CoolRaoul

Si le port 5000 est ouvert (et pas le 5001) la seule différence que ça fera en ce qui concerne les tentatives d'accès illégitimes sera que le traffic entre le pirate et le NAS ne sera pas chiffré (et donc en clair). Ça ne rendra pas le service plus vulnérable à ce genre d'attaques par contre. Bien entendu ceci n'empêche pas que pour les accès légitimes il faut absolument s'astreindre à utiliser le port SSL (5001), et donc ne laisser que celui-ci ouvert dans la box. Même avec un certificat invalide (autosigné): le traffic restera quand même chiffré. Même si c'est un poil moins sécurisé, on n'est pas à l'abri d'attaque de type "man in the middle" (passe plat) mais il y a peu de risques que quelqu'un se donne autant de mal pour détourner le traffic d'un serveur personnel à domicile. L'option VPN suggérée est meilleure mais ça n'empêchera pas des possibles tentatives de connexion du même type (brute force), sauf que a sera sur l'accès VPN cette fois, (plus rare cependant). Par contre ça sera sans doute pas évident de se connecter par cette méthode, à l'improviste en cas d'urgence, voire à partir de son réseau d'entreprise. Au delà de ça et en parallèle il est possible d'utiliser le firewall intégré pour limiter les accès exclusivement au pays de son domicile. C'est pas parfait (je peux en témoigner) mais ça réduit considérablement les alertes de tentative d'intrusion. Ne pas oublier aussi alors d'ouvrir le ou les ports requis par le VPN si on l'utilise, sur la box et dans le firewall (à moins de disposition d'un VPN intégré à la box).

Les releases notes de cette RC mentionnent nombre de "fixed security vulnerability" Par suite, entre attendre la version finale et mettre à jour je n'arrive pas à trancher.

Oui bien sur (enfin comme mon PC se connecte au NAS en SMB et que V1 y est désactivé j'imagine que c'est le cas) Je dois mal my prendre [Admin] pwsh C:\Windows\System32 > Get-SmbConnection [Admin] pwsh C:\Windows\System32 > Get-SmbConnection | select dialect [Admin] pwsh C:\Windows\System32 > Get-SmbConnection | gm Get-Member: You must specify an object for the Get-Member cmdlet. [Admin] pwsh C:\Windows\System32 > Ah non, je n'avais pas de connection active sur mon NAS à ce moment Voila :

Ah ok, et en effet en postant ce message j'ai eu le sentiment d'avoir déjà signalée cette anomalie mais ne suis pas pas parvenu à retrouver mon post précédent. C'est un peu ennuyeux. Peut-on savoir si un des admins du forum est sur le dossier ?

Bonjour, Une réponse a été postée dans ce fil que j'ai ouvert ce matin : "warning SMB1 récurrent dans les logs" Alors que l'option de suivi est bien activée dans le fil ("Un courriel lorsqu’un nouveau contenu est posté") , je n'ai pas reçu de notification (et pas en spam non plus) Bien entendu mon email est valide dans mes paramètres de compte

Je viens de vérifier, c'est bien désactivé :

Hello, Je ne pense pas que ça soit bien grave mais j'aimerai quand même comprendre Dans les logs de mon NAS, j'observe ce message qui apparait régulièrement : Host [<IP>] failed to connect via [SMB] due to [SMB1 not permitted]. Et en effet SMB1 est volontairement désactivé dans les paramètres de mon NAS. L'IP est celle de mon PC Windows 10, cette version de windows ne supporte même plus SMB1 que je sache. Ce message apparait à priori à chaque démarrage de mon PC Qui aurait une idée expliquant acela ?

Justement non, je viens de revérifier (et je m'en serais rapidement aperçu d'ailleurs) Je peux te communiquer en MP mon IPV4 et les deux IPV6 avant/apres si tu veux vérifier

ben a mes problemes de connexions Drive dont on a débattu ci dessus! Je ne comprends pas cette question : IP V6 externe de ma box ne contient que 4 blocs en tout. Selon l'appli de gestion elle est de la forme xxxx:yyy:zzz:ttt::1 c'est le bloc "zzz" qui a changé

Je découvre à l'instant que l'IPV6 de ma box à changé Selon l'historique c'est depuis le 17 février Sachant que je suis chez Free, disposant d'une IP (V4) fullstack fixe je n'imaginais pas que ce soit possible! Fort probable que ce soit lié (j'avais cette IPV6 que je croyais immuable déclarée dans un record AAA de mon domaine)

Oui Possible que ça vienne de ça (mais ça date quand même de ce matin) En plus maintenant, même avec adresse IPV6 en dur dans l'url (https://[nnnn....]) ça ne marche plus non plus (timeout) alors que j'ai encore une fenêtre de navigateur visible ou ça a fonctionné. J'abandonne c'est trop tordu.

Pas dans DSM, sur mon hébergement de domaine

Bon j'y suis presque, Je parviens à atteindre le NAS via son IPV6 de l'extérieur mais uniquement en saisissant adresse en dur, pas avec le FQDN tel que déclaré dans ma console d'admin DNS (j'ai créé provisoirement une entrée "nasv6" en AAA). Et même avec le firewall du NAS en off Alors que ça marche pour l'imprimante pourtant (via l'addresse *et* le fqdn) Mais je crois que je vais laisser tomber, le type qui a inventé IPV6 doit avoir des actions des labos pharmaceutiques producteurs d'aspirine.

Ah non, au temps pour moi: j'avais désactivé la connexion IPV6 en scope global à l'imprimante (qui dispose d'un pare-feu bien plus évolué que la Freebox)

Tout est OK de ce côté: Je vais ajouter ça Je vais creuser ça ensuite *** EDIT*** Argh, je réalise un truc soudain: quelques messages plus haut, j'étais arrivé à la conclusion que le NAS était hors de cause puisque je ne peux plus me connecter non plus à mon imprimante réseau en utilisant son adresse IPV6 "en dur" (alors que ça a marché lors de mes derniers tests IPV6, il y a uu bout de temps déjç mais avec la même box. Donc ajister les règles du firewall du NAS, même si peut-être nécessaires pour certaines, ce n'est pas la première chose à investiguer.

Je ne suis pas chez moi maintenant et je découvre le volume de questions posées et de remarques ci dessus. Je vais regarder plus tard à tête reposée.

L'ennui est qu'il n'y a pas de pare-feu sur la mienne, juste un switch tout ou rien. Ce n'est pas évident de déterminer quelles sont ces "IPV6 necessaires", quel critère appliquer ? Pour le moment, sur le NAS, pour bien j'ai une règle en tête de liste qui laisse tout passer en V6 en local (en amont de mes autres filtres, uniquement V4) en attendant mieux. De toutes façons il est désormais clair que le pb n'est pas coté NAS : je viens de vérifier avec mon imprimante connectée, qui supporte IPV6 et ça ne passe pas non plus alors que je me souviens clairement avoir réussi à avoir une connexion IPV6 la dernière fois ou j'avais pris le temps de faire ce genre de manip. Mon but désormais est essentiellement de comprendre le mécanisme mais il est probable que je bloque tout au niveau de la box ensuite.

Je sais bien mais je souhaite comprendre ce qui se passe. Pour le moment j'ai supprimé le record AAA de ma zone et tout est OK (plus de timeouts en particulier) Ceci dit je me souviens clairement avoir validé la liaison ipv6 depuis l'extérieur à travers ma box dans le passé et je ne comprends pas ce qui a pu changer. Reste qu'on peut déja conclure que l'écosystème Synology est hors du coup. Je vais continuer à investiguer de mon côté.

SI la question adresse à moi je ne la comprends pas 🤔 Et sinon j'ai mieux cerné le problème: il me semble que je n'ai *pas du tout* de connectivité IPV6 entre le monde extérieur et mon NAS. Comment résoudre ça ?

Tout redémarré, pas mieux. C'est donc bin ça Quelle est la bonne configuration (Zone DNS + firewall NAS) pour rendre ce dernier accessible en IPV6? **EDIT*** Ca se confirme, mes tests de connectivité en IPV6 vers mon NAS échouent. J'imagine que le timout avant fallback sur de IPv4 est plus long pour Drive que pour les autres applications ce qui explique ce que je constate. Dans ma zone DNS pour l'enregistrement AAA associé à mon NAS j'ai mis adresse qui s'affiche dans panneau de configuration -> interface réseau -> addresse IPv6 (en supprimant le /64) C'est pas bon alors?

Bien entendu tu as fait "grep 10002" et pas "grep PORT_INTERFACE_WEB_DRIVE" comme on me l'a demandé D'ailleurs je l'ai refait un peu plus tard avec "grep 6690" et j'ai posté le résultat ici : Ca y ressemble Je viens de faire un test avec mon smartphone connecté uniquement sur le réseau mobile Le port 5001 de mon NAS n'est pas accessible en IPV6 mais c'est OK en IPV5 Faut que je vérifie le firewall (et reboote ma box aussi j'imagine)

Complément: sur l'appli smartphone, en utilisant le nom qui résout en IPV6, si je patiente jusqu'à ce que la connexion se fasse, une fois le lien établi tout fonctionne et avec fluidité en plus.

C'est quand même un peu pénible d'avoir à installer le client local sur mon poste pour ce problème sur l'appli mobile et je n'ai pas trop d'espoir que ca donne quoi que ce soit Mais je vais tester (et apres arrête, j'ai le workaround IPV4 qui me dépanne) ***EDIT*** Test effectué avec le client Windows, ça fonctionne sans probleme en local sans ralentissements Et j'ai bien du traffic détecté sur le port 6690 (wireshark sur le poste Windows) Mais je ne vois pas qu'en conclure

Reste que je trouve étrange de ne rien capturer étant donné que pendant que la capture était en cours j'ai visualisé un fichier du drive via l'appli Synology Drive via mon smartphone. Il sert à quoi ce port?

Une seule interface sur mon NAS. En outre je maitrise cette commande que j'utilise régulièrement en particulier dans mon boulot. Pour capturer sur toutes les interfaces j''utilise la syntaxe "-i any" plutôt.