Configurer votre routeur pour rendre un NAS visible sur Internet

Tutoriel : Avec l’exemple concret du Synology qui peut héberger un site Web, nous verrons comment configurer le routeur de votre box pour pour rendre le web serveur d’un NAS visible sur Internet. Ce que l’on peut appliquer à toute autre application.

Si vous avez décidé d’héberger un serveur web sur votre Synology, vous vous êtes sans doute demandé comment accéder à ce site Web depuis Internet. Ce tuto vous introduit aux notions de base nécessaires à la configuration de votre routeur (ou box Internet telle que la Freebox ou la livebox) afin de rendre visible le web server ou toute autre application (accès FTP, e-mail, …).

Un peu de réseau pour tout clarifier

Nous allons nous baser sur un exemple concret tout au long de ce tutoriel. Nous pourrions schématiser le besoin expliqué en introduction de cette manière :

Schema_reseau_local_et_Internet

Schéma positionnant le NAS Synology dans le réseau local et Internet

 

Définitions de base

Les définitions ci-dessous ne sont pas très académiques, mais elles vous permettront de comprendre de quoi je parle dans la suite de l’article.

Adresse IP

Tout ordinateur (et NAS, routeur) connecté à un réseau est identifié par une adresse IP. Elle peut être :

  • Locale ou privée : les ordinateurs connectés directement à Internet ne la voient pas.
  • Publique lorsque la machine est connectée directement à Internet.

Dans notre cas et comme sur le schéma on comprend que :

  • Seul le routeur a une adresse IP publique. donc c’est le seul élément de votre réseau local visible sur Internet.
  • Le NAS, votre ordinateur… ont tous une adresse locale. Même si Windows vous dit que vous êtes « connecté à Internet », tout se fait par l’intermédiaire du routeur.

Service ou Application

Les ordinateurs offrent des services (serveur Web, FTP, Mail, …) à l’aide d’applications (Apache pour le service Web; MySQL pour les bases de données; …).

Port

Une application utilise un numéro de port qui lui est propre. C’est un peu comme un numéro de tuyau. Pour illustrer, si vous mélangez les tuyaux d’eau d’alimentation et d’égout, cela va mal se passer. Ainsi deux applications ne peuvent pas utiliser le même port sinon il y aurait un sacré mélange à l’autre bout du tuyau.

Protocole

Ne cherchez par trop ce que cela veut dire. Dans notre cas très précis, retenez surtout qu’une application peut utiliser une des combinaisons de protocole suivantes :

  • UDP
  • TCP
  • UDP et TCP

Modem

C’est la boîte qui vous connecte physiquement à Internet, avec les « box » modernes (FreeBox, LiveBox, …) le modem et le routeur sont dans le même boitier en plastique.

Routeur

Le routeur est comparable à un poste d’aiguillage. Si vous avez lu les définitions jusqu’ici, vous avez compris que tout passait par son intermédiaire. Les ordinateurs du réseau local et d’Internet échangent des données entre eux (vidéos, e-mails, …). Le rôle du routeur est d’acheminer à bon port ces données. Il utilise pour cela le numéro de port ainsi que les adresses IP locales et publiques.

Redirection de port

à votre domicile, il ne peut y avoir qu’une machine qui offre un service exposé sur l’Internet via un numéro de port. Par exemple si vous voulez accéder à un site web hébergé sur votre Synology depuis l’ordinateur de votre lieu de travail (« Client » sur le schéma). Vous allez définir une redirection de port sur le routeur en définissant que :

  • L’application Serveur Web utilise le port 80.
  • C’est la machine Synology dont l’adresse IP locale est 192.168.0.25 qui l’héberge.

Sur l’ordinateur de votre lieu de travail, par contre, vous utiliserez l’adresse IP publique du routeur pour accéder au site Web. Vous taperez l’URL http://82.231.203.55/index.html. Le routeur recevra donc une demande de page web, mais grâce à la redirection de port que vous aurez défini, c’est le NAS Synology qui répondra.

Obtenir les informations de configuration

Avant de se lancer dans la configuration du routeur, il nous faut collecter quelques informations.

Obtenir l’adresse MAC du NAS

Il y a plusieurs moyens d’obtenir l’adresse MAC de votre Synology:

  • Depuis l’interface web d’administration; faire « informations système » et cliquer sur l’onglet « Réseau ».
  • Avec le logiciel Synology Assistant, dans la colonne « Adresse MAC » :
Synology_Assistant

Programme Synology Assistant

 

Obtenir l’adresse IP publique

Il y a plusieurs moyens d’obtenir l’adresse IP publique. Par exemple :

  • Dans l’interface d’administration de votre Box, dans le menu DDNS.
  • Avec un site web qui affiche votre adresse IP (celui-ci par exemple).
  • On peut aussi l’obtenir via l’interface d’administration du Synology, dans le menu DDNS :
Menu DDNS du Synology

Configuration du DDNS du Synology

 

Configurer le routeur de votre Box

Il y a deux éléments à configurer dans le routeur :

  • Il faut que le routeur soit sûr que le Synology est bien à une adresse IP précise (192.168.0.25 dans notre exemple) et pas à un autre endroit au moment où il faudra lui rediriger une page web par exemple. C’est ce que l’on appelle attribuer une adresse perpétuelle (ou encore un bail IP perpétuel).
  • Il faut établir la règle de redirection qui est la suivante : « si un ordinateur connecté à Internet me demande d’accéder à l’application qui utilise le port 80 alors je dois rediriger sa requête à la machine de mon réseau local dont l’adresse IP locale est 192.168.0.25 (le NAS Synology qui héberge le serveur Web dans notre exemple) ».

Je me baserai sur une box /routeur Numéricable, mais la configuration est sensiblement la même d’une box à l’autre : fouillez dans les menus jusqu’à tomber sur le bon endroit (il n’y a pas beaucoup de pages de toute manière).

attribuer une adresse perpétuelle

Allez sur l’interface web d’administration de votre routeur (le plus souvent sur http://192.168.0.1) et cherchez une page qui s’appelle « DHCP ». Sur cette page doit se trouver une partie qui s’appelle « Réservation Adresse DHCP », « Bail permanent » ou encore « Affectation adresse IP ». Dans le cas de Numéricable, saisissez l’adresse MAC de votre Synology et l’adresse IP permanente que vous souhaitez lui attribuer. Cela doit rester cohérent avec le reste de votre réseau. Dans mon cas, les ordinateurs sont numérotés à partir de 192.168.0.10 donc, je suis tranquille en prenant la position 25, je ne gênerai personne :

Configuration_routeur_numericable_adresse_IP_permanente

Affecter une adresse IP permanente à mon NAS Synology

établir une redirection de port

Nous pouvons maintenant configurer le routeur de manière à établir une redirection. Cherchez maintenant une page qui s’appelle « Redirection » ou « redirection de port ». Dans notre cas, nous configurerons le port 80 (http), mais nous pourrions aussi configurer le port 443 (https) si nous souhaitons accéder de manière sécurisée à notre site web :

Configuration_routeur_numericable_redirection_de_port

Configuration de la redirection des ports 80 et 443 avec Numericab

Vous constatez que l’application http utilise le protocole TCP.

En cas de problème

Si vous tentez d’accéder à une application qui utilise un port différent de 80 ou 443 depuis votre entreprise et que cela ne fonctionne pas, sachez que le service réseau de votre société a sûrement décidé de bloquer tous les ports différents de 80 et 443 par mesure de sécurité.

Une autre explication peut être le fait que le pare-feu du Synology bloque le port 80. Il faut alors ajouter une règle d’exception en vous inspirant de cet autre tutoriel. Ou utiliser l’assistant EZ-Internet.

Liste des ports utilisés par le Synology

Maintenant que vous êtes un expert en redirection de port, vous pouvez vous lancer dans le routage d’autres applications que le serveur web à l’aide du tableau ci-dessous :

Port Protocole Application ou service Notes
20 TCP FTP-Data
21 TCP FTP
22 TCP SSH/Encrypted Network Backup
23 TCP Telnet
25 TCP Mail Station SMTP
53 TCP Domain Name Service Name Resolution
67 UDP DHCP Client
80 TCP PhotoStation 2 + Video, Web Service Other ports can be added, in case 80 is not available.
110 TCP Mail Station POP3
111 TCP/UDP NFS
123 UDP Network Time Protocol NTP Server
137 UDP NetBIOS
138 UDP NetBIOS-Datagram
143 TCP Mail Station IMAP
139 UDP NetBIOS-ssn
389 TCP/UDP LDAP For ADS Connection
443 TCP HTTPS Secured Web Service
445 TCP/UDP Microsoft-ds Also named CIFS or mentioned as Samba (shares of the NAS)
537 Network Media Streaming Protocol
548 TCP Apple Filing Protocol
554 TCP/UDP Real Time Stream Protocol
873 TCP Encrypted/Network Backup Rsync
892 TCP/UDP NFS
989 TCP FTP-Data over TLS/SSL
990 TCP FTP over TLS/SSL
993 TCP Mail Station IMAP over SSL/TLS
995 TCP Mail Station POP3 over SSL/TLS
2049 TCP/UDP NFS
3260 TCP iSCSI
3306 TCP/UDP MySQL Service
3689 TCP DAAP Digital Audio Access Protocol used by Apple’s iTunes
4662 TCP eMule
4672 UDP eMule
5000 TCP Synology Management Console, File Station, Audio Station
5001 TCP Secured Synology Management Console, File Station, Audio Station
5432 TCP/UDP Download Redirector
5353 iTunes Media Service
6881-6890 TCP BitTorrent (before firmware v2.0.1-3.0401 you also need the ports 6891-6999)
9997-9999 UDP Various Synology Client Utilities, such as Synology Assistant, Download Redirector, Data Replicator, USB Assistant
55536-56559 TCP Default Passive FTP Range
55736-55863 TCP Surveillance Station

26 réflexions au sujet de « Configurer votre routeur pour rendre un NAS visible sur Internet »

  1. haflinger

    Bonjour,
    Blog très complet sur les NAS Synologic, excellent !
    j’ai comme vous un routeur de chez NC (v6881) et j’ai un petit NAS et donc mis en hote DMZ l’@IP du NAS (@IP manuelle dans le NAS), est-ce bien ?
    merci

    Répondre
    1. Benjamin BALET Auteur de l’article

      Bonjour et merci,

      Mettre le NAS dans la DMZ ouvre tous les ports vers et depuis cette machine. C’est donc la solution de facilité, car si le pare-feu du synology est correctement configuré, tout fonctionne du premier coup. Et donc, ce n’est plus la peine de configurer la redirection de port.

      Cependant, une machine (NAS, PC) dans la DMZ n’est plus accessible par les autres machines du réseau local. Sauf par les ports qui sont ouverts. Ce qui explique que l’on peut accéder sans problème à un site web (port HTTP=80) hébergé par le NAS dans une DMZ, mais pas à d’autres fonctions telles que le partage de fichiers… Par exemple, sous Windows vous ne verrez plus le NAS dans les emplacements réseau. Si votre TV a des fonctions réseau vous ne pourrez plus accéder aux fichiers multimédia partagés par le Synology (idem pour votre PC).

      À vous de voir ce qui vous convient le mieux. Pour ma part, je n’ai pas mis le NAS dans la DMZ et j’ai configuré la redirection de port.

      Répondre
  2. Bruno

    Merci pour ces explcations toujours très claires !
    Enfin un expert qui sait se mettre au service des novices !!
    Une petite question : pour la configurer la redirection de port (par exemple 80) du routeur inclu dans une Freebox V5 il est demandé un numéro de port à la suite de l’adresse IP de destination (192.168.0.25 dans votre exemple). Faut-il mettre le même numéro de port (80) ou un autre et lequel ?
    Merci d’avance !

    Répondre
    1. Benjamin BALET Auteur de l’article

      Dans le cas d’une redirection de port, il faut configurer le port utilisé par le client qui vient d’Internet (par exemple 80 pour HTTP) et le numéro de port utilisé par votre service. Dans le cas d’un serveur web, il est configuré par défaut pour utiliser le port 80, mais si vous l’avez configuré pour répondre sur un autre port (par exemple 8080) il faut indiquer cet autre port. En bref, on peut comparer ce mécanisme de redirection de port au standard téléphonique d’une entreprise. L’IP publique est le numéro de téléphone et le port est le numéro de poste.

      Répondre
  3. Fred

    Super tuto et merci. En revanche, je désire mettre un Synology DS111 uniquement dédié pour la « surveillance station » avec une caméra IP. Quel sont les ports qui sont préférables d’ouvrir pour accédé uniquement et seulement à cette fonction à distance?

    Répondre
  4. Gérald

    Merci bien de votre tutoriel. J’ai suivi le tutoriel de Synology pour pouvoir accéder à distance au NAS (derrière une freebox V4) sous un nom d’hôte de type no-ip, mais cela ne marche pas. Pourtant, j’ai configuré la redirection de ports comme vous l’avez indiqué. Que me reste-t-il à faire? Est-ce qu’il faut que je passe en adresse IP statique?

    Merci d’avance.

    Répondre
  5. Seb

    Parfait ce tuto.
    Ca m’a pris plus de temps que prévu car je faisais le paramétrage du routeur à la fois dans mon interface FAI et dans interface utilisateur DSM donc forcément ça bloquait.

    D’ailleurs numéricable ne permet dans son interface que DYNDNS (payant) pour le servicice DDNS

    Merci pour ce post

    Répondre
  6. friko

    Bonsoir,

    Je configure actuellement ma box Numéricâble (labox) et je trouve que les paramètres de redirections de ports ne sont pas géniaux. Anciennement avec ma LiveBox je pouvais définir un port en entrée différent du port de sortie. C’est-à-dire que par exemple si je voulais accéder de l’extérieur à trois caméras connectées derrière ma livebox il m’était possible de définir trois ports différents pour chacune de ces caméras renvoyant chacun vers le port 80.
    Exemple :

    Port d’entrée 7000 -> renvoie vers cam1 en port 80
    Port d’entrée 7001 -> renvoie vers cam2 en port 80
    Port d’entrée 7002 -> renvoie vers cam3 en port 80

    Je trouvais ça déjà beaucoup plus sécurisé (un port 80 permet d’identifier facilement le service utilisé derrière. souvent effectué par des robots) et beaucoup plus pratique.
    Bien sûr je peux changer ces ports sur les équipements, mais beaucoup moins pratiques.

    J’ai donc une question. Ai-je bien raison ou existe-t-il une méthode mettre en place une telle configuration au niveau de LaBox de Numéricâble ?

    Sinon pour répondre au poste précédent même si le post est ancien. J’utilise personnellement DYNDNS et il n’est pas payant

    Cordialement,

    Répondre
  7. MATATA

    BONJOUR MONSIEUR
    VOTRE TUTO EST CLAIRE mais je galère avec mon routeur sagemcom,j’ai un serveur web chez que je souhaite acceder depuis internet ,j’ai pris un nom de domaine chez no-ip.org puisque mon routeur ne gère pas no-ip j’ai installé un ddclient pouvoir faire la mise à jour de mon domaine et l’adresse ip public dynamique jusque ici tout va bien,j’ai configure mon routeur pour la redirection des ports (les ports 80 sont ouverts car avec le scan nmap les ports 80 de routeur et mon serveur sont bien ouverts) et vers mon serveur en gros toute la configure a été faite.
    maintenant que je tape mon domain sur sur le navigateur (exple ;mondomaine.no-ip.org) je tombe sur l’interface de mon routeur ou un login et mot de passe me sont demande donc depuis la je butte sur mon routeur je ne sais plus quoi faire ça fait 1 semaine je n’arrive pas à de cloquer la situation pourriez vous m’aidez à retrouver une solution merci d’avance

    Répondre
  8. Azad

    Merci pour l’effort, qui appel d’autres explications claires comme tu semble savoir le faire.
    Voilà mes nuages.

    Nuage : Quelle adresse Internet je donne à ma famille pour qu’ils accèdent à l’application Photo Station sur mon Syno (DS212+). Je veux dire, que doivent-il écrire (ou cliquer un lien préparé pour eux) dans la barre d’adresse du navigateur ? C’est l’adresse du Syno/photo suivi du port ? Mon adresse public/photo sui vi du port ? Autre chose ?…
    La question est tellement bête que s’en est honteux de la poser, portant cette information est essentielle au partage en famille. Je n’ai rien trouvé de simple et explicite sur le net pour répondre à cette question (je ne parle pas des paramétrages Syno et livebox et Photo Station, là ya plein de choses)…

    En sachant que j’ai un hoste sur NoIp disons : famille.zapto.net (je n’ai pas encore installé le soft mais mon ip public dynamique ne sera changée que dans une semaine chez livebox2, je verrai ça après) .

    Autre nuage : De ce que je sais, un routeur n’est pas un modem ADSL (comme la livebox2), ce n’est pas la même fonction. J’éprouve une certaine confusion dans les tutos qui évoquent le paramétrage du routeur qui implicitement désigne le modem ADSL. Faut-il fusionner les deux notions pour notre cas ? Faut-il donc paramétrer le routeur repéré en icône dans la panneau de config du Syno ? C’est très peu clair sur le net. Je pense que l’on mélange les mots et du coup je m’y perd à suivre les explication….

    Gros nuage : Redirection de port. Si j’ai bien compris, je peux (par sécurité puisque c’est un port privilégié pour les attaques) demander à un client public (qui vient d’Internet, comme ma famille par exemple) d’accéder à mon Syno avec une demande de port from (inventé) 8888 qui sera redirigé dans ma livebox via PAT/NAT vers le port to. Exemple 443 ou 5001 (port sécurisé pour photo Station) ou alors par 80 ou 5000 (mais c’est là que le problème de sécurité m’échappe, si ce n’est que mon Syno à une case à cocher noter rediriger HTTP (port 80 donc) vers HTTPS), j’ai même du mal à poser ma question ne sachant par quel bout la prendre, pardon…. J’attends un souffle de vent pour chasser tout ça…

    Répondre
  9. Le Bode

    Génial, mais je n’y arrive pas !
    Mon synology est raccordé via une b-box-2 et je n’arrive pas avoir un accès depuis l’extérieur HELP please

    Répondre
  10. olivier

    Merci pour ces informations mais j’ai de mon côté encore un souci avec mon serveur web. Par contre, la connexion sur mon interface d’administration avec le port 5000 fonctionne parfaitement depuis l’extérieur.
    Donc…Lorsque je me connecte de l’extérieur sur mon serveur web hébergé par mon synology (DS214+ en DSM 4.3) je suis redirigé sur mon IP locale. C’est pénible et je ne comprends pas.
    En gros si je tape http://IPPublique/NomdemonSite je suis redirigé vers http://IPlocaleServeurNAS/NomdemonSite

    Et du coup je n’arrive pas à me connecter de l’extérieur sur mon site web. A noter que je suis chez free.
    J’ai effectué la redirection de port correctement pourtant.
    Si vous avez une idée je suis preneur.

    Répondre
  11. bisson

    Bonjour, exelent tuto.
    Juste une question, mon ip n’est pas fixe due à ma zone « très rural » cela risque t’il de poser un problème ?

    Répondre
  12. jacques

    Bonjour et mille merci, ce tuto est vraiment excellent.
    Chacun a ses propres problèmes et je me permet de soumettre le mien. Peut-être cela sera d’utilité publique 🙂
    Ma configuration : un routeur et deux NAS synology.
    L’application Photo station est installé sur chacun de ces deux NAS. Sur un de ces NAS, j’ai déposé des photos professionnelles et sur l’autre NAS j’ai mis des photos personnelles.
    Question : quels ports choisir et comment les re-diriger dans mon router? En d’autre termes quelles adresses l’utilisateur externe devra taper dans son navigateur pour accéder soit aux photos du NAS1 ou aux photos du NAS2, sachant que j’ai enregistrer ces deux adresses chez Synology : NAS1.synology.me et NAS2.synology.me ?

    Amicalement votre

    Cordiales

    Répondre
  13. Phil

    Bonjour,

    J’étais perdu, malgré les explications de Synology !
    Grâce à vous, j’ai bien avancé et compris ces réglages, même s’il me reste encore des choses à configurer.

    Merci infiniment

    Répondre
  14. bacue

    moi j’ai un autre problème, je voudrais configurer 2 serveurs FTP sur 2 ports différents.
    celui que je mets sur le 21 fonctionne parfaitement.
    par contre quand j’essais sur d’autres ports dispo il se connecte bien mais impossible de rapatrier et d’afficher les dossiers du serveur.
    avez vous une idée?
    merci pour votre aide.
    Pascal

    Répondre
  15. antonio

    Bonjour,
    merci pour ce tuto très bien fait.
    j’ai un petit problème pouvez-vous m’aider.
    je peux me connecter au naz en FTP du web aussi bien que sur le réseau local, je peux me connecter en FTPS sur le réseau local mais pas du web avez-vous une solution.
    merci

    Répondre
  16. marie

    Bonjour,
    Bravo et merci pour ces explications très claire,
    cependant je rencontre un problème,
    l’adresse IP de mon Disk station est 192.168.1.46, et lorsque je veux l’enregistrer dans le champ de reservation DHCP, il m’impose de commencer par 192.168.0.
    comment puis je modifier le 0 pour le 1 ?
    j’aimerai vous envoyer une capture d’écran de ma configuration pour que ce soit plus clair.
    d’avance merci,
    Marie

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *