Tuto Synology Reverse Proxy: comment accéder facilement à ses équipements depuis l’extérieur ?

Nous avons déjà vu dans d'autres guides comment installer Jeedom ou Home Assistant sur un Nas Synology. Cela peut se faire très facilement. Le NAS a l'avantage également de pouvoir héberger de nombreuses autres applications. Mais l'accès à ces services depuis l'extérieur peut parfois être compliqué pour certains. Pourtant, le Nas Synology dispose d'un service vraiment très pratique: le Synology Reverse Proxy (ou Proxy inversé en francais). Mais qu'est ce que c'est, et comment le mettre en place ?

Qu'est ce que le Reverse Proxy ?

Le Nas Synology peut héberger de nombreux services et applications, que ce soit via le Centre de Paquets, les machines virtuelles, Docker, ou même le serveur Web intégré. Mais de base, ces services sont accessibles uniquement via le réseau local, c'est à dire chez vous, via une adresse du type http://192.168.1.11:5008 . La dernière partie, ici “5008”, est ce qu'on appelle un port. Pour différencier les différentes applications hébergées sur le Nas, on leur affecte un port différent. On a par exemple http://192.168.1.11:5000 pour la gestion du NAS, http://192.168.1.11:32400 pour Plex, http://192.168.1.11:6400 pour Jeedom, etc.

On remarquera également que le début de l'adresse est “http” et non “https”: cela signifie que la connexion n'est pas sécurisée.

Nous avons donc là deux problématiques:

  • d'une part la connexion non sécurisée, bien sûr.
  • d'autre part, si on héberge plusieurs services, il va nous falloir ouvrir sur le routeur autant de ports qu'il y a d'application pour pouvoir y accéder de l'extérieur. C'est à la fois contraignant et problématique pour la sécurité, car les ports ouverts sont autant de portes ouvertes vers notre réseau :/

Mais avec un Reverse Proxy, vous n'aurez pas à ouvrir tous ces ports sur votre routeur. Un seul port suffira, ce qui sera beaucoup beaucoup plus simple pour accéder à n'importe quel application ou service hébergé sur votre Nas. Pas besoin de se souvenir de chaque port correspondant à chaque application.

Pour reprendre l'exemple précédent, on pourra avoir des adresses du type plex.mondomaine.com, jeedom.mondomaine.com, etc. Plus de ports à mémoriser ni à ouvrir. On utilisera un domaine pour accéder à notre réseau (mondomaine.com par exemple), et autant de sous domaines qu'on a d'applications (plex, jeedom, etc.).

Et pour profiter d'une connexion sécurisée, il faudra également un certificat SSL (nécessaire pour obtenir le HTTPS).

Pour résumer, pour utiliser le Reverse Proxy, on aura besoin :

  • d'un certificat SSL (pour la sécurité)
  • d'un nom de domaine (par exemple, mondomaine.com) qui vous permettra d'avoir autant de sous-domaines que vous le souhaitez, pour accéder individuellement à chaque service hébergé sur votre Nas Synology
  • le port 443 ouvert sur votre routeur et dirigé vers l'adresse IP locale de votre NAS.

Bonne nouvelle: tout cela est disponible gratuitement sur votre Nas Synology ! Il faut juste prendre le temps de configurer tout cela, ce que nous allons voir dans ce guide.

Configurer la redirection de ports sur le routeur

Pour que le NAS soit accessible de l'extérieur, il va être nécessaire de mettre en place une redirection de ports. Les ports 80 et 443 seront notamment nécessaires pour valider le certificat SSL de Let's Encrypt, qui fournit des certificats de sécurité gratuits (mais très efficaces et utilisés par de nombreuses sociétés).

A lire également:
Installer Honeygain sur Docker pour rentabiliser son abonnement internet (tuto Synology en 5min !)

L'endroit où cela se paramètre est différent d'un routeur à l'autre. Le paramètrage s'appellera “Redirection de port” ou “Port Forwarding” en anglais, comme ici sur mon routeur Unifi. Les box des opérateurs type Orange, Free, etc. proposent aussi cette option. Ici il s'agit donc de rediriger les ports 443 et 80 vers l'adresse IP de votre Nas Synology, comme ceci (le port 5001 indiqué ici est uniquement si on souhaite accéder à l'administration du Synology à distance, via une connexion sécurisée, il n'est pas obligatoire ici):

port redirec unifi

Ce seront les seuls ports à ouvrir (et le port 80 pourra même être refermé quand nous aurons fini ce guide).

Obtenir un nom de domaine

Chaque appareil connecté à internet a ce qu'on appelle une adresse IP. C'est ce qui permet de l'identifier. Votre ordinateur a une adresse IP. Le site Maison et Domotique a aussi une adresse IP. Mais d'une part une adresse type 82.152.126.92 n'est pas facile à retenir, et d'autre part cette adresse peut changer. Chez certains opérateurs internet elle change toutes les 24h par exemple, à moins d'avoir une IP Fixe comme chez Free. Il est donc plus simple d'avoir un nom de domaine qui va faire la liaison: nom de domaine -> adresse IP.

Pour cela, on utilise un DNS dynamique (DDNS), qui maintient automatiquement les enregistrements DNS à jour lorsqu'une adresse IP change. Synology intègre cette fonctionnalité, et fourni même des noms de domaine gratuits !

Pour mettre cela en place, il faut se rendre dans le panneau de configuration du Nas Synology, menu “Accès Externe”, puis onglet “DDNS”. Là cliquez sur “Ajouter”:

synology 01 1

Une fenêtre s'ouvre pour compléter quelques informations :

  • Fournisseur de services : pour plus de facilité, utilisez Synology. Sachez que pour les utilisateurs les plus avancés il est possible d'utiliser d'autres services, et même son propre nom de domaine enregistré chez son registrar (type Ovh, Infomaniak, etc.).
  • Nom d'hôte : il s'agit du nom de domaine que vous utiliserez pour joindre votre réseau local. Synology fourni gratuitement une adresse en VotreNomPrefere.synology.me (pour le VotreNomPrefere, vous devez bien sûr choisir un nom que vous aimez, que vous aurez inventé).
  • Email : Votre email, tout simplement. Idéalement le même que celui utilisé pour votre compte utilisateur sur le Nas
  • Adresse externe (IPv4) : l'adresse IP actuelle fournie par votre fournisseur d'accès. On peut la vérifier sur des sites comme https://www.mon-ip.com par exemple, mais le Synology devrait la détecter automatiquement.
  • Cochez “Obtenez un certificat auprès de Let's Encrypt et définissez le comme certificat par défaut“.
  • Cochez la case “Activer HeartBeat“: en cas de perte de connexion Internet ou si le Nas est éteint, vous recevrez une notification pour vous prévenir, ce qui est toujours utile à savoir !
  • Validez avec OK.

Chez moi ca donne cela par exemple:

synology 02

Après validation, il faudra patienter une petite minute pour que le serveur web du Synology redémarre.

Si tout s'est bien passé, vous devriez voir le statut “Normal” en vert:

synology 03

Installer un certificat SSL sur Synology

Passons maintenant à l'installation d'un certificat de sécurité pour obtenir une connexion sécurisée, en HTTPS.

A lire également:
Installer EarnApp sur Docker (en 5 min sur Synology)

Normalement à chaque nom de domaine correspond un certificat de sécurité. Mais il existe une notion très pratique: le certificat “Wildcard”, c'est à dire pouvant être utilisé pour tous les sous domaines d'un domaine principal. Concrètement, au lieu de définir un certificat pour jeedom.votrenomprefere.synology.me, et un autre pour plex.votrenomprefere.synology.me, on va définir un certificat valable pour *.votrenomprefere.synology.me

Comme on a coché précédemment “Obtenir un certificat auprès de Let's Encrypt“, le certificat SSL a été activé automatiquement. Pour le vérifier, il faut se rendre dans le menu “Sécurité” du panneau de configuration du Nas, puis onglet “Certificat”:

synology 04

Tel quel, cela permet déjà d'accéder à votre Nas via une adresse sécurisée du type https://VotreNomPrefere.synology.me:5001

Mais pour que le certificat soit disponible pour tous les sous domaines qu'on souhaite créer, il faut apporter une modification au certificat. On demande donc à ajouter un nouveau certificat via le bouton “Ajouter”, et on coche cette fois “Remplacer un certificat existant”. Puis on sélectionne notre domaine votrenomprefere.synology.me dans la liste:

synology 05

Sur l'écran suivant, on indique notre nom de domaine du type VotreNomPrefere.synology.me, votre adresse mail, puis dans le champ “Autre nom de l'objet”, on indique “*.VotreNomPrefere.synology.me”. Attention, l'étoile et le point sont importants ! C'est cela qui va permettre de créer le fameux certificat “wildcard”, utilisable par tous nos sous domaines à venir: Jeedom.VotreNomPrefere.synology.me , Photos.VotreNomPrefere.synology.me, Plex.VotreNomPrefere.synology.me, etc

synology 06 1

Validez et patientez encore une petite minute pour que les réglages s'appliquent.

Configurer le Synology Reverse Proxy

On peut maintenant configurer nos différents sous domaines à l'aide du Reverse Proxy. Pour cela, toujours dans le panneau de configuration du Synology, on se rend dans le menu “Portail de Connexion” puis onglet “Avancé”. On clique sur le bouton “Proxy Inversé”.

synology 07

Dans la fenêtre qui s'ouvre, cliquez sur “Créer”. Petit exemple pour une instance Jeedom qui tourne sur une machine virtuelle de mon Synology, comme nous avions vu dans ce guide.

On donne un nom à l'entrée, par exemple “Jeedom. Puis:

Dans la partie “Source”:

  • Protocole: HTTPS
  • Nom d'hôte: cequevousvoulez.VotreNomPrefere.synology.me. Exemple ici: jeedom.VotreNomPrefere.synology.me
  • Port: 443
  • Cochez “Activer le HSTS”

Puis dans Destination:

  • Protocole: HTTP
  • Nom d'hôte: l'adresse IP de votre machine. Ici “localhost” car c'est une machine sur le NAS, mais on pourrait tout aussi bien renseigner l'adresse IP d'une box Jeedom autonome (type Jeedom Atlas par exemple), d'une caméra, ou de tout autre équipement ayant une IP locale sur votre réseau.
  • Port: le port permettant d'accéder à cette machine. Comme nous l'avons expliqué plus haut, pour pouvoir les différencier, chaque service ou application hébergé sur le Nas dispose d'un port différent
synology 08

Dans l'onglet “Entête personnalisé” de la même fenêtre, cliquez ensuite sur “Créer” / “Websocket”.

synology 09

Cela va créer automatiquement deux entêtes. Ne touchez à rien, et sauvegardez la configuration.

Ces entrées ne sont pas toujours nécessaires en fonction du service utilisé, mais par expérience, je les active automatiquement. Car certaines applications ont besoin de cette connexion Websocket pour fonctionner (comme la page d'identification de Home Assistant par exemple). Si le Websocket est activé et que le service n'en a pas besoin, ca ne pose pas de soucis. En revanche s'il n'est pas activé et que le service en a besoin, des choses risquent de mal fonctionner :p Et il est parfois difficile de savoir clairement si un service en a besoin ou non.

A lire également:
12 choses simples pour être plus en sécurité en ligne
synology 10

C'est fini ! A partir de là, si vous tapez dans un navigateur web l'adresse que vous avez créée, par exemple ici https://jeedom.VotreNomPrefere.synology.me , vous devez arriver sur la page de votre installation avec une page parfaitement protégée, et accessible de n'importe où dans le monde.

Si vous revenez sur l'écran du certificat SSL, votre nouvelle adresse jeedom.VotreNomPrefere.synology.me doit y figurer ! Vous pouvez maintenant créer via le Reverse Proxy autant de sous domaines pointant vers les machines que vous souhaitez, qu'elles soient hébergées par votre Nas Synology ou ailleurs sur votre réseau: caméras, serveur, box domotique, etc. Tout ce qui a une page d'accès web peut être joignable à distance grâce au Reverse Proxy et au certificat SSL installés ici, sans avoir besoin de connaitre son IP ou son port, et sans avoir besoin d'ouvrir de ports supplémentaires sur votre routeur !

J'ai ainsi en ce moment une douzaine de machines ou services accessibles facilement depuis n'importe où:

synology 11 1

Conclusion

Le Reverse Proxy est une fonction très utile sur le Nas Synology, que le fabricant détaille dans son centre d'aide. Mais elle est pourtant mal connue. Il est certain que son utilisation ne se devine pas, il faut connaitre les différentes étapes pour le mettre en place. Mais une fois cela fait, le Reverse Proxy nous facilite beaucoup l'utilisation. A chaque ajout de service, il suffit d'ajouter une entrée dans le Reverse Proxy avec un nouveau sous domaine. Pas d'ouverture de port à faire sur le routeur, ni de certificat de sécurité à souscrire. Et à l'utilisation c'est extrêmement pratique, car il est plus simple de se souvenir d'une adresse du type https://jeedom.mondomaine.synology.me qu'une adresse en https://82.123.456.789:5236 … J'héberge maintenant de nombreux services chez moi, utiles aussi bien pour mon utilisation personnelle que pour mon travail, ce qui me permet de me passer de nombreux services payants. Je vous en ferai d'ailleurs découvrir quelques uns prochainement, ce guide sur le Reverse Proxy étant justement la base pour de nombreux autres ;-)

Petite note: si vous êtes abonné Free, généralement vous avez une IP fixe. Mais attention, les IP étant de plus en plus rares, votre IP peut être partagée avec d'autres foyers, la distinction se faisant sur les ports. Et dans ce cas le Reverse Proxy peut ne pas fonctionner: j'ai cherché moi même plusieurs heures pour comprendre pourquoi ma configuration ne fonctionnait pas de l'extérieur. Pour éviter ce problème, il faudra aller sur votre interface client Free et demander une IP V4 Full Stack. C'est gratuit et rapide.

free

Merci au site MariusHosting qui m'a beaucoup aidé sur la compréhension de ce Reverse Proxy. Je vous invite d'ailleurs vivement à consulter son excellent blog sur tout ce qui touche au Synology, c'est une mine d'informations pour tous ceux qui veulent exploiter leur Nas à fond !
Pour information, cet article peut contenir des liens affiliés, sans aucun impact sur ce que vous gagnez vous même ou le prix que vous pouvez payer pour le produit. Passer par ce lien vous permet de me remercier pour le travail effectué sur le blog chaque jour, et d'aider à couvrir les dépenses du site (hébergement, frais de port pour les concours, etc.). Ca ne vous coute rien, mais ca m'aide beaucoup ! Merci donc à ceux qui joueront le jeu !

Inscrivez vous à notre newsletter !

Ne ratez plus aucun article, test de produit ou guide, grâce à un mail dans votre boite chaque vendredi !

Tags :

18 Commentaires
  1. Bonjour et merci pour cet article.
    Est-il possible d’utiliser le reverse proxy du syno pour se connecter à une jeedom physique (je vois dans votre liste une jeedom atlas)? Ou est ce que cela fonctionne uniquement pour les systèmes hébergés sur le syno?

    Merci

  2. Répondre
    Christophe Hardouin Duparc 16 janvier 2023 à 8 h 40 min

    A quoi sert la configuration des options WebSocket dans le reverse proxy ?

    • Bonjour. Websocket est une technologie qui permet d’ouvrir de façon permanente un canal de communication bidirectionnel entre un client et un serveur. Certains services fonctionnent mal s’il n’est pas activé (par exemple l’authentification dans Home Assistant ne fonctionne pas si ces options Websocket ne sont pas mises). Autant ca ne pose pas de problème s’il est activé mais que le service n’en a pas besoin, autant ca pose problème s’il n’est pas activé et que le service le requiert. Donc en général dans le doute je l’active.

  3. Premier tuto à parler du Websocket ! Et ça fait des jours que je cherchais pourquoi ma config ne fonctionnait pas…. Sur un nom de domaine chez Gandi ça semble indispensable… Un grand merci.

  4. Magnifique !
    Merci pour ce tuto super bien expliqué qui m’a sorti d’un mauvais pas que je traine depuis quelques temps.

  5. ça n’a pas l’air de fonctionner pour une connexion bureau a distance windows !!

  6. Super tuto ! Merci 🙏🏻
    Ça peut être pratique pour accéder à la console d’administration sfrbox depuis l’extérieur , car la sfr box n’a pas de mode remote admin par défaut.

  7. Bonjour et merci pour ce super tuto qui m’a beaucoup aidé ! Par contre, je rencontre un problème : j’arrive très bien à accéder à mon synology avec l’url en *.synology.me tant que je suis sur mon wifi. Par contre, si je passe sur un réseau externe (par exemple sur mon téléphone portable avec le wifi désactivé), ca ne fonctionne plus :/ Une idée de ce qui peut se passer ?

    • Bonjour. Vous avez bien fait la redirection de ports sur votre routeur ou box internet ?
      Chez quelle fournisseur êtes vous ? Car j’avais ce problème au début également avec Free à cause de leur adresse IP partagée.

  8. Bonjour Cedric, et un grand merci pour ce tutoriel (j’ai cliquer sur le lien affilié :-) )
    Question de fond :
    En avril 2021, vous avez fait un article sur « Comment configurer un VPN sur un Nas Synology (pour accéder à son système domotique en toute sécurité !) »
    Que ce soit en passant par un VPN ou DDNS, on a accès à son NAS et on peut se connecter sur les appareils du réseau en local.

    Du coup, j’ai du mal à comprendre la différence entre ces deux mode de connexion ?
    Le túnnel crypte les données, mais la connexion en httpS aussi ! Non ? (Quand on se Connect à sa banque j’ose croire que les données ne sont pas lisible partout :-)

    Pourriez-vous nous éclairer sur les différences, avantages, inconvénients ?
    Quel solution préconisez vous ?

    • Bonjour Henri. Et merci pour votre soutien :)
      Alors je vous rassure, les deux méthodes sont parfaitement sécurisées. Tant qu’un site est en https il n’y a pas de soucis et vos données quand vous vous connectez à votre banque sont bien protégées.

      L’avantage du VPN, c’est qu’il faut connaitre les paramètres de connexion du VPN pour s’y connecter. Sans cela, impossible de se connecter à votre réseau local, et donc à vos différentes machines, car elles ne sont pas exposées sur internet. C’est sans doute la méthode la plus sécurisée pour protéger son réseau local.
      En contre partie, cela nécessite de toujours lancer le client VPN pour se connecter à ses machines à distance. Ca peut être contraignant à l’utilisation si on a besoin de se connecter régulièrement à son réseau local. Un VPN peut également être bloqué, par exemple dans une entreprise, ce qui peut empêcher de se connecter à son réseau local depuis le bureau par exemple. Enfin, certains services ont besoin d’être accessibles de l’extérieur pour fonctionner pleinement (exemple ntfy que j’ai présenté il y a quelques jours).

      Avec le Reverse Proxy, on accède à nos différentes machines comme avec n’importe quel autre site web. Pas besoin de penser à lancer son client VPN à chaque fois. Ca fonctionne également de n’importe où (pas de blocage en entreprise par exemple, car c’est considéré comme un site web classique). Mais cela veut dire aussi que chaque machine ayant une entrée dans le Reverse Proxy est accessible à n’importe qui de l’extérieur, les machines étant ici exposées sur internet. Il faut donc bien sécuriser les accès aux différents services (mot de passe fort, double authentification quand cela est possible, et interdiction de créer de nouveaux utilisateurs).

      Du coup le VPN est clairement plus sécurisé, puisqu’il n’y a pas d’exposition des machines sur internet. Mais c’est parfois trop contraignant ou limitant, et il peut être nécessaire parfois de passer par un Reverse Proxy. Il n’y a pas de meilleure solution, juste des solutions adaptées à différents besoins.

  9. Bonjour,
    est-il possible d’utiliser le reverse proxy pour se connecter en bureau à distance de l’extérieure vers un ordi sur le réseau interne
    Pour éviter avoir besoin d’ouvrir des ports sur la box
    également pour se connecter aux cammeras Dahua sur un NVR avec l’application SmartPSS
    Merci pour votre aide.

  10. Bonjour,
    Super tuto comme à chaque fois. Merci à toi de les écrire. Les débutants comme moi arrivent mieux à s’en sortir.
    Je l’ai suivi mais je rencontre un souci. J’indique le nom de domaine souhaiter mais quand je teste une connexion j’arrive systématiquement sur la page de connexion DSM et non pas celle de Jeedom.
    Je ne sais pas s’où viens le problème. Ma config sur mon NAS ou sur ma Jeedom qui est en VM sur mon syno.
    Une âme charitable pour m’aider ?

Laisser un commentaire

Maison et Domotique
Logo
Register New Account
Enregistrez vous, et stockez vos articles préférés sur votre compte pour les retrouver n'importe où, n'importe quand !
Compare items
  • Casques Audio (0)
  • Sondes de Piscine Connectées (0)
  • Smartphones (0)
Compare