La boîte à idées - Le blog de Jean Chambard

Paris, le 17 mai 2020

Je vous ai déjà expliqué comment configurer un NAS Synology, puis comment utiliser Download Station avec différents moteurs de recherche. Mais les choses évoluant constamment en informatique, j'ai eu besoin de compléter ces deux articles par un troisième, qui récapitule les actions qui m'ont permis de résoudre les quelques problèmes qui avaient pu survenir depuis.

Cet article vous permettra de résoudre notamment :

• • Les problèmes de recherche sous Download Station (la recherche BT ne retourne aucun résultat)
  • Les lenteurs de téléchargement
  • Les problèmes d'upload (lors d'un partage de fichiers)

Pour bien comprendre d'où viennent ces problèmes, il faut normalement de solides connaissances réseaux. Car tout vient d'un problème d'ouverture de port réseau sur les Box Internet et/ou le firewall de Synology. Mais pour ceux qui veulent aller au plus simple et au plus direct, rendez-vous au chapitre 3.

1 - Les ports réseaux utilisés par Download Station

Il faut se reporter à la documentation en ligne de Synology, pour connaître les ports réseaux utilisés par les services de Download Station. Vous pouvez retrouver le paragraphe en question à cette adresse :

Quels sont les ports réseau utilisés par les services Synology?

Il faut consulter la section "3. téléchargement" pour voir que BitTorrent utilise par exemple les ports TCP et UDP 16881. Il n'est pas nécessaire de s'étendre ici sur les différences entre TCP et UDP, cela n'apporte rien. Retenons simplement ce chiffre "16881".

Ce port est notamment utilisé par les clients BitTorrent pour se connecter à votre service et ainsi télécharger le contenu que pour pouvez partager. Mais il est aussi utilisé par le service de recherche BitTorrent de Download Station. Il faut donc exposer ce port et le rendre accessible depuis Internet. Le hic, c'est que si votre NAS Synology est branché sur votre Box Internet, il n'est probablement pas accessible depuis l'extérieur ; et c'est tant mieux, car vous pourriez sans doute vous faire pirater et perdre toutes vos précieuses données.

Votre Box utilise en effet un plan d'adressage IP dit privé,  tel que défini par les RFC 1918 et  6761. Une adresse IP publique, par opposition à une adresse privée, est unique au monde. C'est à dire qu'un équipement, quel qu'il soit (PC, imprimante, smartphone, object connecté) et où qu'il soit, se voit attribuer une adresse IP qui ne peut être attribuée à aucun autre équipement.

Les adresses privée ont été créées car :

• • La plupart des utilisateurs n'ont pas besoin de disposer d'une adresse IP publique pour chacun de leur équipement. Votre imprimante domestique n'a pas besoin d'être connue de tout Internet par exemple, mais juste de votre maison.
  • Il y a pénurie d'adresses IP publiques en IPv4. IPv6 change la donne mais la migration vers cette version du protocole IP est lente et coûteuse, quoique rendue inéluctable par l'avénement des objects connectés et leur nombre important.

Les 3 classes d'addreses privées sont :

La plage qui nous intéresse est la 3ème : elle commence par 192.168.0.0. Votre Box Internet est généralement accessible par l'adresse 192.168.1.1 ou 192.168.1.254. Elle possède aussi une adresse publique, assignée par votre opérateur et qui change régulièrement. C'est la seule à être accessible depuis Internet.

Pour rendre votre NAS accessible depuis Internet, ou du moins le service de Download Station, il faut donc transférer le trafic à destination du port 16881 de votre Box vers votre NAS. C'est ce qu'on appelle le mécanisme de NAT/PAT (Network Address Translation/Port Adress Translation).

2 - Le NAT/PAT

Pour bien comprendre le mécanisme du NAT/PAT, prenons un exemple simple que vous pratiquez tous les jours en surfant sur Internet. Supposons donc que vous consultiez le site "www.exemple.com" (via une connexion sécurisée, c'est à dire chiffrée par HTTPS).

Votre connexion est identifiée par 4 paramètres importants, qui la rendront unique :

• • L'adresse IP source : il s'agit de l'adresse IP de votre équipement. Ici un PC.
  • Le port IP source : il s'agit d'un numéro aléatoire mais unique à votre équipement, compris entre 49152 to 65535
  • L'adresse IP de destination : il s'agit de l'adresse du site Web consultée dans notre exemple.
  • Le port IP de destination. Il s'agit du port attribué au protocole utilisé. Le protocole HTTPS utilise le port 443 (tandis que le protocole HTTP utilise le port 80).

Comme votre addresse IP est privée, votre Box Internet va masquer cette adresse en utilisant sa propre adresse publique (la seule dont elle dispose). C'est une opération de NAT. Si de plus, le port source (dans la figure ci-dessous, 6000) est déjà utilisé sur la Box, elle remplacera le port source d'origine par un autre port. C'est une opération de PAT. L'ensemble est résumé ci-dessous.

Le serveur Web ne verra qu'une adresse IP, celle de votre Box Internet. Il répondra donc à 176.139.106.250. Votre Box retraduira la réponse en la trasnmettant à votre PC, avec son adresse IP privée. Toutes les Box Internet de France et de Navarre sont conçues pour fonctionner ainsi par défaut. Il n'y a donc rien à configurer, il suffit juste de brancher votre Box et le tour est joué.

Prenons maintenant un cas un peu plus compliqué : celui d'un PC essayant de se connecter au service Download Station de votre NAS. Sa Box Internet va elle-même opérer un premier NAT/PAT pour masquer son adresse IP privée, qui est par ailleurs probablement sur le même plan d'adressage privé que vous. Mais vogtre propre Box Internet doit aussi opérer son propre NAT/PAT pour transférer la connexion entrante vers votre NAS. C'est là que les choses se compliquent car votre Box ne peut connaître à l'avance cet équipement. Il faut donc que vous modifiez la configuration de votre Box.

3 - Configurer votre Box Internet

La manipulation est assez simple. Il faut et il suffit de définir une règle NAT dans votre Box Internet. La manipulation dépend essentiellement de votre fournisseur d'accès, qui Orange, qui Bouygues ou SFR. Je vous communique ici la procédure pour la Box de Bouygues Télécom, elle est sensiblement la même dans les autres Box.

Le plus difficile reste de localiser le menu correspondant aux règles NAT, qui sont généralement cachées dans un menu pour utilisateurs avancés. Pour la BBox, il suffit d'accéder à l'administration de la Box et de développer la section "Services de la BBox" en cliquant sur le symbole "+".

Si vous ne l'avez pas déjà fait, il est recommandé de figer l'adresse IP de votre NAS, à savoir de lui attribuer une adresse IP statique à partir de votre serveur DHCP. Si vous ne l'avez pas déjà fait, rendez-vous dans la section "DHCP" et attribuez une adresse IP statique à votre NAS.

Dans l'exemple ci-dessous, j'ai réservé la plage 198.168.1.100 à 198.168.1.254 à des adresses statiques. J'attribue à mon NAS "Stockage02" l'adresse statique privée 192.168.1.106.

On accède ensuite aux règles de NAT/PAT via le menu "Redirection de ports" en cliquant sur les trois petits points en regard. Dans la section NAT & PAT, cliquez sur "Ajouter une règle".

1. Nom : Donnez un nom à votre nouvelle règle. Ici je la nomme Synology Download Station, ce qui me permettra de me souvenir que c'est une règle qui s'applique à on NAS
2. Protocole : Dans le champ Protocole, sélectionnez "TCP" (nous allons ignorer ici le protocole UDP, beaucoup plus difficile à sécuriser)
3. Equipement : Sélectionnez votre NAS dans la liste des équipements connus de votre Box
4. Port Externe : Saisissez dans ce champ le n° de port de download Station : 16881
5. Port Interne : Saisissez dans ce champ  le n° de port de download Station : 16881

Avec cette règle, votre Box redirigera toutes les connexions entrantes d'Internet à destination du port 16881 vers votre NAS. Ne reste plus qu'à accepter ces demandes de connexion au niveau de votre NAS.

4 - Configurer votre NAS Synology

Votre NAS Synology n'accepte peut-être pas les connexions entrantes aussi facilement. Si vous envisagez d'ouvrir votre NAS à Internet par exemple, il faut au préalable activer le firewall afin de sécuriser votre NAS.

Rendons nous donc dans le panneau de configuration du Synology.

Puis dans le module Sécurité

Enfin, dans l'onglet Firewall

1. Cochez la case : "Activer le pare-feu"
2. Cochez la case : "Active les notifications du parfe-feu"
3. Cliquez sur "Modifier les règles" pour créer un jeu de règle.

Il faut a minima définir deux règles :

• La première autorise les connexions en provenance de votre réseau local (198.168.0.0) vers votre NAS sur l'ensemble des protocoles. Sinon, vous risquez de vous auto-bloquer. Vous pouvez bien sûr affiner cette règle un peu basique qui considère que votre réseau local est sûr.
• La seconde interdit tout le reste par défaut.

Il suffit pour cela de cliquer sur le bouton Créer :

• Dans la section IP Source, sélectionnez "IP Spécifique" et saississez l'adresse de votre réseau. Dans mon exemple, il s'agit du réseau "192.168.0.0" avec un masque de sous-réseau de 255.255.0.0. Validez la règle.
• Faites de même avec la 2nde règle. Pour cela, il suffit de sélectionner "Tous" pour Ports et IP Source, et de cliquer sur "Refuser" avant de valider la règle.

Nous allons ensuite créer une 3ème règle qui autorisera les connexions entrantes sur le port 16881 sur le prococole TCP. Pour cela, il faut cliquer dans la section "Ports" sur "Sélectionner dans une liste d'applications intégrées" et cherchez dans la liste l'application "BT" ; Le port doit justement être TCP:16881. Alternativement, vous pouvez passer par "Personnalisé" et définir le port de destination TCP 16881. Validez la règle. Votre NAS est maintenant prêt à accepter les connexions entrantes vers Download Station (pour la partie BT).

Vous pouvez faire de même avec eMule également. Mais ce client et son protocole ne sont quasiment plus utilisé depuis 2013 (un sacré bail).

Ceci devrait d'une part résoudre les problèmes de moteurs de recherche quand ce dernier ne retourne aucun résultat, d'autre part régler des problèmes de performances dans Download Station, en multipliant les connexions possibles.

A noter que ces manipulations ne fonctionnent pas quand vous utilisez un tunnel VPN.

Voilà, il ne me reste plus qu'à vous souhaiter de bons partages de fichiers. Mais n'oubliez pas : il ne faut partager que ce qui est libre de droits.