Toutes les discussions

Sans WireGuard (qui est une bonne solution), voici une méthodologie pour restreindre l'accès à un opérateur mobile (Bouygues Telecom dans l'exemple ci-dessous) : Relever les adresses IPv4 et IPv6 d'un appareil mobile (Wi-Fi désactivé) depuis une site comme https://ip.lafibre.info, Récupérer les réseaux correspondants depuis un annuaire BGP comme bgp.tools ou bgp.he.net (pour Bouygues Telecom : https://bgp.tools/as/5410#prefixes), Créer une règle d'autorisation dans le pare-feu du NAS pour chaque réseau identifié. Afin mieux identifier ces réseaux, on peut temporairement ouvrir les accès à la France entière et identifier les adresses IP mobiles dans les logs de connexion du NAS. Contrairement à IPv6, il y aura probablement plusieurs réseaux IPv4 à renseigner. On peut encore aller plus loin pour restreindre aux plages réellement utilisées, mais ça ferait plutôt l'objet d'un tutoriel.

Pour pouvoir lire des disques en SHR sur une distribution linux, il faut installer mdadm et lvm2. Ce dernier permet de gérer le mode multiraid propre au SHR. C'est expliqué dans la procédure donnée par firlin.

En utilisant wireguard, vous devez pouvoir vous connecter au NAS directement avec son IP locale. C'est un peu le principe du VPN. Ceci bien entendu à condition que les adresses de wireguard soient ouvertes dans le parefeu. Sans wireguard, il faut faire ce que dit PiwiLabruti : créer une règle qui autorise les IP de France vers les applications que vous voulez utiliser de l'extérieur. Par exemple file station dont le port par défaut est 7001. Et pour que ce port puisse être rejoint de l'extérieur, il faut l'ouvrir dans la box et le diriger vers l'ip du NAS.

C'est la procédure si tu veux pouvoir lire les données dessus

Merci, je vais voir Mes anciens HD ne sont pas en anomalies

Bonjour @glpa , Pour récupère les données il faut suivre cette procédure https://kb.synology.com/fr-fr/DSM/tutorial/How_can_I_recover_data_from_my_DiskStation_using_a_PC

Merci pour ton aide :) Je suis chez Bouygues Mais en lisant ton mail, je me dis qu'il est peut être possible de n'autoriser que l'IP de mon réseau free. en activant wireguard, j'ai l'impression que tous mes devices ont l'IP de chez moi. je me trompe ? Edit : ah non, je me trompe, l'IP n'est pas celle de chez moi...

Tu peux créer une règle dans le pare-feu par pays pour autoriser toutes les adresses IP Françaises. Les adresses IPv4 et IPv6 de ton mobile y sont incluses. Si tu veux restreindre à ton opérateur uniquement, il faut autoriser uniquement les réseaux IP de ce dernier. Quel est ton opérateur mobile ?

Bonjour à toutes et tous. Étant donné qu'il est impossible de mixer HD et SSD, j'ai remplacé mes 2 HD(2To) par 2 SSD(4To) et redémarré le système grâce à la sauvegarde de mes paramètres. tout fonctionne impeccable, tous les paramétrages récupérés sauf les données bien sûr ! Sauf que maintenant je souhaiterai(s) récupérer les données de mes 2 HD ! Une idée sur la manière de procéder ? Manœuvre déjà essayée: essayer de lire sous linux les HD , mais refus de montage même après avoir monté le raid1 ....Protection Synology ! merci et bonne journée

Mince, là j'arrive à mes limites de compétences... Je n'y connais pas grand chose. Pour le moment, je n'ai que activé Wireguard derrière ma freebox, installé le client sur mon pc et mon téléphone. Mais je ne passe pas forcément par wireguard que je n'active pas vraiment au quotidien. Si je comprends bien, il faudrait que je fasse une redirection et une ouverture de port depuis le mode administrateur de ma freebox (qui joue le role de routeur) ? Est-ce que vous pouvez m'aider ou me guider pour réussir cela ? Merci beaucoup :)

C'est normal. Le parefeu tel qu'il est paramétré n'autorise que les adresses locales et l'IP du routeur. Toutes les autres IP sont bloquées. Le tuto sert à protéger le NAS localement. Si vous voulez l'ouvrir vers l'extérieur, il faut rajouter des règles pour autoriser les IP externes à se connecter aux applications. Les IP peuvent être toutes autorisées, filtrées géographiquement, ou peuvent être dans une plage, et les applications sont à choisir dans la liste ce qui va ouvrir les ports correspondants. Ce n'est pas tout. Si vous n'utilisez pas le reverse proxy, alors il faudra aussi ouvrir les ports dans le routeur. Règle évidente de sécurité : ne jamais exposer les ports http vers l'extérieur. Seulement des ports https.

Yes effectivement, en modifiant la configuration du pare-feu, ca fonctionne parfaitement en local. En revanche, dès que j'essaie de me connecter en 5g, ca fonctionne plus... Sais-tu pourquoi ? Merci beaucoup :)

Je suppose que tu as compris que le préfixe IPv6 2a01:e0a:3:a350::/64 de ta Freebox n'est pas autorisé dans le pare-feu du NAS, ce qui explique le message d'avertissement de DSM. Comme tu n'accèdes pas au NAS avec une adresse IP autorisée dans les règles de pare-feu, tu n'auras plus d'accès au NAS si ces règles sont appliquées. Pour les connexions locales au NAS, je déconseille d'utiliser un domaine *.synology.me car tu rends l'accès local à ton NAS dépendant du service DDNS de Synology alors qu'il n'y aucune raison pour que cet accès soit dépendant d'internet. Utilise plutôt l'adresse IP locale du NAS (https://92.168.1.*:35001 en IPv4, ou https://[fe80::*]:35001 en IPv6) qui fonctionnera quelque soit l'état de la connexion internet. Si toutefois tu souhaites continuer d'utiliser le domaine *.synology.me, il faut alors autoriser le préfixe 2a01:e0a:3:a350::/64 dans les règles de pare-feu du NAS.

Je ne crois pas. J'ai 'bêtement" suivi le tuto. Et j'ai donc ça dans ma configuration pare-feu : Quand je modifie la configuration pour cela : Ca marche bien, j'arrive à valider le profile de configuration. Merci beaucoup :) En revanche, avec cette configuration, impossible de me connecter depuis mon portable en 5g... Est-ce que tu pourrais m'aider à fixer ce sujet ?

Merci de ne pas citer le message précédent à chaque fois. Est-ce que le préfixe 2a01:e0a:3:a350::/64 est autorisé dans le pare-feu du NAS ?

j'ai une adresse IPv6 : (je précise que là je suis connecté depuis XXX.synology.me)

Quelle adresse IP de client est indiquée dans Moniteur de ressources > Connexions ?

J'utilise XXX.synology.me:35001 (j'ai changé le port https par défaut de 5001 à 35001) Et j'utilise aussi de chez moi 192.168.1.88 (adresse fixe)

Quelle adresse est utilisée dans la barre d'adresse du navigateur pour se connecter au NAS et en faire la configuration ?

Bonjour à tous, J'ai tenté de suivre le tuto pour sécuriser mon NAS ds215j. Je n'arrive pas à sécuriser le pare-feu comme présenté dans le tuto. Je fais bien un profil "par-interface", je rajoute dans l'interface "LAN1" les ip v4, v6, exactement comme précisé dans le tuto (à la différence que mon IP v4 est 192.168.1.0 et mon masque de sous réseau est 255.255.255.0, tout le reste est inchangé). Et pourtant, quand je tente d'appliquer ce nouveau profil, j'ai un message d'erreur "votre ordinateur a été bloqué par la nouvelle configuration du pare-feu. La configuration du pare-feu a été réinitialisée. Assurez-vous qu'aucune règle ne bloque votre ordinateur et réessayez". Je précise que dans ma configuration réseau du NAS, je suis en IP v4 fixe, et en IP v6, j'ai "DHCP v6-PD". Savez-vous pourquoi j'ai ce message d'erreur, et comment résoudre ce problème ? Je précise que j'utilise souvent mon NAS de l'extérieur via XXX.synology.me. Merci beaucoup :)

Pour votre information : Sur ma banque , j'ai un identifiant sur 9 chiffres qui m'est imposé et un mot de passe que j'ai choisi .... Avant qu'un hackeur trouve mon identifiant .... Du coup j'ai un identifiant très farfelu sur mon compte admin ... protégé, comme il se doit par la 2FA Pourtant j'ai 28000 attaques par jour sur mon adresse mail

C'est vous qui voyez mais sachez qu'un identifiant "admin" a plus de chance de se faire attaquer qu'un compte "Toto" qui peut être administrateur tout comme le compte "admin". Par ailleurs, il ne faut pas confondre entre compte administrateur et utilisateur. Le compte administrateur ne sert qu'à l'administration du NAS et seulement à ça. Il ne faut surtout pas en faire un compte utilisateur qui lui a un accès restreint aux seuls dossiers et applications auxquels l'administrateur lui a donné les droits. A titre personnel j'ai une quantité importante de compte administrateurs pour l'administration du NAS et pour des applications spécifiques avec pour chacun des droits limités à ces seules applications, et j'ai un compte utilisateur qui me sert pour l'accès à mes données et aux applications dont j'ai besoin dans mon usage personnel. Ca ne pose aucun problème, chaque compte étant dédié à son usage spécifique. Mais comme je l'ai dit, si vous voulez conserver le compte "admin" par défaut et tout faire avec ce compte, c'est votre décision. Nous ne faisons que vous informer des règles de bon usage et surtout de sécurité. Par contre, que le NAS vous recommande de désactiver le compte admin n'a rien d'anormal puisqu'il s'agit d'un conseil de sécurité.

Bonsoir Créer un utilisateur avec les droits admin dont le login n'est pas "Admin" et ensuite desactiver le compte Admin par défaut.

Merci pour vos retours précis. Je retiens: sauvegarde de sécurité, changement 1 disque a froid, attendre la reconstruction, changement second disque a froid. Pourquoi deux volumes ? parce que j'heberge mon propre site web et un forum (tout neuf), et j'ai voulu créé un "isolement" entre ce qui est public et privé.

merci pour vos retours. Je regardé le tuto , mais ca ne réponds pas a mon problème. Je suis admin de mon nas, je ne veux pas créer un compte non admin. Le compte admin actuel, n'a que le login = admin, le pass word est a 12 caractères minuscules, majuscules, chiffres et speciaux + la validation par l'application synologie Secur SignIN, lié a mon compte syno, je ne vois pas quoi faire de plus? Je viens de verifier 2 facteurs est activé. (voir PJ)