Accès à distance au stockage en réseau
Un utilisateur de système NAS souhaitant rendre un serveur local accessible se confronte à un problème central en raison d’IPv4. À la différence du nouveau standard IPv6, IPv4 est toujours le protocole le plus répandu sur Internet grâce à une séparation des zones d’adresses publiques et privées. Un routeur sert d’intermédiaire pour cela. Les appareils modernes proposent des fonctions pour compenser le manque des connexions en bout-à-bout. Mais plusieurs étapes de configurations sont nécessaires pour ceci. Un autre obstacle est la séparation forcée régulière via votre fournisseur de service Internet : les réseaux locaux sont en général reliés à Internet grâce à des adresses IP attribuées au hasard et qui changent quotidiennement. Mais comment peut-on accéder à un réseau dont l’adresse change continuellement ? Nous vous expliquons ce processus.
Adresses IP privées et publiques : les bases
La séparation du public de l’espace d’adressage privé est un mécanisme de protection fiable qui protège les terminaux locaux dans un réseau domestique ou d’entreprise d‘accès indésirables depuis Internet. Un inconvénient est que les accès souhaités sont seulement possibles avec une configuration adaptée du routeur, ce dernier servant de lien entre les deux zones d’adresses.
- Adresses IP publiques : chaque routeur se voit attribuer une adresse publique qui le relie à Internet et sert d’adresse émettrice lors de demandes de serveurs. L’adresse IP publique est en général dynamique pour les utilisateurs privés et la plupart des acteurs commerciaux. Ceci signifie que l’adresse est attribuée par hasard au routeur seulement pour une période précise (pour environ 24 heures). Étant donné qu’un accès à distance depuis Internet implique une adresse fixe, des technologies telles que Dynamic DNS (DDNS) ont été établies, avec lesquelles les adresses IP dynamiques peuvent être associées à des domaines non modifiables.
- Adresses IP privées : si l’on regarde la construction d’un réseau local ou Local Area Network (LAN), qui relie différents appareils à un réseau domestique ou d’entreprise, on y trouve aussi des adresses IP. Ces dernières servent toutefois uniquement à la communication interne en LAN et sont en général attribuées automatiquement à un routeur via un serveur DHCP (Dynamic Host Configuration Protocol), et relient enfin les différents composants matériels du réseau comme les PC, tablettes, Smartphones ou serveurs domestiques. On parle d’ailleurs aussi d’IP LAN. Dans la mesure où les adresses IP ne sont pas routables, un accès direct aux adresses IPv4 de votre stockage réseau depuis Internet n’est pas possible. Au lieu de cela, le routeur (qui, en tant que seule instance du LAN, dispose d’une adresse IP publique) doit être configuré de manière à ce que l‘accès au système NAS soit transféré directement à l’adresse IP privée. Ceci fonctionne au mieux lorsqu’une adresse IP LAN statique est attribuée aux appareils en réseau avec le service réseau.
Si un appareil doit interagir avec Internet depuis le LAN, cette interaction est établie uniquement au moyen du routeur. Celui-ci accepte les demandes du serveur (le chargement d’un site par exemple) du réseau local et il envoie celles-ci avec sa propre adresse IP publique à la cible correspondante sur le Web. Cette cible renvoie un paquet de données comme réponse à la demande et le routeur s’occupe de le transmettre à l’émetteur initial en LAN. La répartition des paquets IP sur le réseau local se fait via un composant du routeur avec IPv4, composant qu’on appelle NAT (Network Address Translation).
Si le routeur enregistre des paquets de données entrants qui n’ont pas été demandés explicitement par un appareil connecté en LAN, ceux-ci sont immédiatement rejetés. Ceci vaut aussi pour les accès au stockage réseau souhaités, dans la mesure où aucune autorisation du port n’a été configurée au préalable.
Mettre en place un stockage réseau en trois étapes
Afin de rendre votre stockage réseau disponible sur Internet, trois étapes sont absolument nécessaires pour franchir les obstacles décrits précédemment : déterminez l’adresse IP interne de votre système NAS, ouvrez le port correspondant pour l‘accès depuis Internet, et assurez-vous de la disponibilité de votre routeur pour les demandes d’adresses IP publiques à l’aide du DDNS.
1. Déterminer une adresse IP constante pour votre système NAS
Les adresses IP internes de votre réseau sont attribuées par le serveur DHCP de votre routeur. En général, chaque appareil en réseau reçoit toujours la même adresse IP. Pour ce faire, votre routeur enregistre durablement l’adresse MAC de l’appareil en réseau avec l’IP attribuée la première fois. L’attribution dynamique d’adresses IP au sein du réseau local ne se produit normalement que lorsque le réseau domestique ou réseau d’entreprise rassemble plus d’appareils en réseau que d’adresses IP disponibles sur le routeur.
Afin de déterminer l’adresse IP de votre système NAS, chargez l’interface de votre routeur pour afficher tous les appareils reliés en réseau. Certains routeurs proposent par exemple un menu « réseau local ». Retirez l’adresse IP interne de votre système NAS et notez-la pour la prochaine étape de configuration. Si votre système NAS est utilisé dans le cadre d‘un réseau d’entreprise dont le nombre d‘appareils connectés dépasse le nombre d’adresses IP internes disponibles sur votre routeur, il est opportun de faire explicitement cesser l’attribution de nouvelles adresses IP pour votre stockage réseau. Vous pouvez configurer l’attribution automatique d’une même adresse IPv4 pour un appareil avec certains routeurs.
2. Ouvrir les ports pour l’accès à distance
Pour permettre l’accès à distance à votre stockage réseau, le pare-feu du routeur doit être configuré de manière à autoriser certaines demandes depuis Internet.
Pour isoler votre réseau domestique des accès indésirables, votre routeur utilise un filtre de paquets qui laisse uniquement passer les paquets de données (dans la configuration standard) d’appareils autorisés en LAN. Si vous souhaitez au contraire accéder à votre système NAS en déplacement, pour télécharger ou déposer des données, vous devez définir des règles dérogatoires au préalable. Car même de tels accès ne sont pas initiés en interne et seraient rejetés par le routeur pour des raisons de sécurité. Si l’on ouvre le pare-feu à certains services tels que FTP (File Transfer Protocol) ou SSH (Secure Shell), on parle d’une autorisation de port. Vous pouvez paramétrer ceci dans l’interface d’administration de votre routeur. Ouvrez le port correspondant pour le service souhaité (FTP par exemple) et configurez une redirection vers le système NAS.
Les stockages réseau modernes disposent d’un serveur FTP intégré, qui, tant qu’il y a une connexion Internet, peut répondre à des demandes des programmes du client FTP comme FileZilla ou WinCP et peut ainsi permettre un échange de données confortable avec divers appareils.
Les ports 65.536 de communication réseau sont théoriquement à disposition. Parmi ceux-ci, les ports de 0 à 1023 sont réservés par l’IANA (Internet Assigned Numbers Authority) comme ports standards pour certains protocoles ou certaines applications. Le serveur FTP de votre routeur accepte en général les demandes d’Internet sur le port 21. Pour permettre ceci, vous devez ouvrir le port correspondant vers l’extérieur et configurer une redirection des paquets de données entrants vers l’IP LAN constante de votre stockage réseau. Quatre indications sont nécessaires dans le menu autorisation de ports (Portforwarding ou Portmapping en anglais) de l’interface d’administration de votre routeur pour cela :
- Le port du routeur devant être ouvert (aussi appelé « Public Port », « External Port » ou « Inbound Service » en fonction des appareils et fabricants)
- L’adresse IP privée de l’appareil réseau vers lequel les paquets de données sont retransmis (aussi appelée « Private IP » ou « Internal IP »)
- Le port sur lequel l’appareil en réseau accepte les paquets de données (« Private Port » ou « Internal Port »)
- Le type de protocole utilisé pour la transmission de données (« type »)
Pour permettre une communication avec le serveur FTP de votre système NAS via Internet, indiquez le numéro de port 21 aussi bien pour le port public du routeur que le port privé du stockage réseau. Utiliser l’IP LAN constante que vous avez déterminé lors de la première étape comme adresse IP privée. Votre routeur est par conséquent chargé de transmettre automatiquement les demandes de paquets de données Internet qui arrivent au port 21 sous le même nom de port que votre stockage réseau. Pour qu’ils puissent cependant aboutir à une telle interaction, les appareils du client sur Internet doivent savoir sous quelle adresse ils peuvent atteindre votre routeur. La troisième étape consiste à définir une adresse de contact constante.
3. Mettre en place un service DNS dynamique
L’utilisation d‘un DNS dynamique est une méthode éprouvée pour rendre un routeur joignable, et ce durablement. Il s’agit là d’un service d’interprétation proposé en partie gratuitement par divers fournisseurs Internet. Pour utiliser un DNS dynamique, inscrivez-vous auprès d’un fournisseur DDNS et configurez un pseudo-domaine, qui puisse rediriger automatiquement toutes les requêtes sur l’adresse IP dynamique actuelle de votre routeur. Le principe de base est le suivant : à chaque fois que votre routeur reçoit une nouvelle adresse IP dynamique d’ISP, il informe automatiquement le service DNS du changement d’adresse. C‘est là que l’adresse IP actuelle est reliée au pseudo-domaine statique. Pour accéder à votre stockage réseau sur Internet, vous devez seulement connaître l’adresse Internet statique et non l’adresse IP qui change tous les jours.