Je prévois d’acheter deux NAS Synology, un pour la maison et un hors site. Le NAS de la maison sera mon NAS principal pour tout faire, le NAS hors site ne sera utilisé que pour Hyper Backup Vault (pour sauvegarder le NAS principal). Je voudrais pouvoir accéder aux deux NAS à distance, principalement pour utiliser Synology Drive et Synology Photos en déplacement, mais je souhaite aussi accéder à DSM pour les deux à distance si nécessaire. Je vais configurer un serveur OpenVPN sur le NAS principal chez moi, et avoir des clients OpenVPN sur tous mes appareils. Je sais que je dois mettre en place un transfert de port sur mon routeur domestique pour permettre l’accès à distance à ce NAS principal, et que je dois configurer une connexion client OpenVPN sur le NAS de sauvegarde afin que ce NAS puisse se connecter au NAS principal. Avec cette configuration, je peux accéder au NAS principal partout en lançant le client OpenVPN sur mon laptop/phone/etc. Cependant, comment puis-je me connecter à la console DSM du NAS de sauvegarde ? Le NAS de sauvegarde serait connecté via un client OpenVPN au réseau local domestique (serveur VPN du NAS principal). Je ne veux pas utiliser QuickConnect du tout, et ma préférence va aussi vers ne pas utiliser Tailscale, car je n’aime pas l’idée de faire confiance à Tailscale pour ne pas introduire de nœuds malveillants dans mon réseau (je sais que c’est peu probable, mais je veux éviter les possibilités et héberger tout autant que possible moi-même). J’ai vu quelque chose à propos de la mise en place d’une route statique, mais je ne suis pas sûr si cela doit être fait sur mon routeur domestique ou sur le routeur hors site, et ce que cela signifie exactement. En gros, je veux que mes deux NAS soient sur le même réseau VPN et pouvoir me connecter à l’interface DSM des deux depuis n’importe où, uniquement via des appareils avec le client VPN. Merci d’avance pour tout conseil.
Je configure une mise en place presque identique, mais le serveur VPN est hébergé sur mon routeur. Tu devrais pouvoir accéder aux deux appareils quand tu te connectes au serveur VPN. Mais tu devras définir une IP statique pour le NAS hors site dans le VPN pour que cela fonctionne de manière fiable (sinon, il pourrait avoir des IP différentes après reconnecte). Le client OpenVPN de Synology (qui fonctionnera sur ton NAS hors site) ne se reconnecte pas toujours de façon fiable après une perte de connexion, il existe un script pour résoudre ce problème.
De plus, l’OpenVPN de Synology est un peu bizarre (du moins sur mon routeur Syno), je considérerais d’utiliser wireguard à la place si tu peux.
Si tu n’aimes pas Tailscale, je suppose que tu as un problème avec WireGuard?
Je suis peut-être un idiot complet, mais j’ai spécifiquement choisi de ne pas utiliser VPN pour ma sauvegarde hors site. Je préfère garder ça simple. Une solution de sauvegarde doit être fiable. En ce qui concerne la sécurité, mon NAS à distance n’accepte que les connexions entrantes sur le port 443 et Hyper Backup, et ma sauvegarde est chiffrée à la source.
Ne pas faire confiance à tailscale sauf au sentiment, me fait me demander comment tu pourrais faire confiance à quoi que ce soit connecté d’une façon ou d’une autre à internet?
J’utilise un serveur VPN Wireguard pour l’accès distant régulier à mon réseau domestique (pivpn.io déployé sur un Raspberry Pi), tandis que pour les sauvegardes Hyper Backup entre local et distant, j’utilise Zerotier, une solution de réseau virtuel similaire à Tailscale.
Depuis DSM 7, dsm doit être déployé en tant que conteneur Docker car les services tiers ne sont plus autorisés à fonctionner en tant que root.
Guide de déploiement facile sur :
Avec ZT aussi installé sur mon téléphone, mon laptop et mon PC, je peux gérer les deux NAS peu importe où je suis. Seul l’accès Internet est requis.
De nos jours, il est aussi possible de déployer ses propres nœuds ZT, mais je n’ai pas encore vraiment cherché à héberger cela moi-même…
Donc pas besoin de configurer de transfert de ports dans mon cas, des deux côtés.
Tailscale utilise Wireguard. Je l’utilise avec succès depuis plus d’un an. Je fais des sauvegardes PC/Mac locales avec ABB sur les côtés local et distant. Je stocke aussi des données sur les deux côtés. Je fais des sauvegardes NAS de local à distant et vice versa avec Hyper Backup. Programmé et fonctionne comme une horloge. Très facile à configurer et sans transfert de port.
Je me demande d’où viennent ces préoccupations pour des nœuds malveillants. Je n’ai jamais entendu parler de cela, ni même d’une inquiétude. Cela ne m’est jamais arrivé. Je serais plus inquiet de faire du transfert de ports. Mon avis.
La façon dont je ferais, c’est établir une connexion VPN site à site entre ces deux emplacements. De cette façon, tu auras un accès « local » à ambos endroits peu importe où tu te trouves (site A ou B).
Pour accéder à ce LAN de l’extérieur, utilise un serveur VPN entrant WireGuard.
Il peut être configuré sur l’un ou l’autre site A ou B, mais une fois connecté, la VPN site à site permettrait d’accéder à tous les services sur les deux sites.
Avec cette configuration, tu n’auras besoin d’ouvrir qu’un seul port pour la connexion entrante WG, et un autre pour le site à site.
Une déploiement facile de WG sur ton NAS Syno peut se faire avec un simple déploiement Docker, très convivial.
J’espère que ces articles pourront t’aider :
Donc, l’adresse IP (du NAS distant) que j’utilise pour me connecter à Hyper Backup sur le NAS principal, je peux simplement entrer cette IP dans mon navigateur web (lorsque connecté via OpenVPN) et cela m’amènerait à la console DSM du NAS distant ? Dois-je configurer une route statique ou quelque chose comme ça (j’ai vu des endroits en parler) ?
Mon routeur vient de l’opérateur, donc je ne suis pas sûr de combien de configuration je peux faire dessus, comme faire fonctionner un serveur OpenVPN dessus. Merci pour ce script. Je vais l’examiner.
Je n’ai pas de problème avec WireGuard, mais je ne connais pas la configuration nécessaire pour cela. Je suis ouvert aux suggestions. Tout ce que j’ai vu jusqu’à présent est une configuration OpenVPN (préférée) ou Tailscale (moins préférée). Je souhaite une solution auto-hébergée.
Utiliser un VPN ne complique pas beaucoup, à mon avis. Je configure une mise en place similaire à l’idée de l’OP depuis environ 1,5 an et je n’ai rencontré aucun problème lié à la connexion VPN (après avoir installé le script de reconnexion VPN, la solution propre à Synology ne fonctionne pas correctement).
Ce n’est pas une question de confiance ou non envers Tailscale. Si je peux héberger mon propre VPN, pourquoi ne pas le faire ? Il y a une différence entre faire confiance à mon ordinateur portable sécurisé qui rejoint « internet » vs faire confiance à toutes mes données personnelles sur mon NAS à Tailscale sans qu’il ne soit piraté. Si Tailscale est piraté, ou si le gouvernement a un mandat contre Tailscale, quelqu’un pourrait ajouter un nœud malveillant à ton réseau Tailscale et commencer à sonder ton NAS. Tailscale obéira à un mandat. Le VPN auto-hébergé ne peut pas « obéir ».
Merci, je vais regarder la possibilité d’un déploiement Wireguard. Est-ce que c’est essentiellement la même chose que Tailscale, sauf que l’interface web est hébergée localement pour synchroniser les serveurs, au lieu que Tailscale fasse fonctionner cela?
Je pense qu’il est raisonnable d’utiliser le VPN sur ton NAS. Je pensais que ce serait bien d’avoir la “mise en réseau” sur mon routeur, mais cela empêche aussi d’utiliser Wireguard. Si tu comptes acheter un modèle “Plus”, je te recommande de vérifier comment faire fonctionner Wireguard via Docker comme alternative à OpenVPN.
Cool. Je ne le savais pas.
Je ne suis pas très calé en technologie. J’ai compris comment faire cela. La configuration de Wireguard est plutôt facile.
Oui, la configuration VPN ne semble pas compliquée du tout, et ajoute une couche de sécurité énorme. Ma seule question est : comment puis-je contacter le NAS distant s’il n’a pas son propre serveur VPN, mais est connecté au VPN du NAS principal.
Comme mentionné, avec Zerotier, tu peux t’auto-héberger de nos jours, donc avec ça, tu pourrais te connecter à n’importe quel service sur ton NAS, en un seul coup, comme s’ils étaient tous dans un réseau local. Je l’utilise depuis des années, et c’est encore gratuit pour jusqu’à 50 clients, sans usage professionnel.
Je ne m’inquiète pas trop de toute façon à propos du gouvernement essayant d’accéder à mes données, si ce n’est pour empêcher (d’autres) acteurs malveillants qui pourraient vouloir gagner quelque chose en chiffrant les données. Je ne pense pas que mon gouvernement soit vraiment intéressé par ce que je (pourrais) avoir (YMMV).
Je ne connaissais pas du tout la verrouillage de Tailnet. Cela soulagerait mes préoccupations concernant l’utilisation de Tailscale en général. Merci d’avoir évoqué cela.
Oui, Tailscale facilite simplement la mise en place et ne nécessite pas une configuration séparée pour Wireguard. Ça marche pour moi. 