This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

Classement


Contenu populaire

Affichage du contenu avec la meilleure réputation depuis le 24/03/2018 dans toutes les zones

  1. 1 point
    Kawamashi

    [Tuto] Reverse Proxy

    Bonjour tout le monde, J'ai l'impression qu'il y a pas mal de monde intéressé par la possibilité d'utiliser un NAS Synology pour faire du Reverse proxy (depuis DSM 6.0). Je voulais ajouter ma pierre à l'édifice en complétant les tutos réalisés, sur ce topic ou ailleurs. Tout d'abord, je voulais remercier InfoYann pour son tuto et ses réponses à mes questions. Merci également à Fender, qui a écrit le 1er tuto sur le sujet. Pour finir, merci à Fenrir, pour son méga tuto de sécurisation d'un NAS (une vraie bible...), qui aborde le sujet du reverse proxy. LE REVERSE PROXY DE A à Z I. Utilité et intérêt d'un Reverse proxy Un Reverse proxy redirige des noms de domaines vers des équipements présents sur le réseau local ou des applications présentes sur le NAS. Cela permet de ne pas avoir à retenir et taper le port des différents services pour y accéder. Par conséquent, ça évite d'avoir à ouvrir sur l'extérieur autant de ports que de services : on se sert juste du port utilisé par défaut pour les connexions HTTPS, le port 443. Par exemple, si on a affecté le port 45000 à Audio Station et le 45001 à Video Station, il faut normalement taper https://nomdedomaine.fr:45000 ou https://nomdedomaine.fr:45001 pour accéder à ces 2 services. Ce n'est pas très explicite, et il faut que les ports 45000 et 45001 soient ouverts sur le routeur. Plus y il y a de services, pire c'est. Grâce à un reverse proxy, on se contente de taper https://music.nomdedomaine.fr ou https://video.nomdedomaine.fr, et tout passe par le port 443 utilisé par le protocole HTTPS. C'est beaucoup plus simple. Pour plus d'infos, consultez ce tuto et celui-là. Par contre, il faut absolument préciser https dans l'URL, sans quoi on utilise le HTTP par défaut et ça ne marche pas. Pour éviter ce problème, on va mettre en place une redirection automatique grâce à Web Station. II. Configuration du nom de domaine chez le registrar Je prends le cas d'une IP fixe car j'ai la chance de ne pas être confronté au problème des IP dynamiques ! Avoir son nom de domaine (NDD) va nous permettre d'accéder à notre réseau local depuis Internet. Une fois le NDD loué, il faut ajouter 2 entrées dans sa zone DNS : - une entrée de type A qui redirige le NDD vers l'IP fixe de la box (ndd.fr. => IP fixe) - une entrée de type CNAME qui redirigera l'ensemble des sous-domaines vers le NDD (*.ndd.fr. => ndd.fr.) Après cette étape, les tentatives de connexion à fichiers.ndd.fr, video.ndd.fr,… seront acheminées à la box. III. Configuration du routeur De l'extérieur, on a besoin que le port 443 soit ouvert pour pouvoir se connecter aux applications du NAS de manière simple (pas de port exotique à préciser) et sécurisée (car 443 = HTTPS). Let's Encrypt se connecte par le port 80 pour délivrer le certificat SSL et pour le renouveler. De plus, si on profite de Web Station pour créer un site web, il faut également ouvrir le port 80 pour autoriser les connexions à ce site en HTTP. Donc on va utiliser les ports externes 80 et 443. Du côté du NAS, le Reverse proxy "écoute" sur le port 443 ou sur le port DSM sécurisé. Vu que je ne trouve pas souhaitable d'exposer DSM sur internet, les connexions sécurisées seront redirigées vers le port 443 du NAS. Web Station utilise le port 80. On va donc rediriger les connexions externes non sécurisées vers le port 80 du NAS. En résumé, sur le routeur, il faut rediriger les ports externes 80 et 443 vers les ports internes 80 et 443 du NAS. Après cette étape, les connexions utilisant les ports 80 et 443 seront acheminées de la box au NAS. IV. Configuration du pare-feu du NAS Pour que les connexions ne soient pas rejetées par le NAS, il faut modifier son pare-feu. Plutôt que d'ouvrir complètement les ports 80 et 443 : - on ouvre les ports 80 et 443 pour le trafic en provenance de France, pour limiter les risques d'attaque. - on ouvre également le port 80 pour le trafic venant des 2 IP que Let's Encrypt utilise pour le renouvellement du certificat (64.78.149.164 et 66.133.109.36, cf ici). Ces règles sont à entrer dans le pare-feu du NAS (panneau de configuration/Connectivité/Sécurité/onglet "Pare-feu", puis "Modifier les règles"). NB : Les IP utilisées par Let's Encrypt peuvent changer. Il est donc conseillé d'ouvrir complètement le port 80 (au moins pour le trafic en provenance des Etats-Unis) avant la demande initiale de certificat ou en cas de problème de renouvellement de celui-ci. Après cette étape, les connexions pourront parvenir jusqu'au Reverse proxy du NAS (et jusqu'à WebStation). V. Configuration du portail des applications de DSM Il faut d'abord définir les ports HTTP qui seront utilisés par les applications auxquelles on veut accéder depuis l'extérieur. Pour ça, aller dans le panneau de configuration/Applications/Portail des applications/onglet "Application". NB : Il n'est pas nécessaire de définir un port HTTPS pour les applications vu que la connexion est déjà en HTTPS jusqu'au reverse proxy. En effet, il est inutile et contre-productif de doubler les chiffrements. Après cette étape, si on tape IP_locale_du_NAS:45000, on ouvre directement Audio Station. Il faut ensuite définir le reverse proxy à proprement parler, à savoir faire correspondre les différents sous-domaines avec les différentes applications. Ça se passe sur la même page, dans l'onglet "Proxy inversé". Pour chaque application, il faut renseigner : - la source (nom du sous-domaine, protocole (HTTPS) et port (443)) - la destination (nom d'hôte (localhost quand l'appli est sur le NAS, IP s'il s'agit d'un autre élément du réseau), protocole (HTTP) et port (défini à l'étape précédente)). NB : On utilise "localhost" pour désigner le NAS, car si celui-ci change d'IP, on n'aura pas besoin de reparamétrer le reverse proxy. Il faut activer le HTTP/2. Par contre, je déconseille le HSTS (c'est le navigateur qui enregistre cette information et il ne laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé). Après cette étape, quand on tape https://music.ndd.fr, on est bien redirigé vers audio station, mais avec un avertissement de sécurité du navigateur comme quoi la connexion n'est pas sûre. VI. Obtention du certificat SSL pour le domaine et ses sous-domaines Il ne faut jamais utiliser de certificat auto-signé (comme celui installé par défaut dans la plupart des équipements), tout comme accepter des exceptions de sécurité (peut provoquer des interceptions de données même sur des sites protégés par de vrais certificats). Le mieux et le plus simple est de se tourner vers une autorité de certification comme Let's Encrypt, bien intégrée chez Synology. Dans le panneau de configuration de DSM, partie "Connectivité", section "Sécurité", onglet "Certificat", cliquer sur le bouton "Ajouter". A la 2e étape, choisir de se procurer un certificat auprès de Let's Encrypt. A la 3e étape, remplir le NDD et l'adresse mail. Dans le champ "Autre nom de l'objet", mettre le nom de tous les sous-domaines, séparés par des points-virgules. Enfin, cliquer sur "Appliquer". Après cette étape, le reverse proxy fonctionne sans avertissement de sécurité. Cependant, quand on tape music.ndd.fr dans un navigateur, celui-ci ne nous redirige pas automatiquement vers https://music.ndd.fr. A la place, il nous renvoie vers ndd.fr:port_DSM_non_sécurisé (même si la connexion n'aboutit pas). Le registrar ne peut pas mettre en place de redirection car seul le nom de domaine est loué chez lui, aucun site n'est hébergé. L'option de redirection présente dans le panneau de configuration/Connectivité/Réseau/Paramètres de DSM n'est pas envisageable car elle casse le mécanisme du reverse proxy. Pour éviter ça, on va créer un site web. Ça nous permettra la création d'un fichier .htaccess, qui redirigera automatiquement les requêtes en HTTPS. VII. Auto-hébergement d'un site web et mise en place des redirections Il faut installer Web Station. Une fois que c'est fait, ouvrir l'application. Dans la partie "Statut", il faut installer les 2 versions du serveur HTTP Apache et les 2 versions de PHP. Pour ça, cliquer sur les icônes de raccourci présentes dans la colonne "Gestion". Une fois que c'est fait, on passe à la partie "Paramètres généraux". On sélectionne les versions les plus récentes d'Apache et de PHP, puis on coche la case "Activer un site web personnel" (ce n'est possible que si on a installé les 2 versions d'Apache et de PHP à l'étape précédente). On n'a pas besoin de changer les paramètres PHP ou de créer un Virtual Host (à moins d'avoir plusieurs sites web à héberger sur le même NAS). Avec l'installation de Web Station, un dossier Web a été créé à la racine du volume. Le fichier index.html est la page d'accueil du site hébergé sur le NAS. On peut en profiter pour modifier ce fichier afin que notre page d'accueil présente plusieurs liens permettant de se connecter aux différents services présents sur le NAS. Pour mettre en place la redirection automatique, il faut créer un fichier .htaccess. Pour ça, il faut créer un fichier texte dans le dossier Web. A l'intérieur de ce fichier, on écrit le code suivant : RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} On enregistre sous ".htaccess" (donc sans nom mais juste avec l'extension htaccess). Il faut ensuite redemander un certificat à Let's Encrypt, en ajoutant www.ndd.fr dans le champ 'Autre nom de l'objet" (en plus des noms de tous les sous-domaines). Après cette étape, quand on tape music.ndd.fr dans un navigateur, celui-ci nous redirige automatiquement vers https://music.ndd.fr. NB : Il faut préciser le port 443 dans le formulaire de connexion des applications mobiles, sans quoi elles n'arrivent pas à se connecter (donc music.ndd.fr:443 et non music.ndd.fr pour se connecter à DS Audio). Voir un retour intéressant ici, concernant le reverse proxy et la certification par Let's Encrypt. Si quand on tape ndd.fr on est redirigé vers l'interface de connexion à DSM (ce que je ne veux pas), il faut vérifier que la case "Activer un domaine personnalisé" dans le panneau de configuration/Connectivité/Réseau/Paramètres de DSM est décochée (ou bien qu'on a mis un autre nom de domaine que ndd.fr dans ce champ, cf tuto DNS Server). Par contre, pour se connecter à l'interface de gestion du NAS, il faudra désormais taper l'IP locale du NAS + le port DSM non sécurisé dans la barre d'adresse du navigateur (à moins d'avoir mis en place une zone DNS locale, avec une adresse comme nas.super_nom.lan qui pointe sur le NAS). J'espère que ce tuto vous sera utile. Je suis preneur de tout retour, remarque ou suggestion !
  2. 1 point
    InfoYANN

    Accès au bureau désactivé

    Ton soucis n'a pas l'air d'être lié au faite que tu t'es retiré les droits du bureau sur le compte admin. Tu peux toujours faire un reset (un appui seulement) pour réinitialiser l'administrateur et le réseau. Ça se reconfigure rapidement ;) Après, il y a aussi peut-être possibilité de remettre les droits par SSH sur l'administrateur mais je ne connais pas la commande exacte. Déjà, tu peux récupérer l'ID qui correspond à ton compte admin en tapant en root "id nomducompte".
  3. 1 point
    Razmotte

    Nouvelle dans l'univers du NAS (et pleine de courage)

    C'était mon surnom en primaire, depuis j'ai grandi, heureusement!!
  4. 1 point
    kryxx

    Drive vs DS CLoud

    Bonjour, Je profite de ce post en éspérant que je suis au bon endroit. j'avais aussi cloud station pour sauvegarder ma musique, mes documents administratifs et mes photos sur 2 supports au cas où donc 3 dossiers partagés. j'ai installé drive comme proposé mais qui a donc, comme vous le dites, supprimé cloud station. Aujourd'hui, je n'ai pas moyen, a moins que je me trompe, de mettre en miroir mon dossier "photos", voir "administratif" sans qu'il ne soit partagé par l'équipe entière. Je ne veux pas par exemple, que les enfants puissent mettre le souk dans les documents administratif et donc ne pas les partager tout en ayant une copie identique sur pc et nas ou partager les photos sans qu'ils ne puissent les supprimer. Comment avez vous remplacé cette fonction de sauvegarde auto qu'etait cloud station ? merci
  5. 1 point
    fredscott

    [VENDS] DS713+

    Bonjour, Je mets en vente mon NAS 713+ dans son emballage d'origine. Le NAS a été régulièrement utilisé, toujours sur onduleur, jamais d'arrêt "sauvage". Il est en bon état. - Facture : OUI - Pourquoi vous vous en séparez : Achat d'un DS718+. - Avec ou sans disque : Sans - Prix souhaité : 170 Euros - Frais de livraison : 30 euros avec assurance couvrant la casse ou la perte - Pays de livraison : France ou remise en mains propres sur Aix en Provence ou Marseille Nord - Garantie: jusqu'à fin juin 2018 Pour plus d'informations, n'hésitez pas à me contacter, Cordialement,
  6. 1 point
    Fenrir

    LibrePlan sur synology avec dockers

    essaye de lancer le conteneur en lignes de commandes et surveille qu'il ne crash pas
  7. 1 point
    InfoYANN

    liens partagés et reconnaissance adresse IP

    Bonjour, Tu peux toujours mettre une restriction en nombre d'utilisation par exemple 1 fois téléchargé, le lien sera invalidé. Tu as regardé dans le journal pour voir si tu n'avais pas les infos de connexions ou téléchargement ? Bon, je viens de faire le test rapide et tu as donc ces deux possibilités qui fonctionnent : 1. Tu regardes dans le centre des journaux et tu verras quelle IP télécharge quoi. Ex : 2. Tu mets une restriction pour par exemple que la personne ne puisse le télécharger qu'une seule fois. Ensuite, le lien sera bien invalidé ! Par contre, ça empêchera pas la personne ayant le fichier de le partager de son côté...
  8. 1 point
    InfoYANN

    Drive et dossiers dans homes

    Euhhh HomeS est réservé à l'administrateur ! Ca n'a rien à voir avec ta demande... HomeS rassemble tous les Home des utilisateurs et le dossier Home vu par un utilisateur est son dossier personnel. En passant par Drive, il y a un dossier "Share with me" qui permet à un utilisateur de partager des fichiers/dossiers pour d'autres utilisateurs. D'ailleurs, si tu lisais quelques topics dont celui sur la sécurité écrit par Fenrir, tu ne devrais : Pas demander ça Pas voir le dossier HomeS Pour ton histoire de 4G, alors essaie avec le Reverse Proxy en faisant passer Drive par le port 443 (et 80 en local).
  9. 1 point
    firlin

    Question con

    Faire tourner Plex sur un DS110J faut être motivé.
  10. 1 point
    InfoYANN

    Photo Station 6

    Tu peux voir l'évolution sur le bureau du NAS en haut à droite.
  11. 1 point
    InfoYANN

    Photo Station 6

    Bonjour, Il est recommandé aux nouveaux membres d'aller se présenter. Sinon, dans DSM, ça dit quoi sur l'indexation en cours ?
  12. 1 point
    Brunchto

    Drive et dossiers dans homes

    au lieu de partager homes ou un user, crée un dossier partagé, donne les droits aux 2 users, et active le dossier dans cloudstation (cloud station server / paramètres / paramètre de synchronisation) tu pourras ensuite l'ajouter dans les clients cloudstation
  13. 1 point
    Lucien77

    [Résolu]Boitier isolation du bruit

    A vérifier, mais logiquement c'est une arrivée d'air, donc l'humidité de la douche ne devrait pas y entrer, mais celle de l'extérieur oui. Fait un test, dépose une assiette avec du café ou ricoré soluble. Regarde l'état de la poudre au bout d'une semaine. Attention aussi aux problèmes de sécurité électrique dans une pièce d'eau ! M'enfin, passer d'une boite à 60€ à un caisson à 1000 € pour finir avec une trappe dans une salle d'eau..... mais c'est ton matos et ton pognon.....
  14. 1 point
    pluton212+

    [Résolu]Boitier isolation du bruit

    Mouais... je ne t'ai pas "jugé" et loin de là. J'ai simplement donné mon avis. Je me heurte à ton intolérance et ne m'attendais pas à une telle réaction ! Sinon, essaye avec des boîtes à œufs, tu devrais bien t'en sortir.
  15. 1 point
    Fenrir

    [TUTO] Sécuriser les accès à son nas

    il utilise peut être d'autres ports, mais je ne peux pas tester (je n'ai pas le boîtier compatible) normalement on met une IP fixée par le DHCP, pas en dur dans le boîtier donc en cas de changement de box, il faudra simplement refaire la réservation DHCP sur le nouveau plan d'adressage, mais de toute manière ça n'a pas de sens pour un particulier d'utiliser l'ip d'un boîtier dans les règles de ce boîtier. ça évite aussi de se retrouver bloqué en cas de changement d'opérateur ou d'adresssge. En pratique c'est vrai que les box en France utilisent généralement des /24 dans le 192.168.0.0/16 (192.168.0.0/24, 192.168.1.0/24, ...), mais ce n'est pas systématique. Si tu sais ce que ça implique de faire des règles plus strictes, ça ne pose aucun problème. non, au contraire (sauf à avoir un DHCP pirate dans ton réseau) Chacun voit midi à sa porte, mais si azure, google &co utilisaient des ip en dur sur leurs serveurs/conteneurs/vm/..., ça sera un jolie bordel ;) Mais ici on est dans un cadre particulier, pour des utilisateurs qui n'ont pas nécessairement des outils de suivi des allocations et qui n'ont pas les mêmes contraintes, donc le plus simple est souvent le plus fiable => DHCP avec réservation ---- IP en dur sur l'équipement : on ne dépend pas de la fiabilité du serveur DHCP (mais avec des allocations suffisamment longue, le risque est très faible) on est à l'abri d'un serveur DHCP frauduleux (mais si quelqu'un peut installer un DHCP frauduleux dans un réseau, on a un problème bien plus important) IP réservées par le DHCP : on n'a pas à se soucier de ce qui est ou non déjà utilisé sur le réseau (en dur ou en dhcp) car le protocole vérifie qu'une ip est libre avant de l'attribuer en cas de changement de plan d'adressage, on fait les modifications de manière centralisée sans avoir à reconfigurer manuellement chacun des équipements La seule exception concerne les services d'infrastructure : routeurs/switchs/firewall/DNS et les serveurs DHCP (plus quelques autres trucs) => ils est fortement recommandé de les configurer en IP fixe (c'est même indispensable pour certains)
  16. 1 point
    CoolRaoul

    Drive et ses dossiers ???

    Je ne sais pas si on parle bien de la même chose ("autoriser" vs "activer") mais je m'y prend comme ça: Lancement de: Puis:
  17. 1 point
    firlin

    Nas synology inaccessible

    Bonjour tozmachine, Si tu as fait un reset du nas l'adresse que tu ping ne dois pas être bonne (car celui-ci supprime la conf du DSM) . Tu as essayé de redémarre ta box et de relancer le DS Assistant ? (il est à jours ?) Tu peux essayer de la chercher avec la commande suivant : find.synology.com dans ton navigateur. Si ton nas est vu sur le réseau ta box doit te donner son ip.