Synology Tunnel SSH

Vous possèdez un NAS Synology ? Vous avez chez vous une connexion haut-débit (ADSL), voir même Très haut-débit (Fibre) ? Vous etes dans une entreprise qui ne vous permet pas de surfer "correctement" ?

 

Si la réponse à toutes ces questions est OUI, vous allez être ravi d'apprendre que vous allez pouvoir utiliser votre NAS pour vous connecter chez vous afin d'utiliser la connexion de votre domicile depuis n'importe ou !

 

Web Tunneling using SSH on Synology

 

Cette méthode est décrite sur plusieurs site, souvent anglais, et il faut recouper les infos pour réussir à faire qqc de fonctionnel. Donc là, je vais essayer de faire une procédure pas-à-pas pour mettre en place facilement cette solution.

 

En résumé : On va ouvrir une connexion SSH depuis le poste distant (pc de l'entreprise) vers votre NAS sur le port 443, et on va configurer un navigateur pour que ces requetes web soit envoyées dans ce tunnel.

Etape 1

Configuration du NAS

 

Activer le SSH

via l'interface web "Control Panel" > "Terminal"

Toujours sur l'interface web, créé un utilisateur dédier (ce n'est pas obligatoire, vous pouvez utilisé le compte Admin par défaut, si c'est le cas, vous n'avez pas besoin de faire les manips suivantes, passez à l'étape 2).

 

Via votre interface web du NAS, créer l'utilisateur de votre choix, exemple tunnel

 

Il faut que le compte puisse avoir accès au shell, pour cela, pas le choix, il faut se connecter en SSH (via putty) c'est un exécutable sans installation qui permet de se connecter au Shell de votre NAS.

Télécharger
putty.zip
Archives compressées en format ZIP 259.1 KB

Une fois putty de lancer, remplacer IP LOCAL DE VOTRE NAS qui normalement est vide par l'adresse IP de votre NAS chez vous sur votre réseaux local, préféré lui une adresse IP fixe si ce n'était pas le cas, à définir dans "Control Panel" > "Réseaux". Mettez le port 22, normalement c'est par défaut. Dans la case Saved Sessions, mettez un nom et cliquez sur "Save" puis "Open".

 

La connexion SSH est lancé, dans un fenêtre de terminal, il vous demande un utilisateur, il faut se connecter en tant que "root" avec le même mot de passe que votre compte admin.

 

Puis lancer la commande suivante :

vi /etc/passwd

Allez à la fin du fichier tout en bas à l'aide des flèches, et vous devriez voir l'utilisateur créer, ajouter à la fin de la ligne en appuyant sur a

/bin/sh

vous devez avoir une ligne qui ressemble à ça :

tunnel:x:1028:100:tunnel SSH:/var/services/homes/tunnel:/bin/sh

Si c'est le cas, appuyez sur la touche ECHAP de votre clavier, puis tapez :

:wq!

 

Encore une derniere chose, vous y êtes presque !

Par défaut le compte "root" a la possibilité de faire de la redirection Tcp, mais par sécurité c'est bloqué pour tous les autres utilisateurs. On peut le débloqué pour tous mais pour garder un peu de sécurité, on va simplement l'autorisé pour le compte tunnel créé.

 

Puis lancer la commande suivante :

vi /etc/ssh/sshd_config

 

Allez à la fin du fichier tout en bas à l'aide des flèches, et vous devriez voir l'utilisateur créer, ajouter à la fin de la ligne en appuyant sur i

Match User tunnel
AllowTcpForwarding yes

 

Appuyez sur la touche ECHAP de votre clavier, puis tapez :

:wq!

 

ATTENTION : Pour prendre en compte cette modification, n'oubliez pas de rebooter votre NAS.

 

Bravo, vous pouvez passer à l'étape suivante :)

Etape 2

Configuration de votre Box internet

 

Il faut configurer une règle NAT/PAT via l'interface web de votre box.

La règle doit rediriger le port 443 externe vers l'ip de votre NAS sur le port 22.

 

Voici un exemple sur une livebox.

Etape 3

Si vous êtes derrière un proxy d'entreprise

 

Sinon, passez directement à l'étape 4

 

Pour le savoir, aller dans votre navigateur internet, le plus souvent IE sous Windows.

 

Dans "Outils" > "Options Internet" > "Paramètres réseau"

 

Si comme moi, vous avez la case  "Utilisez un script de configuration automatique" ou alors la case juste en dessous "Server proxy" de coché avec une ip ou un nom de domaine, c'est que votre entreprise utilise un proxy pour filtrer le contenu.

Si c'est un proxy qui fonctionne avec l'authentification Windows, vous allez devoir utiliser "Cntlm Authentication Proxy"

 

http://cntlm.sourceforge.net/

Télécharger
cntlm-0.92.3-win32.zip
Archives compressées en format ZIP 1.3 MB

Une fois décompresser, renseigné le fichier ini.

Vous pouvez créer un fichier .bat pour faciliter son lancement car il faut le lancer avec les paramètres ci-dessous :

 

cntlm.exe -c cntlm.ini -f -v

 

Une fois cette commande exécuté vous devriez avoir une fenetre comme celle-ci qui se lance. Parfait ! Etape suivante !

Etape 4

Configurer Putty 

 

Toujours sur l'ordinateur distant (celui dans votre entreprise), configurer putty comme ci-dessous, en mettant bien votre IP WAN (dite aussi IP INTERNET) de votre connexion à votre domicile (que vous pouvez connaitre avec des sites comme : http://www.mon-ip.com/ ).

Mettez le port 443, allez dans Tunnel dans le menu de gauche, mettez 5222 dans Source port cochez "Dynamic" puis "Add", revenez tout en haut dans Session, mettez un nom dans Saved Sessions puis cliquez sur "Save" pour enregistrer votre session, ça évitera de devoir refaire tout ça par la suite. Pour finir, vous avez juster à cliquer que "Open" !

 

On peut maintenant passer à l'étape suivante !

Etape 5

Configurer votre navigateur

 

Souvent IE en entreprise est configuré avec le proxy de l'entreprise. Afin de garder son fonctionnement normal, nous allons installer un autre navigateur.

Nous utiliserons Firefox si vous avez de droit de l'installer, ou sinon utilisez la version dite "portable" disponible ici : http://portableapps.com/apps/internet/firefox_portable

 

Dans les paramètres réseaux configurer-le comme ci-dessous :

Une dernière étape pour utiliser la résolution DNS de votre Synology et non celle de votre entreprise (de cette façon les sites internet que vous consultez ne seront pas visibles par votre entreprise)

Dans firefox et dans la barre d’adresse tapez :

 

about:config

 

Validez la fenêtre de dialogue puis dans la zone Rechercher qui apparait dessous saisissez DNS.

Double cliquez alors sur la ligne network.proxy.socks_remote_dns pour afficher true dans la zone valeur, la ligne passe en gras pour vous signaler que ce n'est pas la valeur par défaut.

Vous pouvez fermer cette onglet et désormais surfer sans contraintes.

Vous pouvez aussi utiliser Chrome (version portable ou non), mais par défaut il utilise le proxy systeme (le même qu'IE), pour pouvoir lui spécifier un proxy Socks5, il faut le lancer avec la ligne de commande suivante :

 

Chrome Socks5 Proxy Command Line Switch

” –proxy-server=”socks5://127.0.0.1:8080″

 

Remplacer 127.0.0.1 par ton adresse de proxy, ainsi que le port.

A vous la liberté !

Pour info : les sites que vous consulterez verront l’adresse IP de votre domicile et non celle de votre entreprise.


Écrire commentaire

Commentaires : 0