Accès impossible à mon NAS Synology en DDNS / ipv4 avec Box SFR Plus Fibre (NB6VAC-fcx-r0)

Bonjour @Geneve999, et merci pour ce récapitulatif très clair et extrêmement structuré 👍

Le temps que vous avez pris pour poser les éléments un par un permet désormais de cibler beaucoup plus précisément le point de blocage, et les échanges avec @TagadaTsoinTsoin et @jnq35 ont clairement aidé à éliminer les faux diagnostics.

À ce stade, plusieurs éléments importants se confirment et méritent d’être posés calmement.

D’abord, côté réseau SFR, rien n’indique un blocage volontaire ou une limitation spécifique.

Votre IPv4 publique en 80.x.x.x, la présence des règles NAT actives et le fait que la box accepte bien les redirections confirment que l’accès entrant est autorisé. De plus, le comportement en local correspond bien à l’absence de NAT loopback sur la box, ce qui est attendu et n’a pas d’impact sur l’accès depuis l’extérieur.

Ensuite, le point clé se situe clairement au niveau de la cohérence ports / protocoles / certificats côté NAS.

Vous indiquez un élément déterminant :

Les ports DSM ont été modifiés (HTTP et HTTPS différents de 5000 / 5001), ce qui change complètement la logique de test.

Dans cette configuration, trois points doivent impérativement être alignés ensemble, sans quoi le symptôme observé (« connection refused » ou « ERR_CONNECTION_FAILED ») est exactement celui attendu :

1. Redirection NAT de la box

   1. Port externe X → IP du NAS → port interne X

   2. Le port externe utilisé dans l’URL doit strictement correspondre au port d’écoute DSM.

2. Ports d’écoute DSM

   1. Vérifier que le port HTTPS personnalisé est bien actif et appliqué (Panneau de configuration > Accès externe > Avancé).

   2. Confirmer que DSM écoute bien sur ce port précis, et pas uniquement en local.

3. Certificat HTTPS

   1. Dès que l’on sort des ports 5000/5001, DSM exige un certificat correctement associé au nom de domaine.

   2. Il est important de vérifier que le certificat est bien lié à nomdunas.mondomaine.com et affecté au service DSM (et non uniquement à un autre service).

À noter également :

Le test CanYouSeeMe n’est réellement pertinent que sur un port HTTP simple, sans TLS. Tester un port HTTPS personnalisé peut renvoyer des erreurs trompeuses, même si la redirection fonctionne.

👉 Pour avancer de manière factuelle et isoler définitivement le point bloquant, la méthode la plus efficace serait :

• configurer temporairement un port HTTP non sécurisé (par exemple un port DSM HTTP dédié),

• créer la redirection NAT correspondante,

• tester l’accès depuis la 4G/5G via http://nomdunas.mondomaine.com:port.

Si cet accès fonctionne, alors la chaîne réseau + DDNS + NAT est validée, et le blocage se situe exclusivement sur la partie HTTPS/certificat.

Ce que vous décrivez n’est en tout cas ni un cas isolé, ni incohérent, et votre raisonnement est solide. Les prochains tests permettront surtout de verrouiller la partie sécurité DSM, qui est souvent le dernier verrou dans ce type de configuration.

Merci encore pour la qualité de vos retours et pour l’esprit d’échange constructif — c’est exactement ce qui fait avancer l’entraide ici.

Bonne journée à vous.🙂