Salut.

J'ai un serveur Emby hébergé sur mon NAS Asustor, branché au cul de la Freebox qui fait office de routeur chez moi. Tout ça marche très bien quand je suis en local, aucun problème, j'accède à tous mes films (de vacances légaux) depuis n'importe lequel de mes appareils tant qu'ils sont connectés à mon réseau local.

Maintenant je me dis qu'un jour je pourrais être amené, voire contraint de sortir de chez moi, et que si ça arrivait je serais quand même bien content de pouvoir regarder un des films de vacances sus-cités sur mon téléphone ou ma tablette. Je dois pouvoir faire ça salement juste en pointant vers mon IP publique, mais c'est 1/ sale et 2/ sûrement pas très secure.

Problème : je n'y connais ni comprends rien à tous ces trucs de certificats, de reverse proxy, de SSL et de je ne sais quoi. Donc est-ce qu'il y aurait dans l'aimable assistance quelqu'un qui saurait comment configurer ça proprement pour pas que je me retrouve avec un réseau grand ouvert à tous les hax0rs du monde qui vont venir me pirater ma souris ?

En vous remerciant par avance.

Tu dois avoir un machin appelé ASUSTOR EZ Connect qui fait tout le boulot pour toi.

EZ-Connect c'est que pour l'accès au NAS et à son interface, non ? J'ai les applis mobiles pour ça, et ça marche très bien, c'est pour l'accès à Emby qu'il faut bidouiller.

Bon quoi qu'il en soit, j'y ai passé ma soirée mais j'ai fini par réussir à me faire un truc à peu près propre. Je suis pas trop sûr d'avoir tout compris à ce que j'ai fait et on verra dans 3 mois quand il faudra renouveler le certificat si ça marche toujours, mais pour l'instant ça roule. Faudra que je voie si je peux pas automatiser le renouvellement du certificat pour un confort optimal.

Quand tu dis 3 mois pour l'expiration de ton certificat, c'est imagé ou c'est réel ?
Parce que si c'est une autorité de certification autogénérée que tu utilises (et j''espère que c'est ce que tu utilises, pour un usage privé c'est logique), tu peux définir n'importe quelle durée de validité.

Sinon, je ne sais pas ce que tu as mis en place, mais la solution la plus simple et plus sure c'est un VPN TLS, avec par exemple .
Serveur VPN hébergé chez toi, avec le port de connexion exposé en NAT via ton routeur.
Authentification de ton/tes clients VPN avec une autorité de certification autogénérée, et un certificat installé sur le serveur et sur chacun des clients.
Une application client VPN sur ton device mobile qui supporte le protocole de ton serveur.
Tu dis à ton serveur VPN d'assigner une IP de ton réseau local à tes clients, et lorsqu'ils se connectent, ils sont comme sur le réseau à la maison.

Peut être même que ta box permet déjà d'ouvrir un serveur VPN en standard ?

Hello, je suis un peu dans ta situation, sauf que je n'ai pas Emby mais Jellyfin. Perso, j'utilise un reverse proxy donc quand je tape jellyfin.mondomaine.fr, je pointe vers l'ip de mon reverse et lui redirige vers mon serveur Jellyfin. C'est le reverse proxy qui gère le certif du site (derrière je renouvelle en auto tous les 3 mois avec Let's Encrypt).
Après je me suis souvent posé la question pour la sécurité des comptes mais de ce que je vois, Jellyfin gère les mauvaises entrées de password tout seul et peu kick ou ban le compte tout seul. Ensuite, j'ai un peu de sécurité côté routeur qui dégage les mauvaises IP via des blacklists connues (je suis d'accord que ça ne fait pas tout mais c'est déjà ça.

Si tu veux du ultra sécure, oui, la solution de Kirk est la meilleure à savoir un serveur VPN sur ton routeur / NAS / raspberry / autre. En gros sous tu monte un serveur OpenVPN ou Wireguard (le second a de meilleures perfs surtout pour de la vidéo) et ton ou tes clients se connectent à ce VPN et sont "comme à la maison".