Aller au contenu

Spi

Membres
  • Compteur de contenus

    179
  • Inscription

  • Dernière visite

  • Jours gagnés

    2

À propos de Spi

Visiteurs récents du profil

Le bloc de visiteurs récents est désactivé et il n’est pas visible pour les autres utilisateurs.

Spi's Achievements

Apprentice

Apprentice (3/14)

  • Reacting Well Rare
  • Conversation Starter Rare
  • First Post Rare
  • Collaborator Rare
  • Week One Done

Recent Badges

4

Réputation sur la communauté

  1. Merci pour les précisions! C'est pas une question de confiance, plus une envie de comprendre en détail et de sécuriser au maximum ce qui peut l'être. Je ne peux pas relier les deux NAS ensemble, ça me forcerait à casser le LACP que j'ai créé et le second nas doit rester accessible en SMB pour mon LAN parce-que les différents PC de la maison balancent leur backups Veeam dessus. C'est vrai que je pourrais faire un import/export du certificat Let's Encrypt, je n'ai jamais regardé si c'était facile avec un Syno mais c'est l'occasion. Après, soyons honnête... je pousse un peu le truc "trop loin". Pour que quelqu'un puisse accéder aux NAS il faudrait effectivement qu'il soit physiquement chez moi et dans le bon vlan car les interfaces de management ne sont pas accessible de n'importe où. Il y a plus de chances qu'on me vole mon Syno que de quelqu'un qui tenterait une attaque de l'intérieur de réseau. Néanmoins, sécuriser son réseau et comprendre ce qu'on fait n'est jamais une mauvaise chose. Encore merci pour les infos.
  2. Ok, donc en théorie il est tout de même possible d'intercepter le trafic entre nas1 et nas2? Qu'est-ce qui est le plus sécurisé dans mon cas: l'utilisation du reverse proxy comme expliqué, où se connecter au nas2 en HTTPS et certificat autosigné? Même si j'imagine que ni l'un ni l'autre n'est une situation idéale. 🙂
  3. Bonsoir, Je me rend compte que je me suis mal expliqué. Donc je la refais avec un peu plus de détails: nas1: C'est le nas principal, les applications que j'utilise (principalement via Docker) sont installées sur celui là sauf exception. Certains services sont accessibles depuis l'extérieur mais uniquement en HTTPS, c'est pour ça que j'utilise un reverse proxy et un certificat SSL dessus. Il est aussi DNS pour mon LAN. nas2: Il sert de cible pour les backup du 1, il n'est pas accessible depuis l'extérieur. Récemment j'ai installé Docker dessus pour y mettre un conteneur que je ne peux pas laisser sur le nas1. Le fait d'avoir une alerte de sécurité quand j'accède à son DSM ou l'interface du Docker me tapait un peu sur le système, donc j'ai créé une entrée dans le reverse proxy. Au niveau flux réseau, je vois ça comme ceci: 1) Requête DNS pour accéder à l'interface dsm.domain.tld (qui est sur le nas2) -> le nas1 répond en donnant son IP 2) La requête arrive dans le reverse proxy qui transforme dsm.domain.tld en nas2.domain.tld:5001 3) A ce moment le flux quitte le nas1 pour aller vers le nas2 C'est l'étape 3 qui fait que je me pose des questions. Le nas2 n'est absolument pas au courant qu'il y a un reverse proxy avant lui et accepte une connexion http ou https au choix mais il ne possède pas le certificat SSL. Donc pour moi c'est équivalent à un petit bricolage pour éviter d'avoir un message de sécurité mais ça où accéder en direct à une connexions sur la cible, avec un certificat autosigné, c'est pareil. Donc pas super sécurisé. Est-ce que je suis dans le bon? Ce qui veut dire que la réponse doit tenir compte du fait qu'on est en LAN et que c'est la partie communication entre deux machines distinctes dont je ne suis pas certain. Si je reprends ce passage: Mais si je mets en destination le trafic sur le http 5000 alors tout passe en clair non? Ou le reverse du nas1 chiffre le trafic avec le nas2 même sur de l'HTTP? Même si on est dans mon LAN où à priori il n'y a personne pour venir sniffer à coup de Wireshark mon réseau, je préfère ne rien laisser en clair. On est d'accord. 🙂 C'est ce que je fais aussi, 443 only et geo filtering avec. Le VPN c'est seulement si je dois me connecter sur le DSM en cas d'urgence.
  4. Bonjour, J'utilise le reverse proxy de mon nas pour atteindre un second nas dans le même réseau. Je ne connais pas très bien les reverse proxy et j'aurais voulu savoir si c'était sécurisé? Je l'utilise pour rediriger la page d'administration du second nas, source 443 HTTPS destination 5001 HTTPS. Ce qui me laisse supposé que le trafic reste chiffré de bout en bout? Par contre si j'ai une source en HTTPS et en destination de l'HTTP, étant donné que le reverse proxy et sa destination n'est pas sur le nas initial, il doit y avoir du trafic qui sort en clair du premier vers le deuxième. J'ai bon? PS: Quand je demande si c'est sécurisé, le second nas n'est évidemment accessible que depuis mon réseau local. Je me doute que c'est une solution "bricolage" et pas faite pour être exposée au WAN. Merci !
  5. Spi

    [Tuto] Reverse Proxy

    Merci pour ces précisions @PiwiLAbruti . Si j'ai un soucis suite à la désinstallation des packages précédent PHP 7.4 je viendrai le signaler ici. Quand j'aurais désinstallé le paquet Calendar je ne garderais que la 8, si j'y pense je viendrais mettre mon retour ici également.
  6. Spi

    [Tuto] Reverse Proxy

    Hello, Vu que la publication initiale de ce tuto date un petit peu je me pose la question des versions PHP à utiliser pour la redirection http->https configurée via webstation. Aujourd'hui il y a la 8 qui est sortie et j'ai pas mal de version installées: Pour éviter de faire tourner des packages inutiles et d'un point de vue sécurité, est-ce qu'il n'est pas mieux de désinstaller toutes les versions précédentes à PHP 8.0 et configurer le script language setting pour utiliser cette dernière? EDIT: J'ai reconfiguré un profil par défaut en 7.4 et un autre en 8.0, j'ai supprimé toutes les versions précédentes exceptés la 7.3 qui est apparemment nécessaire pour le paquet Calendar et apparemment tout fonctionne. Si quelqu'un en sait plus?
  7. Super, j'attends ton retour alors, merci. 🙂
  8. Salut @Einsteinium, auriez-vous encore ces deux alimentations stp? J'ai celle de mon second DS415+ qui vient de rentre l'âme. PS: J'ai tenté d'envoyer un MP, mais le site ne l'autorise pas. Merci !
  9. Bonjour, Je recherche une alimentation pour un des modèles suivants: DS920+, DS918+, DS916+, DS418, DS418play, DS418j, DS416, DS416play, DS416j, DS415+, DS415play, DS414, DS414j, DS413, DS413j, DS412+, DS411+II, DS411+, DS411, DS411j, DS410, DS410j, DS409+, DS409 Merci !
  10. Hello, Désolé pour le déterrage, j'étais en vacance mais j'ai trouvé la solution et cela peut aider d'autres personnes. Le support Syno m'a expliqué qu'il y avait un bug avec Android 9, pour peu que vous aillez configuré le niveau de sécurité pour les protocoles TLS / SSL en "moderne" cela ne fonctionne plus. Il faut donc soit le passer en intermédiaire (ce qui est l'option par défaut), soit configurer les paramètres (custom settings) pour sélectionner l'url/app qui pose soucis en intermédiaire. Dans mon cas, j'ai upgradé en Android 10 et laissé le niveau au max. Néanmoins j'ai certains conteneurs Docker pour lequel j'ai du remettre en intermédiaire également. Merci pour vos réponses à tous!
  11. @.Shad. Hello et merci pour ton message également. Non j'ai écris photos.mondomaine.tld , je ne pense pas qu'il est utile de spécifier le port HTTPS puisqu'il y a une case à cocher en dessous pour utiliser le protocole. Cela fonctionnait comme ça avant et j'ai encodé de cette façon également sur le téléphone qui n'a pas de soucis. Je viens d'essayer avec photos.mondomaine.tld:443 -> Même résultat, il accepte, me laisse me connecter et puis marque certificat invalide. Même soucis avec https://photos.mondomaine.tld cela dit. Cela dit en mettant :443 à la fin j'ai un message d'erreur qui pour n'est on ne peut plus explicite:
  12. Merci pour la méthode, je vais essayer "pour le sport" Synology doit apporter une solution définitive, parce-que je ne vais pas m'amuser à exporter le Let's Encrypt tous les 3 mois 😄
  13. Hello Oracle et merci pour ta réponse. J'aimerais bien, mais le certificat s'importe tout seul lors de la connexion. Je ne pense pas qu'il y a un moyen user friendly de supprimer le certificat via le GUI, c'est pour ça que j'ai tenté une réinstallation de l'application. Je vais quand même faire une petite recherche EDIT: pas de certificats utilisateurs installés, pas de CA concernant Let's Encrypt ou R3.
  14. Bonjour, Est-ce que je suis le seul a avoir mon application Android qui me met une erreur de certificat alors que tout est configuré correctement? Pour info j'utilise le reverse proxy du Syno pour rediriger photos.mondomaine.tld vers l'url interne. Le certificat est valide, j'ai installé l'appli sur un nouveau smartphone pour ma compagne hier sans avoir le soucis et l'accès fonctionne via le web browser. De toute façon c'est simple, si le certificat avait un problème je n'aurais rien qui fonctionnerais et je m'en serais aperçu directement. Je soupçonne l'application sur mon téléphone d'avoir garder en cache certaines informations, peut-être la certification authority de Let's Encrypt (qui a été renouvelée par ces derniers récemment). A un moment j'avais également enregistrer l'ancien certificat comme "connexion fiable", lorsque je faisais des tests. Vu que c'était l'ancienne certification authority, je suppose que c'est en faisant ça qu'il aurait enregistré des informations sans les supprimer. J'ai évidemment tester de déconnecter/reconnecter l'application, de la réinstaller etc. Un ticket chez Syno a déjà été ouvert parce-que je pense clairement à un bug applicatif mais sait-on jamais, peut-être que quelqu'un ici a une idée?
  15. Spi

    [Tuto] Calibre-web via Docker

    Merci @quart-temps pour ton tuto et @oracle7 pour la partie docker-compose. Effectivement sans le docker-compose cela n'est pas fonctionnel, message d'erreur avec "L'emplacement db incorrect, veuillez saisir un chemin valide" comme les autres l'ont mentionné avant. Avec le fichier docker-compose c'est passé sans aucun soucis!
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.