Règles de pare-feu sur NAS

Bonjour à tous.

Je fais tourner HA sur une VM sur un NAS Synology. Et il y a deux ouvertures vers l’extérieur que je souhaiterais faire :
1- ouverture du NAS
2- ouverture de HA

Pour l’ouverture de HA j’ai vu ces 3 sujets :

Avant de vous solliciter sur la méthode qu’il convient il faut que je passe plus de temps à parcourir ces sujets.

La question se porte plutôt sur la mixité de cette ouverture de HA avec celle du NAS. D’autant que c’est le NAS qui gère le DHCP et l’attribution d’IP fixes.
Architecture : LiveBox → NAS → réseau local qui inclut une borne WIFI (Time Capsule).
Les PC et téléphones sont en WIFI sur la box et les objets connectés WIFI sur la borne.

La question est quelle serait la meilleure méthode pour cette configuration?

Par ailleurs, j’ai suivi ce TUTO pour sécuriser le NAS et notamment avec l’application de ces règles de pare-feu:

Après application de celles-ci tout fonctionnait normalement mais la plupart des équipements IP sont passés en adresse APIPA en 169.254.xxx.xxx. A priori, les équipements dans l’impossibilité de se voir attribuer une IP via le DHCP (ou de communiquer avec le serveur DHCP) s’attribuent automatiquement une IP APIPA pour communiquer sur le réseau local et uniquement en local, pas d’accès internet.
Ma VM contenant HA, pourtant avec une IP fixe était également HS.

Comme je débute en réseau et règles de pare-feu, je ne sais pas de quoi cela peut provenir. Si quelqu’un peut m’aider à comprendre?
Et également me conseiller sur un pare-feu (et règles associées) peut-être meilleur que celui de base dans DSM? J’ai vu que certains utilisaient pfsense ou opnsense… cela pourrait également m’aider à mieux comprendre les 3 sujets d’ouverture de HA vers l’extérieur que j’ai commencé à parcourir mais qui comportent encore par mal de zones obscures pour moi.

Merci d’avance!

Quand tu dis vouloir faire des ouvertures, détails plutôt les services ou applications que tu veux exposer à l’extérieur. La piste ici est d’utiliser le reverse proxy de ton DSM (Panneau de config > Portail des applications > Reverse proxy).
Pour ta partie DHCP, j’imagine que tu as cloisoné le DHCP de ta box pour profiter de TV et avoir le DHCP de ton NAS qui prend le relai pour tous tes autres appareils ?
Enfin pour le parefeu du NAS … il se gère tout seul suivant la configuration et services que tu actives.

D"après ta capture d’écran, je pense que tu as défini plusieurs réseaux locaux … pour ?

Merci pour ton intervention et de par tes questions tu orientes mieux la discussion que je n’ai voulu l’initier.

Je n’ai pas de box TV du coup je me suis affranchi du cloisonnement des serveur DHCP (merci d’avoir parlé de ça car le jour où j’aurais besoin de le faire, je saurai vers quoi m’orienter…).

Quand je parle d’ouvrir vers l’extérieur:

  • pour le NAS c’est pour l’instant d’accéder aux fichiers qu’il contient ou en envoyer, de faire de la synchro/sauvegarde avec un autre DD en dehors du domicile, sauvegarder dessus photos/videos quand je suis en déplacement (un cloud perso en gros). Et peut-être aussi de pourvoir l’administrer à distance. Mais vu le risque que cela peut représenter et le peu de fois où j’aurai besoin de le faire, je pense que ça reste purement optionnel.
  • pour HA, c’est de pouvoir faire fonctionner et accéder à toute la domotique de la maison à distance et aussi de l’administrer pour résoudre d’éventuels problèmes ou faire des réglages ou autres. D’où peut-être de pouvoir administrer le NAS qui gère la VM qui contient HA et le réseau.
  • pour le réseau local en général. J’ai besoin qu’il accède au net pour la plupart pour leurs mises à jour. Mais pour certains qui ont des applications dédiées comme les caméras, sonoff flashés… de pouvoir les administrer également. J’utilise aussi beaucoup HomeKit qui doit pouvoir aussi être accessible de l’extérieur. Peut-être parce que je n’ai encore rien sur HA comme je débute, je finirai certainement pas y basculer dessus totalement pour délaisser HomeKit si je m’en sors mieux.

La capture d’écran n’est pas de moi. C’est une capture issue du tuto que j’ai suivi et qui suggère de faire ces réglages que j’ai reportés chez moi et qui m’ont causé ce problème de passage en IP APIPA.

Je ne sais pas si je suis plus précis et si ça aide à savoir ce que je veux faire?

C’est sur ta LivebOx que tu dois gérer le parefeu, pas vraiment sur ton NAS.

Ok. Je vais voir ce qu’il est possible de faire dessus mais je pense que c’est limité sur les box FAI.
Pourquoi ce serait mieux sur la box plutôt que sur le NAS? Beaucoup en installent sur NAS ou sur RPI.

En fait je ne comprends pas ton focus sur le parefeu de ton NAS, d’autant plus qu’un NAS est une machine multiservice donc trés délicat (dangereux) à exposer directement sur internet en configurant ta box en routeur transparent (qui laisse tout passer de l’internet vers ton NAS).
Une architecture plus sécurisé est de faire uniquement un NAT d’un seul port sur ta box vers un service de reverse proxy sur ton NAS (si il a la fonctionnalité, sinon HA l’a avec l’addon Nginx proxy Manager) et pour du https, et au mieux d’avoir une solution de VPN si tu veux faire plus que d’accéder aux services de ton réseau en https.

En fait c’est par manque de connaissances aussi. Je pensais que c’était plus simple de tout centraliser dessus. Certains font cela sur un PI, je n’en ai pas donc je le fais sur le NAS. Mais ce n’est peut-être pas la meilleure des manières. Et merci de m’avoir indiqué autre chose du coup s’il y a mieux et plus sécure.
Si j’ai bien compris ce que tu dis, le mieux est de partir sur un VPN?

Je voulais aussi tout faire gérer par le NAS car lorsque internet tombe en carafe, la box n’active aucun de ses services, dont le DHCP et ça fout en l’air tout le LAN. Plus rien ne fonctionne. Pour que j’ai confié la gestion du réseau au NAS.
Mais dans le cas d’un accès externe, si internet tombe, on n’aura de toute façon aucun accès à moins d’avoir une clé 4G quelque part.

+1 avec @Pozzi je sais que cela facilite la mise en œuvre mais exposé son NAS sur le net est très dangereux, n’oublie pas que tu stock aussi les données perso.
Et dans le domaine réseau l’approche est différente on évite un max de centraliser car le jour ou l’infra tombe c’est tout qui tombe.
Vois le pare-feu du NAs comme n’importe quel parfeu de machine client (windows, linux, mac).
La meilleur approche comme le précise @Pozzi c’est de créer un reverse proxy. Soit sur ton NAS, soit sur une VM soit directement sur HA. ainsi un seul port est ouvert sur la box de ton FAI.
Pour l’accès à ton NAS il vaut mieux en effet passer par un VPN que tu pourras utiliser pour te connecter à distance mais aussi ton ta sauvegarde.
Voici ma configuration pour HA:
INTERNET → ROUTEUR (Redirection di port 443) → Reverse Proxy (machine dédiée sous Debian) → HOME ASSITANT

Pour tout le reste (NAS, Camera IP, BACKUP) : VPN

Salut nesbeal et merci pour ton avis également.
Je vais poser quelques questions à chaud derrière ta réponse qui refletent mon manque de connaissance. Je te laisse répondre avec le niveau de détail que tu veux. De toute façon certaines choses méritent d’être apprises avec un peu de lecture sur le net.

Bon je t’avoue que j’ai compris ce que tu m’a expliqué mais je suis paumé pour la mise en œuvre.
Je comprends totalement le conseil de ne pas tout centraliser. Juste que s’équiper en multiples appareils qui tiennent la route devient onéreux (un PI c’est pas cher mais c’est taillé pile poil, faut mettre un SSD pour pas être embêté…). Je peux toujours migrer les fonctions (HA, VPN…) plus tard si jamais sans trop de difficultés?

Du coup si je comprends bien ce que tu me conseilles (hors décentralisation):

  • n’ouvrir qu’un seul port sur la box
  • le rediriger avec un routeur : soit le NAS, soit une VM ou HA? Quelle méthode me conseilles-tu de déployer et comment faire?
  • Reverse proxy. Là je suis perdu car je ne sais pas exactement se que ça fait ni comment le mettre en oeuvre
  • pour l’accès au NAS un VPN. Un conseil également sur la manière? Quel logiciel?

Merci!

Personnellement, j’ai installé un VPN sur Home Assistant.
Je n’ai ouvert qu’un seul port sur mon routeur : uniquement pour la redirection vers le VPN.

Ainsi, j’ai accès en VPN sur Home Assistant, mais également sur le NAS.

Alors oui, c’est un poil contraignant de se connecter au VPN pour accéder à HA. Mais je préfère. Et puis… c’est un seul clique sur Android…