Aller au contenu

HYPERBACKUP ET PORTS


Face B

Messages recommandés

Bonjour,

 

J'ai 2 NAS a sauvegarder (1 vers 2) via HYPERBACKUP à distance.

Le test en local a bien fonctionné mais maintenant, à distance, j'ai un échec d'accès à la destination.

J'ai vu que le port à ouvrir est le 6281. Est-il à ouvrir sur les 2 livebox ?

Le réglage est-il :
- Port Interne 6281
- Port externe: 6281
- Protocole : les 2
- Appareil (IP de mon NAS)

Je précise que j'accès à mes NAS à distance  via QuikConnect. Le port de base est donc ouvert.

 

Merci d'avance, 

Lien vers le commentaire
Partager sur d’autres sites

  1. je te déconseilles fortement l'utilisation de quickconnect
  2. si tu utilises tout de même quickconnect, aucun port n'est à ouvrir puisqu'ils le sont tous depuis partout
  3. sinon c'est sur la destination qu'il faut transférer le port TCP 6281 (en général tous les ports sont autorisés en sortie sur les box)

Il serait plus fiable et plus sécuriser de passer par un VPN.

Lien vers le commentaire
Partager sur d’autres sites

Merci @Fenrir

J'ai déjà tellement de difficultés pour tout mettre en oeuvre que je préfère commencer avec QuickConnect, tout installer et une fois que tout fonctionne, je durcirai la sécurité.

Pour le moment, HyperBackup ne va pas. Ni dans un sens, ni dans l'autre. Ce n'est donc pas le soucis des ports puisque tu précises que QuikConnect ouvre presque tout.

Peux -tu me donner le réglage en détail pour le port 6281 ?

 Port Interne :
- Port externe: 
- Protocole :
- Appareil (IP de mon NAS)

 

Merci !

Lien vers le commentaire
Partager sur d’autres sites

il y a 2 minutes, DrOSX a dit :

J'ai déjà tellement de difficultés pour tout mettre en oeuvre que je préfère commencer avec QuickConnect, tout installer et une fois que tout fonctionne, je durcirai la sécurité.

C'est une très mauvaise pratique lorsqu'on débute pour quelques raisons simples :

  • si ça fonctionne sans sécurité tu n'oseras plus changer et courir le risque de casser
  • si tu cours tout de même le risque, au moindre problème tu risques de renoncer
  • et si tu t'acharnes, tu vas peut être te rendre compte que ta méthode est mauvaise par construction et qu'elle empêche toute forme de sécurité

J'ai exagéré en indiquant que tout était ouvert avec QC, du point de vu d'un attaquant c'est vrai, pour les logiciels c'est différent (il est possible qu'HyperBackup ne soit pas autorisé via QC).

Si tu souhaites faire simple pour commencer :

  1. supprime/déconfigure/désactive QuickConnect partout (quickconnect complique les choses)
  2. sur les 2 nas, configure le firewall correctement (c'est expliqué dans le tuto)
  3. sur la box de destination, transfert le port TCP 6281 vers le nas (sur le même port)
  4. sur le nas de destination, configure un enregistrement DynDNS
  5. sur le nas source, configure HyperBackup

Si tu dois faire les manip à distance, il te suffit de configurer le serveur VPN du nas sur la destination (il y a un tuto pour ça dans le forum).

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour Fenrir,

 

Merci pour ton tutoriel de sécurisation des accès du NAS

J'ai commencé à 7:00 ce matin et je finis à peine. J'ai eu 2 NAS à faire et des galères de double authentification... Bref...Avant de reprendre ton point 3 des recommandations précédentes, j'ai quelques questions pour bien terminer ma configuration. On va faire dans l'ordre :mrgreen:

J'ai une question concernant le HTTPS :

J'ai obtenu le certificat LET'S ENCRYPT et le HTTP est redirigé vers HTTPS. Malgré tout, je suis toujours alerté par le navigateur.

Le soucis vient peut être du port 80 qui n'est peut être pas redirigé sur ma Livebox ? 

Le pare-feu de ma LIVEBOX était réglé sur "moyen". Je pense qu'il serait temps de régler sur "personnalisé" mais Il m'affiche une trentaine de configurations. Et là, je sèche. Dois-je tout supprimer  ou repartir de la configuration  "Elevé"  (Je cite : "Le pare-feu vous permet d'utiliser les applications standards sur Internet (www, mail, news, ...) et rejette les connexions entrantes non désirées. Ce choix est recommandé pour disposer d'un niveau de sécurité maximum.")

 

Une autre concernant mon nom domaine 

Je n'ai plus accès à mon interface de configuration en tapant mon domaine mais uniquement depuis mon IP. J'imagine que c'est aussi une histoire de port?

Merci !

 

Capture d’écran 2017-07-13 à 15.14.53.png

Modifié par DrOSX
Lien vers le commentaire
Partager sur d’autres sites

Le parefeu de la box n'est pas en cause ici

Ton alerte de certificat et le fait que ça ne marche qu'en IP un interne sont surement liées au même problème :

  • ton certificat est valable pour un domaine, pas pour une ip
  • si tu veux utiliser ton domaine en interne il faut soit utiliser le loopback de ta box (mais c'est plus lent) soit utiliser un DNS interne (il y a un tuto pour ça aussi)
Lien vers le commentaire
Partager sur d’autres sites

Ok merci.

Concernant les réglages de mon pare-feu de la Livebox 'message précédent". J'ai ajouté UDP: 10,000 to 20,000 outbound (pour le téléphone via un service de CRM Gestion client nommé Zendesk)

Je peux laisser comma ça ? en terme de sécurité, l'ensemble te semble ok ?

Pour information, je dois maintenant mettre en place la configuration d'accès à distance du NAS. Histoire de pouvoir accès aux données depuis différents endroits.

Peux-tu me rappeler quelle solution est à privilégier (attention, suis assez débutant) ? Je crois qu'un tuto existe.

ps : il me restera à m'attaquer à la réplication de mon NAS vers un autre NAS.

 

Merci beaucoup.

Modifié par DrOSX
Lien vers le commentaire
Partager sur d’autres sites

il y a 26 minutes, DrOSX a dit :

Je peux laisser comma ça ? en terme de sécurité, l'ensemble te semble ok ?

je ne peux pas juger, c'est ta conf, ton nas, tes besoins et on ne voit que le trafic sortant (du nas vers internet), pas entrant

il y a 28 minutes, DrOSX a dit :

Peux-tu me rappeler quelle solution est à privilégier (attention, suis assez débutant) ? Je crois qu'un tuto existe.

Si tu es seul à utiliser le nas => VPN (il y a un tuto sur le forum)

Sinon, ça dépend des besoins

Lien vers le commentaire
Partager sur d’autres sites

  • 2 mois après...
Le 05/06/2017 à 18:30, Fenrir a dit :

 

  1. sur la box de destination, transfert le port TCP 6281 vers le nas (sur le même port

Bonjour,

 Peux-tu me confirmer les valeurs (en PJ)  ?

 

 

Je suis en réglage Moyen sur la livebox du pare-feu. J'ai toujours des difficultés à sauvegarder à distance (pas en local). Comment puis-je d'abord vérifier que mon NAS de destination soit accessible à distance ? L'adresse IP du NAS aboutit à un echec.

Capture d’écran 2017-10-03 à 12.59.29.png

Modifié par DrOSX
Lien vers le commentaire
Partager sur d’autres sites

A première vue les règles sont OK (quid du firewall du nas ?)

Il y a 4 heures, DrOSX a dit :

Comment puis-je d'abord vérifier que mon NAS de destination soit accessible à distance ?

avec un smartphone en 3G par exemple

nb : si tu utilises encore quickconnect, je ne peux pas t'aider plus

Lien vers le commentaire
Partager sur d’autres sites

Merci. J'ai déjà essayé en 3G, il n'est pas accessible.

 

ps : Mon quikconnect est désactivé. J'ai suivi ton tuto mais après des heures de galère, j'ai abandonné au VPN et du coup, j'ai re-modifié la livebox en pare-feu automatique "moyen". 

Ce sont les seules modifications que j'ai fais sur le tuto.

Merci de ton aide, 

Lien vers le commentaire
Partager sur d’autres sites

59d9c1a03bebc_Capturedecran2017-10-08a08_07_05.thumb.png.5e6dd357340a1133c1fe3f47b54c68e9.png59d9c1a03bebc_Capturedecran2017-10-08a08_07_05.thumb.png.5e6dd357340a1133c1fe3f47b54c68e9.png

Le 03/10/2017 à 20:11, Fenrir a dit :

Tu es certain que "prestostation" est bien ton nas (bonne IP privée) ?

Merci du suivi.

Le nom du NAS de destination est ok (Voir PJ). Concernant l'IP du NAS de destination, je me connecte avec 192.168.1.113:5001. (firewall nas en PJ aussi).

Comment savoir si le blocage est de sortir du NAS source ou d'entrer dans le NAS destination ? Je rappelle que la sauvegarde fonctionnait en local.

Capture d’écran 2017-10-08 à 08.07.05.png

Capture d’écran 2017-10-08 à 08.17.04.png

Capture d’écran 2017-10-08 à 08.17.16.png

Capture d’écran 2017-10-08 à 08.17.30.png

Capture d’écran 2017-10-08 à 08.17.25.png

Capture d’écran 2017-10-08 à 08.17.39.png

Modifié par DrOSX
Lien vers le commentaire
Partager sur d’autres sites

Le 08/10/2017 à 10:50, Fenrir a dit :

Il n'y a pas la capture du firewall du nas.

En passant, tu devrais éviter de poster ton nom de domaine et ton ip (cache ces infos sur tes captures)

Merci.

 

Tu peux me donner exactement les onglets voulus dans le panneau de configuration .? Est-ce pour le NAS destination ou source ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Voici la capture en PJ.

Merci d'avance, 

 

ps: derniéres tentatives avant de faire appel à un  spécialiste pour la mise en place mais j'aimerais éviter de payer juste pour la mise en place de la sauvegarde. Malheureusement, ces données sont importantes (professionnelles)...

Capture d’écran 2017-10-16 à 20.30.04.png

Lien vers le commentaire
Partager sur d’autres sites

ici je vois mon exemple de règles, il faut l'adapter à TES besoins. Nul part je ne vois une règle pour autoriser HyperBackup.

Ce que tu peux faire pour commencer, c'est autoriser tous les protocoles (tous les ports) depuis les ip sources :

  • box1 : ip1
    • transfert des ports nécessaires vers le nas1
  • box2 : ip2
    • transfert des ports nécessaires vers le nas2

=>

  • firewall du nas1 : autorise tout depuis ip2
    1. Tous-Tous-10.0.0.0/255.0.0.0-Autoriser
    2. Tous-Tous-172.16.0.0/255.240.0.0-Autoriser
    3. Tous-Tous-192.168.0.0/255.255.255.0-Autoriser
    4. Tous-Tous-ip2-Autoriser (tu peux affiner pour préciser le port d'HyperBackup)
    5. Tous-Tous-Tous-Refuser
  • firewall du nas2 : autorise tout depuis ip1
    1. Tous-Tous-10.0.0.0/255.0.0.0-Autoriser
    2. Tous-Tous-172.16.0.0/255.240.0.0-Autoriser
    3. Tous-Tous-192.168.0.0/255.255.255.0-Autoriser
    4. Tous-Tous-ip1-Autoriser (tu peux affiner pour préciser le port d'HyperBackup)
    5. Tous-Tous-Tous-Refuser

ps : il n'y a pas besoin de faire appel à un "spécialiste" pour ce que tu demandes, c'est très simple à faire normalement

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Merci du retour. Je commence à mieux comprendre le fonctionnement. Restent les réglages. La livebox 1 (source) est une pro avec une IP fixe et la livebox 2 (destination) est une familiale. Les réglages différents un peu. Voici ci-dessous, les 2 redirections livebox et les 2 firewall.

Je pense que les réglages ne sont pas encore parfaits..

 

REDIRECTION LIVEBOX 1 (source)

redirection-livebox1.jpg.d78ff6c1b4c69f22ca887b32d29a9cd5.jpg

 

 

FIREWALL NAS 1 (source)

FIREWALL-NAS1.jpg.6a81d8a096b0d5f07a660b6c04fcdbeb.jpg

 

 

 

REDIRECTION LIVEBOX 2 (destination)

redirection-livebox-2.jpg.645693ab4b9f076a1c650238a0cd5b83.jpg

 

 

FIREWALL NAS 2 (destination)

FIREWALL-NAS2.jpg.bda6093c707ef7816210c8c879ed247c.jpg

Modifié par DrOSX
Lien vers le commentaire
Partager sur d’autres sites

  1. REDIRECTION LIVEBOX 1 (source) :
    • IP NAS1 de gauche => ça doit être l'ip publique de la box 2, comme c'est une familiale son ip n'est pas fixe => il faut tout autoriser
  2. FIREWALL NAS 1 (source) :
    • IP NAS2 => ça doit être l'ip publique de la box 2, comme c'est une familiale son ip n'est pas fixe => il faut tout autoriser
  3. REDIRECTION LIVEBOX 2 (destination) :
    • ok (je pense que seul TCP est nécessaire mais ce n'est pas grave)
  4. FIREWALL NAS 2 (destination) :
    • IP NAS1 => ça doit être l'ip publique de la box 1

nb : les 2 premières règles ci dessus ne servent à rien (la destination ne va pas aller voir la source) => garde juste les points 3 et 4

Lien vers le commentaire
Partager sur d’autres sites

Merci.

 

J'ai donc laissé les points 1 ET 2 tels quels.

Le 3 aussi puisque cela n'est pas grave de laisser sur "tout".

Le point 4 a été modifié comme ci-dessous

 

FIREWALL NAS 2 (destination)

fire.jpg.af1ae23d5abd84c0e56dba3e91b80e0c.jpg

 

 

Cela ne fonctionne toujours pas. HYPERBACKUP source m'indique : CIBLE HORS LIGNE

Voir ci-dessous LES REGLAGES

 

HYPERBACKUP NAS 1 SOURCE

 

hyper1.jpg.44c749b6e102ea48048f079c253092a8.jpghyper2.jpg.0a7752569781fff34a66b9d742da81e4.jpg

Lien vers le commentaire
Partager sur d’autres sites

bonjour,

j'arrive en reprenant le fil de la conversation: pas évident à comprendre rapidement. Un schéma serait tellement plus simple... :neutral:

si j'ai bien compris ton erreur sur le dernier post, je pense qu'il faut mettre l'ip public de ta box (BOX 2) où se situe ton nas de destination (NAS 2) et où tu as fait la redirection de port dans la box..

Edit:

Si la box 2 de destination est une familiale, il me semble que l'ip publique n'est pas fixe (option payante). Dans ce cas il faudrait utiliser un service dyndns pour que le Nas 1 fasse sa sauvegarde vers le nom dns et non l'ip (qui est changeante).

Synology propose un enregistrement DNS gratuit en synology.me. C'est à configurer au niveau DSM du Nas 2

Modifié par bagou91
Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, bagou91 a dit :

bonjour,

j'arrive en reprenant le fil de la conversation: pas évident à comprendre rapidement. Un schéma serait tellement plus simple... :neutral:

si j'ai bien compris ton erreur sur le dernier post, je pense qu'il faut mettre l'ip public de ta box (BOX 2) où se situe ton nas de destination (NAS 2) et où tu as fait la redirection de port dans la box..

Au début, j'avais mis l'IP NAS 1 et on m'a dit 

 

  1. FIREWALL NAS 2 (destination) :
    • IP NAS1 => ça doit être l'ip publique de la box 1

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.