Nas diy OMV 5 et accès a distance

Bonjour à tous,
Je suis tout nouveau sur ce forum, pardonnez-moi d’avance si je suis dans la mauvaise catégorie.
Je vous expose mon problème :

Avec le confinement, j’ai eu le temps de pouvoir me monter un NAS diy avec un ancien pc.
C’est un Core 2 Duo E7500 à 2,93 GHz en 64 bits avec 4 Go de RAM avec OMV 5 qui tourne sans problème et 7 To en RAID5. Jusque la tout va bien. Sauf que, j’aimerai pouvoir accéder à mon nas depuis l’extérieur de mon réseau local, quand je suis en déplacement par exemple.

J’ai été sur de nombreux forum, lu beaucoup de vidéos et de tutos mais rien n’y fait.
L’option openvpn était prometteuse, mais il faut un processeur ARM (soi-disant) donc impossible de l’installer. Je pourrais passer par la fonction FTP de omv mais je n’arrive pas à paramétrer les ports, les redirections de ports dans ma freebox… c’est très obscure… Je pourrais passer par le vpn de la freebox mais il faut que j’arrive à lier le nas à la freebox et là aussi c’est le flou total malgré les tutos et autres explications… Ça ne donne rien chez moi…
Est-ce que quelqu’un aurait éventuellement un site, une vidéo ou une explication ultra détaillés pouvant résoudre mon problème ?

Si toutes mes explications n’ont pas été claires, voici un petit résume : J’aimerai pourvoir accéder a mes fichier sur le nas à l’extérieur de mon réseau local de manière sécurisée (sans que mon nas soit ouvert à internet). Quelqu’un peut-il m’aider ?

Merci beaucoup.

c’est très contradictoire : si tu y accèdes depuis l’extérieur, c’est que ton nas est ouvert sur Internet.
(à moins d’utiliser un autre protocole, le minitel ou un pigeon voyageur…)

la manière la plus simple, performante, et sécurisée d’accéder à du contenu distant et d’être le seul à pouvoir le faire c’est SSH.
SSH permet nativement de faire du SFTP et ainsi d’accéder à ses fichiers via de nombreux gestionnaires de fichiers.
pour une sécurité optimale il faut utiliser une paire de clés et désactiver toutes les autres méthodes d’authentification.

c’est un peu limité / compliqué dans le cas ou de nombreux utilisateurs doivent accéder à des ressources. dans ce cas d’autres protocoles comme webdav (via nextcloud par ex.) peuvent être plus adaptés.

Voilà, c’est de ça dont je parle… Je ne comprends pas grand chose et j’en suis désolé…
Je te remercie pour ta réponse @kro, je vais explorer la possibilité nextcloud

à mon avis la mise en place de nextcloud c’est plus compliquée que celle d’un accès SSH (donc SFTP) qui permet au passage de gérer l’intégralité de ton serveur…

https://wiki.debian.org/fr/SSH
sinon regarde peut-être la doc d’ubuntu elle est peut-être plus accessible, et c’est exactement pareil :
https://doc.ubuntu-fr.org/ssh

J’ai suivi tes conseils @kro et je me suis renseigné pour l’installation de nextcloud.
Il semblerait que ça correspond bien à mes attentes, tu avais vu juste. La configuration à l’air simple mais elle a l’air seulement, je pense que quand je vais me lancer dedans ça sera une usine à gaz…
En ce qui concerne le SFTP, j’avais déjà explorer la chose sans grand succès toujours à cause de la configuration réseau du nas dans la freebox. C’est assez nébuleux… Bref !
Merci pour tes liens, je vais me plonger dedans et refaire des recherches.
Merci toi

Bonjour,
L’accès SSH est une bonne solution, mais tout dépend ensuite comment tu vas utiliser ton accès externe (via un téléphone par exemple, le SSH est rien moins que user friendly)
Ton NAS a une interface web d’utilisation? C’est à dire peux tu gérer tes fichiers sur ton NAS avec une interface web? Un peu comme le fait un Synology par exemple?
Une solution consisterais à mettre en place un HAPROXY qui écoute sur un port différent de l’interface. Sur ta box, tu fait un NAT vers l’ip/port du HAPROXY. Sur ce HAPROXY tu configure un certificat (ce qui t’oblige a avoir un certificat client et un certificat serveur, c’est mieux et le HAPROXY renvoie ensuite vers OMV.

L’utilité du HAPROXY c’est que met une coupure entre l’accès et ton service. Ca améliore la sécurité.

Ensuite c’est lui qui gère les certificat (comme ca si tu as plus tard d’autres service à publier tu peux les ajouter).

En gros ca te donne:

(Client)[HTTPS avec certificat] —> (IP Publique/port ou FQDN/port) —> [HTTPS avec Certificat](IP HAPROXY/port) —> (IP OMV/Port)

Tu peux avoir 3 ports différents:

• Le port public
• Le port proxy
• Le port OMV

Dans tous les cas, SSH ou autre, sur ta box, fait une translation de port pour ne pas publier sur internet le port réel de la machine. De plus, si tu veux faire du SSH vers des machines différentes, il te faut un port par machine.

Si tu ajoute un service un jour, qui a le meme port que OMV, masi une autre IP, il te suffit de prendre un autre port sur le HAPROXy pour le differencier.

HAPROXY permet de jouer sur le nom de host, l’ip, l’url complète etc…Et il permet d’ajouter une couche de sécurité.

Personnellement c’est ce que j’ai fait pour publier sur le net mon NAS synology et d’autres services.
Mais j’utilise un OPNsense comme Box.

Merci @Zargos pour ta réponse, l’idée du proxy n’est pas si bête et je recherche de la sécurité c’est pour ça qu’au départ je voulais installer openvpn.
Pour répondre à tes question, oui j’ai une interface web qui me permet de gérer mon nas et l’idée de me prendre la tête avec cette machine c’est déjà que j’en ai besoin et ensuite qu’il ne m’a rien coûté
En fait, je voudrais gérer mon nas de l’extérieur comme si c’était un dropbox ou onedrive. J’aimerai pouvoir y accéder depuis tous les appareils que je veux. C’est pour ca que je « reste » sur l’idée de @kro avec nextcloud
La question que vous vous poserez est « prends un compte dropbox et fin de l’histoire », le truc c’est que la je sais ou sont stockées les données et puis je voudrais l’utiliser pour plex aussi (mais c’est autre chose, j’ai pas eu de problèmes), d’ou nextcloud.
Ce qui me pose vraiment soucis ce sont les histoires de ports, IP, DNS, DHCP… J’ai beau me renseigner sur tout ca, à chaque fois que je pense avoir compris, la configuration de la box n’est pas la bonne…
Je vais retenter le coup, on verra bien

nextcloud je connais, j’ai utilisé jusqu’à ce que j’investisse dans un Synology
Ça a été mon cloud pendant presque 4 ans.

Pour m’y connecter, j’ai déployé un HAPROXY en frontal qui gérait les accès HTTP en layer 7 mais qui faisait le reste en layer 4 (en 7 tu gère le protocole, comme HTTP, en layer 4 tu fais juste le passe plat).

En fait ton HAPROXY gère directement les couches de sécurité SSL (avec certificat etc…).

Tu peux même avoir un certificat entre tonc lient et HAPROXY et un autre entre HAPROXY et ton nextcloud.

Si tu passes sur un accès direct sans VPN, plus rien à faire du DHCP. Il n’y en a plus besoin.
Ensuite, tu peux accéder de l’extérieur à ton service via l’IP publique. C’est moins bien mais ça marche. Perso je n’utilise pas les DynDNS je n’aime pas ça, alors je dépense 16 euros par an pour un domaine personnel chez Gandi.

Pour les ports, c’est toi qui choisi, ainsi ça évite d’utiliser des ports standards qui seront vite scannés en masse.

Cependant, le VPN ça reste encore la solution la plus sécure, mais pas la plus user friendly pour ce genre de service.

Merci à vous @kro et @Zargos pour vos conseils et experience.
En ce qui me concerne, j’ai remit un peu en question tout ça et je pense que je vais me contenter d’un NAS en local. C’est beaucoup plus simple et du haut de mes petites connaissances en informatique et en reseau, je ne pense pas pouvoir reussir pour l’instant. Peut-etre dans un futur proche.
En attendant, merci beaucoup à vous et pardonnez-moi pour la perte de temps…
Au plaisir

Bonsoir

C’est vrai que quand on débute sur le réseau, il y a tellement de possibilités qu’on est très vite perdu, et c’est tout à fait logique.

Mais tu pourrais déjà diviser le problème en petites étapes, par exemple commencer juste par apprendre te connecter par ssh d’une machine à l’autre juste chez toi,
avec ça, tu verras déjà ce qu’il est possible de faire, et tu passerais ensuite, après avoir fait et refait plusieurs fois les tests de la première étape, à l’étape suivante consistant à te connecter à une de tes machines depuis l’extérieur,
etc.

+1

c’est ce que j’essaie de te dire : en plus d’être très pratique et sécurisé, SSH est de toute manière indispensable pour la gestion d’un serveur. tu pourras pas y couper si tu veux te lancer là dedans.

je te conseille de commencer par une vidéo de vulgarisation des méthodes de chiffrement, ça te permettra de comprendre ce que tu fais et t’évitera d’appréhender les lignes de commande comme s’il s’agissait de formules magiques incompréhensibles :

ensuite tu peux passer à la pratique :

Attention dans la deuxième vidéo, il y a une hypothèse préconçue, qui est que la machine virtuelle ne fait pas partie du réseau local, mais d’un réseau « hote » avec un NAT.
Donc de fait on ne peut pas faire un ping du réseau vers la VM.

Ensuite coté sshd_config,

• ListentAddress c’est l’adresse ip sur la machine hébergeant le serveur SSH que laquelle celui-ci va ecouter. IL ne peut donc pas s’agir d’autre que l’une des IP visible avec la commande ifconfig -a, autre que la boucle locale bien sur.
• protocol n’existe plus désormais à partir de Debian Buster. A vérifier sur d’autres distributions mais il faudra dans ce cas mettre à jour la version openssh-server. Car le Protocol 1 est désormais obsolete.

Concernant le port d’écoute, bien s’assurer que le port choisi n’est pas un port attribué à autre chose par defaut (eviter par exemple de prendre un port comme 8080 ou 8081 qui sont par defaut utilisé par des applications web). sans oublier que tous lesports inférieurs à 1024 sont tous pris et sont des ports particulier.

Concernant l’accès via des clefs. Il faut qu’il y ait à la fois les clefs mais aussi un mot de passe (associé à la clef ou au compte). en effet, il suffirait sinon de voler la clef pour avoir tous les accès. Il faut donc avoir les deux authentification: clef+mot de passe. Surtout si on se connecte de l’exterieur. de plus, privilégier un certificat plutot que des clefs. En effet, un certificat peut etre revoqué, pas les clefs.