès à ton réseau local et après tu devras accéder aux ressources disponibles (partage de fichier ou pourquoi pas imprimante réseau... ).

Ensuite, selon les besoins, d'autres solutions peuvent aussi s'envisager (et offrir une mise en place beaucoup plus simple). Je pense notamment à Syncthing qui permet de faire le partage/synchronisation de fichiers entre plusieurs périphériques. Et la configuration est assez facile à ce niveau là.

Tu peux aussi faire cela par étapes: commencer avec Syncthing par exemple (même si éventuellement ça ne répond pas complètement à ton besoin) en attendant de monter en compétence sur la mise en place d'un VPN (et tu peux avoir une plateforme de test en parallèle avec des données non sensibles).

 

[Yannbicou]

Merci pour toutes ces infos ! Elles me donnent le champ des possibles... Après quelques recherche sur Syncthing, je constate que ce ne me sera pas utile... Synchronisation de fichier efficace sur les périphérique reliés en local, mais même problématique pour de l'accès à distance.

Je tenterais bien l'approche par VPN, même si plus compliqué, je suis prêt a écumer les crash-test.

Mon grand désarrois et que je n'arrive même pas à faire la connexion via paire de clé SSH ! J'ai conscience de la non sécurité de ce procéder comme tu l'énonces, mais ce serait déjà un bon début ! As tu déjà utiliser le SSH sur truenas ? Si oui de quel façon ?

J'ai vue aussi que la chose pouvait se faire très simplement avec le protocol Webdav, avec des exemples concrets sur Openmediavault. Tu en as déjà entendu parlé ?

Merci

 

[Pitfrr]

Synchronisation de fichier efficace sur les périphérique reliés en local, mais même problématique pour de l'accès à distance.

Alors je ne sais pas quelles sont tes sources, mais j'utilise Syncthing à distance et c'est justement là où je le trouve très intéressant.

Je reviens un peu plus tard sur le reste de tes points....

 

[Pitfrr]

As tu déjà utiliser le SSH sur truenas ? Si oui de quel façon ?

J'utilise souvent l'accès SSH lorsque je fais de la maintenance. Toutefois je ne l'ai pas exposé à internet, donc c'est que depuis le réseau local.
Et pour cela, c'est assez simple: activer le service SSH, activer le login root avec mot de passe et en gros c'est tout. Ensuite depuis un PC client, utiliser PuTTY (sous windows, sinon depuis la ligne de commande dans linux) pour l'accès SSH.
On peut compliquer un peu les choses en désactivant le mot de passe et en utilisant une clé SSH (qu'il faut alors générer) qu'on configurera dans PuTTY ensuite.

J'ai vue aussi que la chose pouvait se faire très simplement avec le protocol Webdav

Alors pas vraiment... Je viens de regarder, bon ça à l'air de marcher, mais je ne sais pas trop d'un point de vue sécurité ce que ça donne...

D'un point de vue pratique, c'est pour ça que je trouve une solution comme Syncthing intéressante c'est que d'un point de vue configuration c'est limité et ça marche même à distance.
Dès que tu vas vouloir te lancer dans une autre solution, cela va impliquer des redirection de ports et ça demande de connaître un peu plus.
Je reste donc sur ma précédente proposition: regarde si tu arrives à mettre en place Syncthing et tu peux en parallèle monter tranquillement en compétence sur un autre mode d'accès.
Après pour commencer doucement, tu peux tenter WebDAV (avant de te lancer dans un VPN), c'est un bon début pour apprendre la redirection de ports et se mouiller un peu les doigts dans la configuration (WebDAV, dynDNS, ...). J'ai vu vite fait cette vidéo qui me semble couvrir l'essentiel (en anglais).

 

[Yannbicou]

Très bien merci beaucoup pour ton temps !!

En effet, après plus de recherche je vois que l'utilisation de Syncthing est tout aussi intéressante sur du "a distance". Mea Culpa... Je vais donc creuser ca ! J'ai commencer a voir pour maitriser le webdav (pour démarrer doucement).

Alors super je peux acceder a un index depuis mon navigateur en https, mais je bloque toujours sur le même problème : tout appareil échoue à se connecter à l'adresse local de mon NAS a partir du moment ou je suis en 4G ou depuis une autre box. Pourtant le port assigné a mon https est ouvert depuis ma livebox. Mais c'est comme si ma livebox empechait toute connexion depuis l'extérieur malgré cela.

N'y aurait t'il pas autre chose a faire que d'ouvrir le port concerné dans la livebox ? Ou alors dans l'ui admin de truenas ?

J'ai beau cherché je ne trouve pas ce qui déconne... Peut etre directement passé syncthing dans ce cas.

 

[Pitfrr]

N'y aurait t'il pas autre chose a faire que d'ouvrir le port concerné dans la livebox ?

Alors faut ouvrir le port et ensuite aussi le rediriger vers le serveur sur ton réseau local. Tu as fait ça?
Normalement côté TrueNAS tu n'as rien à faire (à part activer le service).

 

[Yannbicou]

Il me semble bien... Dans l'ordre de mes manip' j'ai :
1)- Activation du DHCP dans Reseau>Interface dans l'ui Truenas
2)-NAS déjà détecter comme équipement par la livebox, mais par précaution, ajout du NAS dans le Baux DHCP Statique (avec Ip et MAC)
3)-Activation du service WebDav dans TrueNas, et partage du répertoire souhaité.
4)- Ajout d'un NAT/PAT en Secure Web Server (Https), Port interne/externe identique a celui inscrit dans le service WebDav de Truenas (chiffre inventé)
5)- Reglage du parfeu de la livebox en securité faible pour la phase de test.

Sans succés lorsque que je mets l'ordi en 4G

Il manque quelque chose ?

 

[Yannbicou]

Bonjour,

Je relance le thread, je suis toujours en recherche de solution. Si quelqu'un est dans le coin :) @Pitfrr peut être ?

Bonne journée à tous

 

[Pitfrr]

Alors il serait un peu plus pratique de rajouter les adresses IP (locales) pour pouvoir suivre un peu.

1) et 2) Vaut mieux effectivement mettre le serveur en IP fixe comme ça y'a moins de risque qu'il change d'adresse.
3) ok, ça c'est dans TrueNAS, on est d'accord
4) Là c'est dans la box? Alors je comprends pas bien "Ajout d'un NAT/PAT en secure web server"
Normalement, tu devrais faire une redirection de port donc un truc du genre: tu sélectionnes le (ou les) port(s) et tu le(s) rediriges vers une adresse IP de ton réseau local (qui est ton serveur WebDav). Dans ce que tu décris, je suis pas sûr de comprendre ça... Et que vient faire le https dans cette histoire?
5) Faut aussi voir que le pare-feu laisse passer cette connexion bien entendu...

 

[Yannbicou]

@Pitfrr pour l'étape 4) :
L'ajout d'un NAT/PAT me semble être la redirection des ports, c'est ce que j'ai vue en tout cas sur différents forums. Pour ce qui est du Secure Web Server HTTPS, c'est ce qui est proposé dans les choix Service/Application. Etant donné que je fais le partage WebDav en Https, ca m'a parut logique de le mettre. Mais ce choix m'a l'air d'être en réalité plus un titre banal. Sois je choisis parmi les choix proposés (soit : FTP Server, FTP Data, Telnet, SSH, HTTPS, HTTP) soit je rentre mon propre nom.

Je te transmet par image a quoi l'onglet NAT/PAT ressemble sur l'ui de ma livebox, tel que je l'ai paramétré .

 

[Pitfrr]

D'accord, oui après les dénominations sont variables selon les modems donc c'est pas toujours évident, faut juste être sûr qu'on parle bien de la même chose.

Donc on est bien d'accord que ton serveur est à l'adresse 192.168.1.15.
Ok, si derrière le nom de l'application (ici Secure Web Server) y'a rien de particulier et que tu peux librement choisir le port et le protocole alors c'est bon. J'avais peur qu'avec ce choix d'application, il fige le port ou protocole utilisé. Mais ça ne semble pas le cas d'après ce que tu dis.

Hmmm ça me semble correct pourtant. J'ai rien qui me saute aux yeux comme ça...

 

[Yannbicou]

Bonsoir,

Décidement je ne comprends pas... C'est à devenir fou quand même !! Je rappel le problème : J'essaie d'ouvrir l'accès a mon NAS via le service Webdav. En activant le service dans truenas, en assignant un port et en ouvrant ce port sur l'exterieur je devrais pouvoir me connecter a une page index sur le web des répértoires que je décide de partager. Je pourrais aussi via des app comme RaiDrive permettre a d'autres ordinateurs sur d'autres routeurs de modifier ces répértoires. Mais ca ne marche PAS !!

J'ai modifié le NAT/PAT dans tous les sens. Plutot que TCP/UDP j'ai mis juste TCP, puis UDP. J'ai enlevé le Secure Web Serveur au cas ou pour un nom personnalisé. Rien

Dans l'ui Truenas, dans Service > WebDav > Configurer, on peut modifier le nombre du port assigner au protocole http et https (les deux ports sont différents). J'ai modifier la valeur du port dans TrueNas et est modifié en consequence le NAT/PAT dans l'ui de ma livebox. Rien. J'ai aussi essayé le traditionnel 8081. Mais rien....

J'ai essayer la connexion a distance directement via une autre box. Dans ma livebox je peux autoriser des adresses ip uniques a entré via le port choisis dans mon NAS. J'ai inscris l'ip de cette autre box, de laquelle un ami tentais la connexion a mon index webdav, dans cette section (fleche sur l'image). Mais rien...

On est d'accord que dans la section de ma livebox pour rediriger le port, le port interne et externe sont les mêmes ?? C'est a dire celui configurer dans le service WebDav de Truenas ?

Sinon je me demande si il n'y a pas des choses que j'ai configuré d'office dans mon truenas qui bloquerait l'accès. Je n'ai pas mille options dans l'ui de ma livebox, j'ai l'impression d'avoir tout épuisé... Sauf peut être ce qui joue sur le DHCP ? (Avant le DHCP était désactivé, ca ne marché pas, j'ai tenté de l'activé et de fixer l'adresse IP du NAS via la livebox comme vous pouvez le voir sur la photo, c'est ma config actuel et ca marche pas non plus ^^).

Toute aide est la bienvenue ! Je commence a désespérer... Sans abandonné ! Mais bon c'est dur...

 

[Pitfrr]

J'ai pas trop d'idées malheureusement...

dans la section de ma livebox pour rediriger le port, le port interne et externe sont les mêmes ?

Oui.
Alors normalement tu devrais pouvoir aussi assigner un port externe différent (si après tu le rediriges vers le bon port sur le serveur TrueNAS et si ta configuration "externe" permet d'utiliser un autre port). Ca peut-être une bonne idée d'un point de vue sécurité, de choisir un port complètement différent pour ce protocole que celui par défaut. Mais tu n'es pas encore là...

je me demande si il n'y a pas des choses que j'ai configuré d'office dans mon truenas qui bloquerait l'accès.

Là je sais pas, je connais pas WebDAV...

Sauf peut être ce qui joue sur le DHCP ?

Dans ce genre de situation (et pour utilisation de serveur sur un LAN), je désactiverai le DHCP pour ce dernier, car si jamais, pour une raison ou une autre, ta box décide d'un coup d'un seul de donner à ton serveur une autre IP, tes règles ne fonctionneront plus... Ok, ok, là elles ne fonctionnent pas de toute façon...


Je serai toi, je testerai avec un autre service (j'ai pas d'idée en tête... pas sûr que FTP soit une bonne idée par exemple... ou alors je le ferai depuis une jail) pour voir si tu as le même problème.
L'autre chose à laquelle je pense, c'est peut-être au niveau de ton FAI que le problème se pose? Je ne sais pas si c'est encore d'actualité mais j'avais cru voir (il y a longtemps de cela) que les FAI pouvaient parfois bloquer certains ports (et éventuellement ne pas autoriser le NAT (pas sûr de moi sur ce coup là et de toute façon comme tu peux le configurer dans ton modem, je ne pense pas que ce soit le cas).

 

[playzir]

Salut,

Si tu souhaites simplement pouvoir accéder a ton nas a distance voici comment j'ai fait (cela pourra peu-têtre t'aider je t'avoue que je n'ai pas lue tout le thread..)

Il faut déja que tu saches quel adresse IP utilise ton NAS
Ensuite tu te rends sur ta box orange et dans 'réseau' puis 'NAT/PAT' tu créer une nouvelle règle. (au lieu de 'FTP server' tu mets le nom que tu veux, puis sur le port interne tu mets le port natif de l'application que tu veux accéder depuis l'extérieur. Par exemple moi jellyfin c'est 8096 son port par défaut. Puis dans la 3eme case tu mets le port externe (tu choisis celui que tu veux, évite juste le 80,443..) En protocole si t'es pas sur tu mets TCP et UDP.. Ensuite dans la 5eme case tu mets l'équipement sur lequel tu veux accéder depuis l'extérieur.
Et puis pour finir tu détermines quelles IP publiques pourront accéder a ton application (pour tester autorise-les toutes mais filtre après par précautions.
Une fois que ta règle est créer rends toi sur mon-ip.com pour connaitre ton IP publique. Ensuite tu te rends sur ton naivgateur WEB, dans l'url tu mets "ton IP publique" ":"port externe que tu as choisis". Ce qui donne par exemple: 90.90.182.91:9696.

Je précise que la y'a pas grand chose de sécurisé…

Je te joins en PJ une capture de mes règles, j'espère que j'aurai pus t'aider

edit: Je t'ai fait le tuto pour accéder a l'interface Web de truenas par exemple, WebDAV est un service, il faut donc qu'il soit activé sur truenas, puis après tu autorise les bons ports associé au webdav de la même manière que j'ai expliqué plus tot

 

[Yannbicou]

L'autre chose à laquelle je pense, c'est peut-être au niveau de ton FAI que le problème se pose? Je ne sais pas si c'est encore d'actualité mais j'avais cru voir (il y a longtemps de cela) que les FAI pouvaient parfois bloquer certains ports (et éventuellement ne pas autoriser le NAT (pas sûr de moi sur ce coup là et de toute façon comme tu peux le configurer dans ton modem, je ne pense pas que ce soit le cas).

Possible... Ayant toujours eu une installation reseau très simpliste, le FAI a peut etre désactiver/bloquer certaines choses je vais vérifier ca !

 

[Yannbicou]

(au lieu de 'FTP server' tu mets le nom que tu veux, puis sur le port interne tu mets le port natif de l'application que tu veux accéder depuis l'extérieur. Par exemple moi jellyfin c'est 8096 son port par défaut. Puis dans la 3eme case tu mets le port externe (tu choisis celui que tu veux, évite juste le 80,443..)

J'ai deux petites questions pour le coup... Dans mon cas le port à ouvrir est effet a assigner au protocole de partage WebDav de mon truenas. Je l'ai crée et l'ai mis dans "port interne". Tu parles d'un port par default dans ton application (donc mon webdav a inscrire dans port interne) et d'un port au hasard dans port externe. C'est quoi le role de ce port externe ? Dans ta config "Jellyfin" tu as pourtant mis deux fois le même port ?

Une fois que ta règle est créer rends toi sur mon-ip.com pour connaitre ton IP publique. Ensuite tu te rends sur ton naivgateur WEB, dans l'url tu mets "ton IP publique" ":"port externe que tu as choisis". Ce qui donne par exemple: 90.90.182.91:9696.

Dans ce cas l'ip publique est peut être cohérente par rapport à ton système "Jellyfin" ? C'est a dire que si je fais une recherche de mon ip publique via mon ordinateur je trouverai celle de mon ordinateur... Pas de mon truenas. Je connais l'ip de mon truenas depuis son installation et raccordement a ma box soit 192.168.1.15. C'est mon adresse ip mais est ce la publique ?

Merci beaucoup pour ton post détaillé ! C'est cool.

 

[playzir]

J'ai deux petites questions pour le coup... Dans mon cas le port à ouvrir est effet a assigner au protocole de partage WebDav de mon truenas. Je l'ai crée et l'ai mis dans "port interne". Tu parles d'un port par default dans ton application (donc mon webdav a inscrire dans port interne) et d'un port au hasard dans port externe. C'est quoi le role de ce port externe ? Dans ta config "Jellyfin" tu as pourtant mis deux fois le même port ?

Dans ce cas l'ip publique est peut être cohérente par rapport à ton système "Jellyfin" ? C'est a dire que si je fais une recherche de mon ip publique via mon ordinateur je trouverai celle de mon ordinateur... Pas de mon truenas. Je connais l'ip de mon truenas depuis son installation et raccordement a ma box soit 192.168.1.15. C'est mon adresse ip mais est ce la publique ?

Merci beaucoup pour ton post détaillé ! C'est cool.

Je pense que pour ton projet il va te manquer certaines bases du réseau.

En gros du gros tu as 2 réseaux, le réseau privé (chez toi) et le publique (internet).
Dans ton réseau privé chaque appareil qui est connecté a ta boxe possède une adresse IP PRIVE (192.168.XXX.XXX)
Avec cette adresse IP privé tes équipements de ton réseau privé vont communiquer entre eux.
Mais juste avec leurs IP privé ils ne pourront pas aller sur internet, intervient alors l'IP publique.
Cette IP publique est distribué a chaque box internet (je simplifie ici encore).
Ta boxe va faire la jonction entre ton réseau privé et internet.
Sur internet, seule ton adresse IP publique sera visible (attention c'est sensible essaie de ne pas la montrer sur des forums).

Donc si tu as bien suivi le cours, imaginons que tu sois en déplacement et que tu souhaites pouvoir accéder a ton partage WebDav, tu auras besoin de ???
-Ton IP publique :)

Mais ce n'est pas tout. Par défaut les boxes sont un minimum sécurisées, et par défaut tous "les ports sont fermés".
Voies les ports comme des portes, elles peuvent être ouvertes (dangereux) ou fermées (safe).
Sur les boxes on a 65000 portes, que l'on peut ouvrir ou fermer sur l'extérieur.

Idem que pour l'histoire des adresses IP, tu as des ports privés et publiques (interne et externe).
Maintenant il faut que tu saches quel port INTERNE utilise WebDav par défaut (je t'aide c'est 5005).
Pour le port externe libre a toi de renseigner le port que tu veux (tu peux mettre le même, c'est ce que j'ai fait pour jellyfin par exemple)
Ta boxe se chargera de t'orienter automatiquement quand tu accéderas a ton partage quand tu souhaiteras (a condition que ça soit bien paramétré).

DONC,
Dans ta boxe tu vas créer une nouvelle règle comme il suit:

APPLICATION	PORT INTERNE	PORT EXTERNE	PROTOCOLE	EQUIPEMENT	IP EXTERNE
WebDav	5005​	5005​	TCP/UDP	ip prive de ton nas	toutes

PS: Pourquoi n'utilises pas tu NextCloud pour accéder a tes documents depuis l'éxtrieur ? Tu as énormément de tutos pour le mettre en place, en plus c'est facile et pour accéder a tes données tu as même une application mobile...... (Car WebDav c'est... archaic

 

[Yannbicou]

@playzir Super explication !! Merci beaucoup pour tout ces détails, dans ce que tu dis il y a certaines notions de base que je n'avais pas. Exécuter sans comprendre c'est pas ouf, mais la tu m'éclaires un peu ! C'est cool.

Ca fonctionne très bien maintenant, mes différents répertoires sont désormais accessibles !

Pourquoi Webdav, pour commencer dans le monde du réseau et du partage NAS, ca me semblait pas mal. Moins compliqué que les solutions vpn ou autre. Aussi parce qu'il est facile de créer un emplacement réseau permanant sur un PC et ainsi d'avoir mes différents répertoires en dossier simplement accessible.

Je vais quand même tenter nextcloud juste pour voir les possibilités, j'ai déjà procédé aux partage de mes répertoires en local, maintenant faut que je trouve comment faire le partage sur l'exterieur...

Merci beaucoup pour tes infos ! et aussi à @Pitfrr