Configuration de mon NAS QNAP

J’ai une question autour de mon NAS, que j’aimerais bien reprendre en main (celui-ci m’a un peu échappé, tout roule mais à chaque MAJ de version je me prends la tête à trouver comment mettre mes appli *arr à jour sans m’arracher les cheveux que je n’ai plus).

Considérez que je suis un noob en réseau, et que ce qui est évident pour vous ne l’est pas pour moi.

J’ai donc décidé, après un vote avec moi-même, de ne plus utiliser portainer ou autre subtilité applicative qui m’échappeb (parce que je finis par y arriver, mais sans rien comprendre), mais je passe directement par l’outil du NAS, à savoir « Container Station », qui, en recréant les images, fonctionne au poil, moyennant UN truc qui m’ennuie : l’adresse IP du container.

Mon NAS est configuré pour fonctionner en local uniquement (je n’ai jamais pris le temps de l’ouvrir à l’extérieur et tant que j’avais pas la fibre, c’était no way). Il tape donc sur du 192.168.1.105, because why the fuck not, en 8080 donc.

Et donc le seul moyen pour que tout ça fonctionne c’est d’avoir mes applis « publiées » sur 3 adresses IP différentes : 201/202/203, que j’attribue en static pour ne pas avoir à changer mes bookmarks à chaque update d’appli.

  1. Est-ce que c’est un fonctionnement « logique » ? Si non, ce serait quoi le smart move ?
  2. Je tape donc aujourd’hui sur l’IP de mon NAS en http, sans le « s » oui tout à fait (en mode « 192.168.1.105:8080 »). J’imagine que ça a un sens de sécuriser ça en SSL, et du coup, comme m’affranchir du fait que je n’ai pas de certificat pour bypass la page relou « oui, cliquer ici pour continuer » ? J’imagine que c’est une histoire de certificat à installer ?Comment vous faites de votre côté, vous tapez sur une adresse syno / qnap « de l’internet », en SSL du coup ? Ou est-ce que vous tapez dessus en SSL mais sur une IP locale ? Quid du certif’ dans ce cas ?
  3. Par défaut, pour chaque appli, le mode « NAT » du container me file une IP en 10.0.3.2:port. Sauf que je n’arrive pas à taper sur cette IP depuis mon PC sur lequel je suis (j’imagine que l’IP fonctionne depuis le NAS, mais je suis sur mon PC Windows pour gérer tout ça).

Comment je peux faire en sorte que mes applis déployées via ce « container station » tape vers l’IP originale (192.168.1.105 donc) ? Mes applis sont pourtant configurées en NAT avec l’initialisation des ports recommandés par les différentes applis (tcp / udp en fonction des cas). J’imagine qu’il me manque quelque chose autour de la redirection de ports ? Mais dans ces cas-là, je ne sais pas où ça se configure… si quelqu’un a une idée ?

Si quelqu’un peut déjà m’aider à comprendre ces deux premières questions, je lui serai déjà pas mal redevable :slight_smile:

Merci !

Généralement c’est plutôt tout sur la même IP mais avec des ports différents. Mais bon, c’est pas déconnant d’avoir des IPs différentes, surtout que ca semble la manière de fonctionner de Container Station

D’après ce que je lis, le certificat quand tu actives HTTPS dans l’interface ne serait valide que pour le domaine myqnapcloud. Donc, au lieu de te connecter avec l’ip 192.168.1.105, tu te connectes avec l’url .myqnapcloud.com

Euh, plus haut tu écris que tu as 3 IPs 201/202/203. Donc 10.0.3.201:port je suppose?

Il te manque probablement une route statique sur ton routeur ou directement sur ton PC pour dire que tout ce qui concerne le réseau 10.0.3.0/255 doit être envoyé à 192.168.1.105

Justement, ne les configure pas en NAT. Prend le mode Bridge ou Host (je n’ai pas trouvé dans la doc comment ca s’appelle sur les dernières versions) et tu devrais avoir ton app qui tourne sur 192.168.1.105:port
Et du coup pas besoin de la route statique dont on parle au dessus

Pour le SSL oui, c’est ce que j’avais compris, si je me connecte de l’extérieur, c’est via cette adresse en .myqnapcloud.com. Mais du coup, en local, on s’en fout d’être en SSL ?

C’est si je les configure en NAT que ça me sort une ip en 10.x:port :slight_smile:

Pour la redirection de port, j’ai l’impression que c’est quelque chose à faire en dehors de Container Station. Je pensais que c’était lié, mais c’est sans doute dans le NAS directement. J’ai de toute façon le port torrent à ouvrir, va falloir que je creuse ça.

Ok donc les configurer en 192.x:port n’est pas déconnant, c’est cool.

Merci, je vais creuser tout ça, je reviendrai sûrement pour faire un état de l’art de ce « refresh install », pour me débarrasser de mon dédié qui ne me servait qu’à ça.

Visiblement, certains ont un client torrent sur leurs NAS ou PC qui fonctionne bien, avec les blocklists qui vont bien (merci @MisterP), et ce sans VPN ou autre proxy exotique. J’imagine que ça + le blocage du share ratio devrait être suffisamment « protégé »… De toute façon l’idée c’est de n’ouvrir que les ports nécessaires, et de doubler ça d’une authent’ sur les clients concernés d’ailleurs désormais Radarr demande une authentification obligatoire, sauf sur les adresses en local, ce n’était pas le cas avant :slight_smile: ).

En local ausi tu peux utiliser cette URL.

Je me disais que ça me faisait sortir pour rerentrer non ?

Je ne connais pas les QNAP, mais quand je te lis mentionner portainer, images et container, je me dis que tout ça doit être sous docker.
D’où pe l’adressage réseau # de ta plage habituelle.
Pourquoi ne pas utiliser les applications qui devraient être dispo directement dans la store QNAP ?
Docker, il y a des avantages et des inconvénients (et c’est un utilisateur de portainer entreprise qui écrit…)

La problématique de QNap c’est que les applis natives sont pas légion et que certaines sont même payantes (en tous cas quand j’avais regardé pour les *arr). J’ai Plex en appli native mais les MAJ sont à faire à la mano en téléchargeant les .qpkg, ce qui ne m’enchante guère…

L’idée c’est que ça fonctionne sous le truc « container station », qui lui, s’appuie sur « ce qu’on veut comme container », et là j’en ai mis 3 via docker, ça fonctionne et ça n’impacte que peu la structure du NAS, la config des app est exportables, c’est facilement « resetable » si nécessaire… là où l’appli QNap, t’es dépendant de celui qui l’a publié non ?

Alors plusieurs choses (en précisant au passage que je connais pas les spécificités du container station du QNAP, j’suis dans une autre équipe).

  • A priori c’est du container docker, chaque container docker tu as une adresse interne et une externe qui est exposé. Si l’adresse interne n’est pas dans le même sous réseau c’est normal que tu n’arrives pas à y accéder, c’est docker qui s’occupe de bridger le tout. Du coup normalement tu as une règle genre 10.0.3.2:80 → 192.168.1.105:3293 ; ça se paramètre, tu n’es pas obligé d’avoir des ips différentes, en principe on garde ça quand on veut utiliser des ports qui ont un sens précis genre si tu fais tourner un serveur DNS par exemple.
  • Pour faire les choses proprement, mais bon ça nécessite de faire deux trois trucs, je mettrais en place un reverse proxy + un DNS local (genre Pihole fera l’affaire) pour avoir des jolies non pour tes services (type sonarr.local, plex.local) en ayant pas de gymnastique de numéro de port à faire (en gros le DNS local envoie tout sur la même ip ou le reverse proxy ce sert du nom pour rerouter sur la bonne ip+port). Les bons reverses proxy s’occuperont même de gérer les certificats SSL.

Voilà c’est une réponse en drive by shooting

1 « J'aime »

Non. Ca ne fait pas sortir le trafic. Ca fait juste une requete au DNS qui va dire « ah mais c’est du local ca »

Et pour tes histoires de réseau 10.0.3.0 pas accessible depuis ton PC, ouvre une invite de commande en admin et tape

route add 10.0.3.0 MASK 255.255.255.0 192.168.1.105

et regarde si ca fonctionne mieux ensuite ou pas

1 « J'aime »

Tout à fait. Il est aussi possible d’automatiser la création d’un certificat SSL également.
Il faut par contre acheter un domaine et faire « un peu » de configuration.

Pour les mise à jour automatique il existe Watchtower.
Ca pull toutes les nouvelles images à fréquence donné et install les container tout seul.
(ce n’est pas toujours recommandé car ça peux casser les conf dans certains cas. Penser à mettre en place des sauvegardes.)

1 « J'aime »

Avec du Qnap c’est la meilleure chose à faire. J’avais fait l’erreur de mettre le mien online, configurer myqnapcloud et tout ça. Ils étaient au courant d’une faille depuis des mois, ils n’ont rien fait et des milliers de personnes ont perdu des fichiers. Heureusement rien de très important dans mon cas.

1 « J'aime »

Update du mercredi aprem : tous mes services sont up en local sur une ip qui leur est propre.

Radarr, Sonarr, Nzbget, Transmission, Plex, Overseer (qui me permet d’ajouter facilement du contenu sans passer par l’ui de radarr ou sonarr) & LunaSea (qui me permet de piloter facilement mes services via une app android, sans avoir à choper les ip à chaque fois - à voir quand j’aurai mis un reverse proxy comme préco plus haut).

Next step :

  • m’occuper des port forward, j’arrive à rien avec les serveurs virtuel de mon routeur huawei, et je n’arrive pas à « simplement » ouvrir le port d’upload de transmission :
    image
    Les tests de ports m’indiquent que c’est tjs fermé, je sais pas ce que je rate.
    Et comme je change de routeur la semaine pro, je vais attendre de voir ce que donne une livebox 5 fibre ou si je dois en acheter un supplémentaire. Si vous avez des reco, je prends.

  • configurer correctement le firewall du QNap, pour l’instant je fais pas bien, puisque je m’autoban et je capte pas pourquoi…

  • voir pour le reverse proxy sur l’adresse externe du qnap (qui fournit donc un ndd par défaut) => comme le précise @cedric faut voir si c’est safe ou pas avec un firewall bien configuré, non ? En ouvrant uniquement des ports bien spécifiques ? L’idée avec la fibre ce serait de pouvoir accéder au Plex d’un peu partout pour qui je veux (genre mes voisins ?), et idéalement sur le LunaSea / Overseer pour ajouter des trucs quand j’suis pas @home, suite à une reco par exemple.

  • configurer le pi hole comme il faut (mon routeur actuel me permet visiblement pas de changer le DNS vers lui :frowning: )

  • voir si je fous le plex dans le container ou pas, je vois pas trop la valeur ajoutée so far (j’utilise l’app native qnap so far, et ça marche).

Tu as des noms à donner ?

@pr7 je pense que je vais pas mettre Watchtower et me fier aux alertes des applis directement pour recréer les container quand je le jugerai utile. Merci de l’info anyway.

Merci pour l’aide apportée en tous cas :slight_smile:

Genre lui https://nginxproxymanager.com ou lui Traefik, The Cloud Native Application Proxy | Traefik Labs ça existe bien entendu en image docker.

2 « J'aime »

Tu utilises le container Transmission OpenVPN ou le containter Transmission classique ?
Dans le premier cas, il faut que le NAT soir réalisé au niveau de ton VPN provider.
Ce n’est pas un service qui est souvent fourni.

J’ai eu le même soucis de manière totalement aléatoire.
Depuis j’ai supprimé leur app Firewall et je suis revenu sur le service de base.
Mais bon perso j’expose rien sur Internet en direct.

Alors non, c’est pas du tout safe.
C’est pas recommandé de le faire.
Le mieux est de monter un VPN pour les accès distants.
Ou alors faire un tunnel avec les services zero trust de cloudflare par exemple.
J’ai jamais essayé cette option mais il y a beaucoup de tutos sur Internet (un exemple).

Opensense si tu veux du libre à installer sur un petit serveur (faut faire un peu de recherches pour trouver le « mini pc » qui va bien.
Sinon il y a la nouvelle gateway Unifi express qui a l’air pas mal pour le prix.

1 « J'aime »

Je peux le foutre sur le NAS et ça remplace avantageusement quelque chose de matériel ? J’avais dans l’idée de foutre l’équivalent d’un Archer C5 de l’époque entre la box et mon réseau à la base…

Pour la Unifi Express elle semble assez controversée, à voir…

Pour l’instant je suis en train de me battre avec mon réseau, le container station fait que de base le QNAP publie des virtual switch avec une mac adress & une adresse ip qui change à chaque reboot (en gros : ça prend plus l’adresse MAC « physique » du port branché, mais celui du virtual switch -_-), ce qui m’arrange pas, donc je cherche à rendre ça statique, mais guess what, not that simple…

Edit : ça me prend la tête d’une force :rofl:

Voilà la gueule du truc :

A priori en passant par le truc docker / container station, je n’ai pas le choix que de passer par du virtual switch comme présenté. En soit, chaque appli fonctionne (pour celles allumées dans l’exemple, en bleu) : je peux taper sur leur appli, elles communiquent bien avec le net et savent fonctionner en solo.

Quand je vais sur les bash de chacune, j’arrive à ping les IP des autres (nzbget tape sur radarr, et inversement) : je suppose donc que c’est ok.

Mais quand je vais dans Radarr configurer le lien avec NZBGet : le test passe pas :

image

J’ai dégagé toutes traces de « sécurité » pour faire mes tests. Et dans NZBGet, j’ai laissé ça :

Ca doit être un truc tout con mais putain, je sèche. Et je vous montre pas le nb d’onglets ouverts :grimacing:

Tu dois pouvoir mais ca va devenir vraiment compliqué. Surtout qu’il faudra plusieurs interfaces sur ton NAS ou faire sur 802.1q pour faire passer des vlans sur un switch. Les performances vont aussi prendre un coup à moins que ton NAS ait vraiment les reins solides.

Généralement ceux qui font ça utilisent plutôt un vrai hyperviseur comme Proxmox et font tourner OpenSense et Trusnas sur des VM (en faisant du passtrought pour le hardware). Mais généralement il faut du materiel « pro » pour commencer à envisager ce genre de chose. Mais tu peux toujours essayer je suppose.

Normalement Container station créé un réseau IP dédié au docker.
Tu as configuré toutes tes images en bridge ??

Parce que le plus simple c’est de laisser les IP interne au vswitch de container station être géré en dynamique (on ne peut pas faire autrement a priori de toute façon, j’ai cherché il y a quelques temps) et d’utiliser l’IP du NAS avec les ports que tu as choisis de « mapper » ou via l’URL du reverse Proxy quand tu en aura mis un.

Tu as vérifié si c’est pas le Firewall de Qnap qui bloque les accès ?
Normalement c’est sensé être bien fait mais bon.

Aujourd’hui oui tous les containers sont en bridge. Chaque container a son IP fixe pour justement pouvoir taper dessus.

Après je n’ai pas encore regardé les reverse proxy mais il faudrait que je commence par là ?

Edit : jai viré qufirewall mais ptet que le truc de base fait des siennes oui je regarderai merci.

Je ne connais pas les QNAP mais c’est normal que l’adaptateur et le réseau virtuel aient la même IP ?

Je n’ai pas l’impression d’avoir la main sur l’adaptateur. Dans mon exemple c’est moi qui ait attribué une IP fixe a mon virtual switch, car sinon a chaque reboot j’ai un MAC différent.

OK PARDON

J’ai désinstallé donc le QuFirewall qui me bloquait à chaque instant et… le firewall de NAS de base s’était par défaut réactivé, et injecte automatiquement une plage d’IP sur laquelle je n’avais pas les services que je souhaitais :grimacing:

Donc, next, quest for Pi Hole & reverse proxy.