Hy69 Posté(e) le 28 mai 2016 Partager Posté(e) le 28 mai 2016 Bonjour à tous et merci de prendre le temps de me lire :) Je suis équipé d’un synology 216J et je partage du contenu multimédia avec des membres de ma famille. J’ai paramétré ces accès par le biais de WebDav et tout fonctionne ;) Parallèlement j’ai mis en place sur mon NAS un Serveur VPN afin que les clients puissent se connecter de manière plus « safe » Ceci étant dit, je me permets ces petites questions : -1- Existe-t-il un moyen pour les obliger d’utiliser leur VPN client afin de lire le contenu multimédia (=> Pas de VPN client lancé => pas de lecture possible sur mon NAS) ? -2- J’ai bloqué dans les permissions (\utilisateur\permission) le « Web », cela signifie-t-il que l’utilisateur ne peut pas surfer à travers ma propre connexion lorsque le VPN est actif ? -3- Question subsidiaire : j’ai un VPN client perso (Seedbox pour ne pas le nommer), j’arrive à le paramétrer sur le Syno par contre je rencontre un problème : en effet lorsque je lance sur un PC client le VPN pour accéder à mon syno, tout marche très bien durant un moment : les 2 VPN marchent de concert mais après une ou deux (voire un peu plus) de déconnexion du client VPN chez le PC distant, il est impossible de se reconnecter au NAS par VPN (sauf si je vire mon VPN Seedbox) Ai-je loupé une étape ? Je vous saurais gré si vous pouviez me donner quelques éléments de réponses au débutant que je suis. Merci d’avance 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 28 mai 2016 Partager Posté(e) le 28 mai 2016 Bonjour, Il y a 3 heures, Hy69 a dit : -1- Existe-t-il un moyen pour les obliger d’utiliser leur VPN client afin de lire le contenu multimédia (=> Pas de VPN client lancé => pas de lecture possible sur mon NAS) ? Il suffit de ne pas autoriser l'accès réseau par d'autres ports que ceux du VPN (il y a un firewall dans le nas). Il y a 3 heures, Hy69 a dit : -2- J’ai bloqué dans les permissions (\utilisateur\permission) le « Web », cela signifie-t-il que l’utilisateur ne peut pas surfer à travers ma propre connexion lorsque le VPN est actif ? Non, pour ça il faut utiliser le vpn OpenVPN et décocher la case "Autoriser aux clients l'accès au serveur LAN" Il y a 3 heures, Hy69 a dit : -3- Question subsidiaire : j’ai un VPN client perso (Seedbox pour ne pas le nommer), j’arrive à le paramétrer sur le Syno par contre je rencontre un problème : en effet lorsque je lance sur un PC client le VPN pour accéder à mon syno, tout marche très bien durant un moment : les 2 VPN marchent de concert mais après une ou deux (voire un peu plus) de déconnexion du client VPN chez le PC distant, il est impossible de se reconnecter au NAS par VPN (sauf si je vire mon VPN Seedbox) je n'utilise pas le client vpn du syno, donc je ne sais pas 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Hy69 Posté(e) le 29 mai 2016 Auteur Partager Posté(e) le 29 mai 2016 Merci d'avoir répondu à mes questions :) Pour ma première question, je crois avoir fini de piger ^^ (et notamment de l'importance et du fonctionnement de l'ordre des règles), j'attends un retour pour vérifier si j'ai tout bien paramétré. J'ai bien noté pour l'OpenVpn, j'avais sectionné le PPTP avec chiffrement exigé par facilité, l'OpenVpn semblait beaucoup plus complexe à paramétrer mais je vais me relancer dans de saines lectures. Dommage pour moi pour ma dernière question (Client VPN <> Serveur VPN) mais merci beaucoup d'avoir pris le temps de me répondre 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Hy69 Posté(e) le 30 mai 2016 Auteur Partager Posté(e) le 30 mai 2016 Bon après moultes recherches et essais divers je déclare forfait dans le paramétrage solo du pare-feu : J'ai simplifié au maximum les règles qui se résument à : - Toutes les Interfaces : Port : Vpn Server - Protocole : TCP - Ip sources : Tous - Action Autoriser - Lan : aucunes règles : et l'option "si aucune règle n'est remplie : Autoriser l’accès" (ça je peux difficilement m'en passer) - PPPOE : rien - VPN : Ports : Webdav Server - Protocole : TCP - Ip Sources : Tous - Action Autoriser "si aucune règle n'est remplie : "refuser" J'avais testé en stipulant les IP sources dans la plage de ceux donnés par mon serveur VPN (la plage 10.8.0.0 à 10.8.0.? par défaut) et en rajoutant même une seconde règle interdisant l’accès par toute autre IP En testant avec mon téléphone android après lui avoir installé un client WebDav et bien tout se lit que ce soit en VPN que sans VPN (en accès internet en ayant désactivé wifi bien sur) En conclusion et bien j'ai pas pigé grand chose sur le fonctionnement du pare feu : une étape que j'ai sautée, une évidence non remarquée ? Merci d'avance si vous pouviez me donner quelques pistes :) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 30 mai 2016 Partager Posté(e) le 30 mai 2016 Si tu n'as rien ouvert dans ta box (à par les ports du vpn), ça ne devrait pas marcher, sauf si tu utilises quickconnect (qui passe outre les règles, c'est entre autre pour ça que je déconseille de l'utiliser). Pour règles dans le nas autorise tout depuis des ip locales (10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16) autorise depuis internet : le vpn bloque tout le reste 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Hy69 Posté(e) le 30 mai 2016 Auteur Partager Posté(e) le 30 mai 2016 Merci de la rapidité de la réponse Je mets des copies écran de mon paramétrage (en espérant que ça soit lisible) J'ai donc suivi tes instructions : écran tous les interfaces et laissé l'ouverture du WebDav dans l'interface VPN Petite question au détour l'adresse 176.16..., qu-est ce que c'est ? Par contre ca ne fonctionne pas, je dois merdouiller ailleurs :( 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 30 mai 2016 Partager Posté(e) le 30 mai 2016 10.0.0.0/8 (255.0.0.0), 172.16.0.0/12 (255.240.0.0) et 192.168.0.0/16 (255.255.0.0) sont les adresses qui ne peuvent venir d'internet, c'est pour un usage privé/entreprise. Les ranges que tu as entré ne correspondent pas 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Hy69 Posté(e) le 30 mai 2016 Auteur Partager Posté(e) le 30 mai 2016 Arf ok, j'ai revu ma copie Profils en pièces jointes : les tailles d'adresse changent pas mal en effet Néanmoins ce ne veut toujours pas fonctionner Mon VPN donne une adresse 10.0.0.1 à ma connexion de mon Mobile mais ma connexion WebDav est refusée. Par contre cette dernière passe si je vire la dernière règle (suppression de tous les ports hormis les précédents autorisés), ce qui est tout a fait logique. Ah sinon pigé pour le 172... : autre type d'adresse réservés à des réseaux privés (j'utilise l'autre ou les autres en l'occurence) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 30 mai 2016 Partager Posté(e) le 30 mai 2016 il y a une heure, Hy69 a dit : Par contre cette dernière passe si je vire la dernière règle (suppression de tous les ports hormis les précédents autorisés), ce qui est tout a fait logique. La règle de ta seconde capture n'est prise en compte que si celles de la première capture le permettent, ce qui n'est pas le cas ici. Je te recommande de ne pas faire de règle par interface (eth0, vpn, ...) mais uniquement dans l'écran 'Toutes les interfaces' 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Hy69 Posté(e) le 30 mai 2016 Auteur Partager Posté(e) le 30 mai 2016 Ok Merci, je note J'ai donc recopié cette règle dans le "toutes les interfaces", les autres sont totalement vierges Ca ne fonctionne malheureusement pas :( J'avais cru lire que les règles du pare-feu ne concernent que les IP extérieures, hors ici le serveur VPN crée des IP dynamiques qui ne sont donc plus "exterieures", ne serait-ce pas une explication du non fonctionnement ? Merci d'avance de ton avis 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 30 mai 2016 Partager Posté(e) le 30 mai 2016 Et si tu autorisais avant de bloquer ;) Les règles sont interprétées dans l'ordre, la première qui correspond est appliquée 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Hy69 Posté(e) le 31 mai 2016 Auteur Partager Posté(e) le 31 mai 2016 Ah oui :) J'ai limité le WebDav aux IP Dynamiques données par le VPN serveur, et bien malheureusement cela ne fonctionne pas, le pare feu ignore totalement l'autorisation pour les ip 10.0...., comme si il ne se basait que sur l'IP source du client VPN Par contre si je mets toutes les IP dans la règle WEBDAV => la connexion sans VPN passe (logique on encore aucune interdiction d'IP) mais en me connectant par VPN Rien comme si cette IP dynamique crée par le une appli du NAS était totalement inconnue par le pare feu :( Merci encore de ta patience et du temps passé pour me dépanner Ps Question subsidiaire : Cette règle WebDav est-elle en soit nécessaire ? en effet tous les ports étant autorisés sur les Ip locales, la règle WebDav en devient redondante nop ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 31 mai 2016 Partager Posté(e) le 31 mai 2016 Il y a 3 heures, Hy69 a dit : Ps Question subsidiaire : Cette règle WebDav est-elle en soit nécessaire ? en effet tous les ports étant autorisés sur les Ip locales, la règle WebDav en devient redondante nop ? oui 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Hy69 Posté(e) le 31 mai 2016 Auteur Partager Posté(e) le 31 mai 2016 Ah Merci de cette précision :) Sinon une idée de la pierre d'achoppement de mes règles ? Je suis inquiet en lisant sur https://www.synology.com/fr-fr/knowledgebase/SRM/help/SRM/RouterApp/security_firewall le paragraphe suivant : Remarque : Vous pouvez créer jusqu'à 128 règles de pare-feu. Les règles de pare-feu ne s'appliquent qu'au trafic réseau entre Internet et le réseau local hébergé par le Synology Router. Le trafic réseaux au sein du même réseau local ou entre des réseaux locaux câblés et sans fil n'est pas soumis à ces règles. En cas de conflit, différents types de règles sur SRM sont appliquées en priorité dans l'ordre suivant : règles du pare feu >règles de transmission de ports >règles des listes des client UPnP. Pour arriver à mon objectif, je ne vais quand même pas m’équiper d'un firewall matériel (dans l'hypothèse où ça marcherait), ce serait utiliser un marteau de forgeron pour planter un clou :( Merci d'avance :) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 31 mai 2016 Partager Posté(e) le 31 mai 2016 Pourtant l'article que tu cites est celui de SRM : Synology Router Manager Ce qu'on t'a indiqué reste valable. ne peuvent accéder à un port du nas que : les paquets qui sont autorisés dans ton routeur (ta box) et qui sont autorisés dans le parefeu du nas => Si tu souhaites pouvoir faire du WebDAV depuis Internet uniquement via un tunnel VPN : dans la box : n'autorises QUE le vpn à destination du nas (désactive ces salo*eries d'upnp, DMZ, ...) dans le nas, n'autorises depuis Internet (les ip différentes de celles cités plus haut) que le trafic VPN (si c'est le nas le serveur vpn) ensuite autorises depuis les IP locales le reste du trafic à laisser passer (ici le webdav) Si tu souhaites voir les règles qui sont réellement appliquée : sudo iptables -L -v -n ps : si tu es en ipv6, c'est différent 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Hy69 Posté(e) le 31 mai 2016 Auteur Partager Posté(e) le 31 mai 2016 Bon c'est rassurant alors :) - J'ai nettoyé la box comme indiqué : upnp, dmz virés laissé que le port du VPN ouvert (tout le reste supprimé) - Dans le Nas les mêmes règles que ma dernière copie écran (c'est bien le Nas qui fait office de serveur VPN) La connexion en VPN sur mon mobile Android marche toujours mais le WebDav me refuse l'accès. J'ai donc lancé la commande : " sudo iptables -L -v -n " Je ne peux malheureusement plus joindre de copie écran, néanmoins ça me retourne (si c'est lisible ^^) : Chain INPUT (policy ACCEPT 375 packets, 78271 bytes) pkts bytes target prot opt in out source destination 922 191K DOS_PROTECT all -- * * 0.0.0.0/0 0.0.0.0/0 936 194K INPUT_FIREWALL all -- * * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 55 packets, 3333 bytes) pkts bytes target prot opt in out source destination 337 127K FORWARD_FIREWALL all -- * * 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 804 packets, 191K bytes) pkts bytes target prot opt in out source destination Chain DOS_PROTECT (1 references) pkts bytes target prot opt in out source destination 0 0 RETURN icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmptype 8 limit: avg 1/sec burst 5 0 0 DROP icmp -- eth0 * 0.0.0.0/0 0.0.0.0/0 icmptype 8 0 0 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 limit: avg 1/sec burst 5 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04 4 208 RETURN tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 10000/sec burst 100 0 0 DROP tcp -- eth0 * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x02 Chain FORWARD_FIREWALL (1 references) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 282 124K ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 55 3333 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 source IP range 10.0.0.0-10.255.255.255 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 source IP range 172.16.0.0-172.31.255.255 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 source IP range 192.168.0.0-192.168.255.255 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723 0 0 RETURN 47 -- * * 0.0.0.0/0 0.0.0.0/0 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 source IP range 10.0.0.0-10.255.255.255 multiport dports 5005,5006 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 RETURN all -- eth0 * 0.0.0.0/0 0.0.0.0/0 0 0 RETURN all -- ppp201 * 0.0.0.0/0 0.0.0.0/0 0 0 RETURN all -- ppp202 * 0.0.0.0/0 0.0.0.0/0 Chain INPUT_FIREWALL (1 references) pkts bytes target prot opt in out source destination 208 25990 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 343 88239 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 42 3276 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 source IP range 10.0.0.0-10.255.255.255 0 0 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 source IP range 172.16.0.0-172.31.255.255 80 16810 RETURN all -- * * 0.0.0.0/0 0.0.0.0/0 source IP range 192.168.0.0-192.168.255.255 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1723 263 59928 RETURN 47 -- * * 0.0.0.0/0 0.0.0.0/0 0 0 RETURN tcp -- * * 0.0.0.0/0 0.0.0.0/0 source IP range 10.0.0.0-10.255.255.255 multiport dports 5005,5006 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 0 0 RETURN all -- eth0 * 0.0.0.0/0 0.0.0.0/0 0 0 RETURN all -- ppp201 * 0.0.0.0/0 0.0.0.0/0 0 0 RETURN all -- ppp202 * 0.0.0.0/0 0.0.0.0/0 Je vois dans la dernière colonne les règles qui ont l'air Ok, mais je ne comprends pas grand chose d'autres, est-ce que ça peut donner une idée où le bât blesse ? Merci d'avance 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 31 mai 2016 Partager Posté(e) le 31 mai 2016 Les règles sont ok. Je pense que tu tests avec la mauvaise adresse. Du point de vue de ton client VPN (pptp) ton nas a comme adresse : 10.0.0.0 Tu as donc 2 choses à faire : ne pas utiliser pptp : autant ouvrir directement depuis Internet, ça sera PLUS sécurisé utiliser la bonne adresse pour atteindre le nas IPSec/L2TP : 10.2.0.0 OpenVPN : 10.8.0.0 ou configurer une route sur le poste client pour qu'il sache que ton nas est derrière le routeur 10.x.0.0 nb : si tu utilises OpenVPN, c'est une case à cocher dans le nas pour que ça marche tout seul. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Hy69 Posté(e) le 1 juin 2016 Auteur Partager Posté(e) le 1 juin 2016 Bon ben un grand merci à Fenrir, pour sa patience et ses explications claires qui ont fini d'atteindre ma pauvre cervelle :) Pour Info mon erreur depuis le début, grossière je l'avoue mais pour un débutant ce n’était pas si évident et pour info (si jamais tu rencontres une personne avec des problèmes similaires), je mettais comme adresse dans le WebDav : machin.synology.me en lieu et place des 10.?.0.0 => oui oui on peut rire :) Je n'ai aucun problème pour paramétrer les L2TP et OpenVPN sur mon phone android et le WebDav fonctionne nickel, par contre j'ai plus de difficultés sur mon w10. Toute ma gratitude Fenrir 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 1 juin 2016 Partager Posté(e) le 1 juin 2016 il y a 11 minutes, Hy69 a dit : je mettais comme adresse dans le WebDav : machin.synology.me en lieu et place des 10.?.0.0 ça peut très bien marcher avec le nom de domaine, moyennant quelques petits paramétrages DNS et vpn 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.