QuickConnect, VPN, redirection de ports : quelle méthode choisir ?
L'accès à distance à son NAS Synology est possible de différentes manières : QuickConnect, VPN ou encore la redirection de ports. Mais alors, quelle méthode faut-il choisir ? Dans ce chapitre, je vais vous présenter ces trois solutions afin de vous donner mon avis et mes préférences.
Pour rappel, lorsque l'on parle d'un "accès à distance", cela signifie que l'on peut accéder à son NAS à partir de n'importe où, à condition d'avoir un accès à Internet. Ainsi, le NAS n'est plus accessible uniquement lorsque l'on est chez soi, à la maison. Puisque le NAS se retrouve accessible depuis n'importe où, via Internet, il est potentiellement accessible par les pirates informatiques : d'où l'intérêt de le rendre accessible à distance, mais en prenant certaines précautions.
Sommaire
I. Synology : c'est quoi QuickConnect ?
Le système QuickConnect est clairement la solution la plus simple pour accéder à son NAS à distance. En effet, avec QuickConnect vous pouvez accéder à votre NAS et à ses applications à distance, sans avoir à effectuer de configuration particulièrement sur votre réseau. Autrement dit, il n'est pas nécessaire de configurer son routeur (sa box) pour qu'elle autorise la connexion à distance au NAS.
Comment est-ce possible ? En fait, le NAS se connecte au service "Synology Relay Server" qui est un service Cloud mis à disposition par Synology, et quand vous accédez à votre NAS via QuickConnect, vous pouvez également par ce service Cloud. Ainsi, vous accédez à votre NAS via le service "Synology Relay Server" qui sert de relais, d'intermédiaire. C'est intéressant, mais ce n'est pas le mieux en termes de performances, car vous n'êtes pas connecté directement à votre NAS.
Note : le service QuickConnect peut également fonctionner en direct, sans ce service de relais, en fonction de sa configuration.
Pour activer le service QuickConnect, il faut ouvrir le "Panneau de configuration", cliquer sur "Accès externe" puis sur l'onglet "QuickConnect" (1) afin de cocher l'option "Activez QuickConnect" (2) et de choisir un identifiant "QuickConnect ID". Ce nom doit être unique, donc vous devez utiliser un nom qui n'est pas déjà utilisé par quelqu'un d'autre, et je vous recommande d'utiliser un nom qui n'est pas standard, afin que ce soit difficilement devinable.
Ensuite, en cliquant sur le bouton "Paramètres avancés", on peut activer l'option "Activer le service de relais de QuickConnect" (4) pour que la connexion s'appuie sur les services de relais Synology.
J'attire votre attention sur l'option "Créer automatiquement des règles de transmission de ports", car si elle est activée et que votre routeur est compatible UPnP, DSM va créer automatiquement des règles de redirection à votre place (visible dans l'onglet "Configuration du routeur"). C'est pratique pour les débutants, mais cela expose votre NAS directement sur Internet !
Quand la configuration sera en place, le lien pour se connecter à votre NAS depuis n'importe où via QuickConnect sera affiché dans DSM. En complément, votre ID est précisé pour que vous puissiez vous connecter à partir d'applications. Sinon, vous pouvez accéder au site quickconnect.to et saisir votre identifiant QuickConnect : la page de connexion de votre NAS s'affichera.
II. Synology, DDNS et la redirection de port
Une autre alternative consiste à utiliser un service DDNS (DNS Dynamique) couplé à de la redirection de ports afin de pouvoir accéder à son NAS à distance, en direct, en l'exposant sur Internet sur certains ports.
Chaque connexion Internet est associée à une adresse IP publique, donc pour contacter son réseau à distance, il faut connaître cette adresse IP publique. En entreprise, on bénéficie généralement d'une adresse IP publique statique, tandis qu'à domicile ce n'est pas toujours le cas, en fonction des opérateurs. Ainsi, si l'adresse IP change d'un jour à l'autre, vous ne pourrez plus accéder à votre NAS : c'est là que le système DDNS intervient. Il s'agit d'un DNS dynamique proposé par un service en ligne (comme "synology.me"), ce qui va permettre d'associer un nom de domaine à votre adresse IP publique et de mettre à jour cet enregistrement DNS automatiquement, même si l'adresse IP publique de votre routeur (votre box) change !
L'activation du service DDNS s'effectue via le Panneau de configuration, "Accès externe", onglet "DDNS" puis en cliquant sur le bouton "Ajouter". Ensuite, il faut remplir le formulaire afin de choisir le service DDNS et son nom de sous-domaine, avant de valider.
Grâce au DDNS, on peut utiliser un nom de domaine afin d'être sûr d'accéder à son NAS à distance. Néanmoins, pour que le DDNS fonctionne, il faut que le routeur autorise le flux ! Autrement dit, quand vous tentez d'accéder à l'interface de DSM à distance, il faut que le routeur redirige le flux vers votre NAS. Pour cela, il faut mettre en place ce que l'on appelle une règle de redirection de port (voir le schéma dans la section suivante qui reprend ce principe).
Dans le cas où l'on souhaite utiliser cette méthode, plutôt intéressante en matière de performances, mais qui expose directement le NAS sur Internet, il conviendra de respecter plusieurs règles de sécurité. Premièrement, il ne faudra pas utiliser les ports par défaut de l'interface DSM afin de "cacher" son NAS et qu'il ne soit pas facilement détectable. Nous aborderons cela, plus précisément, par la suite.
III. Synology et l'accès VPN
Terminons par l'accès VPN, qui est mon préféré, car il n'expose que légèrement le NAS Internet, car il n'y a que le service VPN qui doit être visible depuis Internet pour que l'on puisse établir la connexion VPN. Le tunnel VPN doit être monté avant que l'on puisse se connecter à DSM ou aux autres applications. Autrement dit, il faut connaître la configuration du VPN et s'authentifier au niveau du VPN avant de pouvoir afficher l'interface de DSM, et devoir s'authentifier à nouveau.
La principale contrainte réside dans le fait qu'il soit nécessaire de connecter le VPN avant de pouvoir accéder au NAS. Cela va probablement refroidir certaines personnes pour lesquelles cette notion de VPN peut paraître abstraite. C'est pour cette raison que si vous souhaitez mettre en place un serveur OpenVPN sur votre NAS, vous pouvez suivre ce tutoriel : Configurer OpenVPN Server sur un NAS Synology. Dans le même esprit, si vous souhaitez en savoir plus sur la notion de VPN : Les VPN pour les débutants.
On peut aussi ne pas exposer du tout son NAS Synology sur Internet, et là c'est encore mieux, si l'on est en mesure d'établir une connexion VPN directement sur notre routeur (ou pare-feu). Ainsi, on se connecte au réseau de l'entreprise ou de son domicile via son routeur, puis on accède aux ressources du réseau, dont le NAS fait partie. C'est clairement la solution recommandée pour les entreprises équipées d'un accès VPN, car cela évite d'augmenter la surface d'attaque inutilement.
IV. Conclusion
Il est tout à fait envisageable d'exposer son NAS directement sur Internet, car c'est utile pour certains besoins, et on aura tendance à faire comme ça à la maison pour que ce soit plus simple, mais cela doit être fait uniquement si vous appliquez mes conseils en matière de sécurité. Pour cela, il vous suffit de lire la suite de ce cours. En fait, beaucoup de personnes exposent leur NAS sur Internet sans le savoir, ou sans avoir connaissance des risques, et c'est aussi cela qui m'a motivé à écrire ce cours afin de vous montrer les bonnes pratiques à respecter.
Personnellement, et cela n'engage que moi, je pense que l'accès à un NAS utilisé en entreprise doit être effectué uniquement au travers d'une connexion VPN, tandis que pour la maison, on peut utiliser le VPN ou un service DDNS. À partir du moment où l'on respecte les bonnes pratiques en matière de sécurité, la compromission du NAS sera très difficile.
Jusqu’à date, j’ai pas encore compris l’utilisation de cette histoire de VPN là !!!
Plus d’explications m’aideraient vraiment beaucoup !!!
Pas tout compris non plus, mais c’est surtout les coûts de ces deux systèmes qui restent inconnus ! Ayant acheté une caméra de surveillance 4G, je me suis aperçu, après les 7 jours offerts, qu’il faut prendre un abonnement en plus de son téléphone pour pouvoir se connecter à distance… Donc pour tout les accès à distance, il faut chercher les coûts cachés !
Bonsoir,
Toutes les fonctions d’accès à distance évoquées dans cet article sont totalement gratuites, il n’y a pas de coûts cachés, ni même d’abonnement.
Bonjour,
je comprends bien les différences entre les 3 méthodes qui permettent d’accéder au NAS à distance depuis mon ordi portable, par exemple. Mais lorsque je rapporte mon ordi au bureau, que je le connecte au réseau sur lequel se trouve le NAS, alors l’accès via DDNS ne va pas forcément fonctionner (ça dépends des FAI), le VPN serait lourd et inutile. Quid de la solution QuickConnect? Permet-elle avec le même ID unique d’accèder au NAS à la fois à distance ET en local?
Un exemple concret: j’ai un serveur SynologyDrive qui tourne sur un NAS en 192.168.1.200. Sur l’ordinateur nomade je veux y accéder via SynologyDriveClient. Je ne peux le configurer avec l’ip du NAS car ça ne fonctionnerai QUE depuis le bureau, lorsque mon portable est sur le même réseau, donc, nulle part ailleurs. Si je le configure avec un FQDN DDNS, ça fonctionnera de l’extérieur, mais pas forcément du bureau. Est-ce-que QuickConnect peut pallier ce problème?
Merci d’avance.
Merci pour ce tutoriel clair et précis, cela m’a permis de faire des choix éclairés pour les éléments mentionné.