Spi

Merci pour les précisions! C'est pas une question de confiance, plus une envie de comprendre en détail et de sécuriser au maximum ce qui peut l'être. Je ne peux pas relier les deux NAS ensemble, ça me forcerait à casser le LACP que j'ai créé et le second nas doit rester accessible en SMB pour mon LAN parce-que les différents PC de la maison balancent leur backups Veeam dessus. C'est vrai que je pourrais faire un import/export du certificat Let's Encrypt, je n'ai jamais regardé si c'était facile avec un Syno mais c'est l'occasion. Après, soyons honnête... je pousse un peu le truc "trop loin". Pour que quelqu'un puisse accéder aux NAS il faudrait effectivement qu'il soit physiquement chez moi et dans le bon vlan car les interfaces de management ne sont pas accessible de n'importe où. Il y a plus de chances qu'on me vole mon Syno que de quelqu'un qui tenterait une attaque de l'intérieur de réseau. Néanmoins, sécuriser son réseau et comprendre ce qu'on fait n'est jamais une mauvaise chose. Encore merci pour les infos.

Ok, donc en théorie il est tout de même possible d'intercepter le trafic entre nas1 et nas2? Qu'est-ce qui est le plus sécurisé dans mon cas: l'utilisation du reverse proxy comme expliqué, où se connecter au nas2 en HTTPS et certificat autosigné? Même si j'imagine que ni l'un ni l'autre n'est une situation idéale. 🙂

Bonsoir, Je me rend compte que je me suis mal expliqué. Donc je la refais avec un peu plus de détails: nas1: C'est le nas principal, les applications que j'utilise (principalement via Docker) sont installées sur celui là sauf exception. Certains services sont accessibles depuis l'extérieur mais uniquement en HTTPS, c'est pour ça que j'utilise un reverse proxy et un certificat SSL dessus. Il est aussi DNS pour mon LAN. nas2: Il sert de cible pour les backup du 1, il n'est pas accessible depuis l'extérieur. Récemment j'ai installé Docker dessus pour y mettre un conteneur que je ne peux pas laisser sur le nas1. Le fait d'avoir une alerte de sécurité quand j'accède à son DSM ou l'interface du Docker me tapait un peu sur le système, donc j'ai créé une entrée dans le reverse proxy. Au niveau flux réseau, je vois ça comme ceci: 1) Requête DNS pour accéder à l'interface dsm.domain.tld (qui est sur le nas2) -> le nas1 répond en donnant son IP 2) La requête arrive dans le reverse proxy qui transforme dsm.domain.tld en nas2.domain.tld:5001 3) A ce moment le flux quitte le nas1 pour aller vers le nas2 C'est l'étape 3 qui fait que je me pose des questions. Le nas2 n'est absolument pas au courant qu'il y a un reverse proxy avant lui et accepte une connexion http ou https au choix mais il ne possède pas le certificat SSL. Donc pour moi c'est équivalent à un petit bricolage pour éviter d'avoir un message de sécurité mais ça où accéder en direct à une connexions sur la cible, avec un certificat autosigné, c'est pareil. Donc pas super sécurisé. Est-ce que je suis dans le bon? Ce qui veut dire que la réponse doit tenir compte du fait qu'on est en LAN et que c'est la partie communication entre deux machines distinctes dont je ne suis pas certain. Si je reprends ce passage: Mais si je mets en destination le trafic sur le http 5000 alors tout passe en clair non? Ou le reverse du nas1 chiffre le trafic avec le nas2 même sur de l'HTTP? Même si on est dans mon LAN où à priori il n'y a personne pour venir sniffer à coup de Wireshark mon réseau, je préfère ne rien laisser en clair. On est d'accord. 🙂 C'est ce que je fais aussi, 443 only et geo filtering avec. Le VPN c'est seulement si je dois me connecter sur le DSM en cas d'urgence.

Bonjour, J'utilise le reverse proxy de mon nas pour atteindre un second nas dans le même réseau. Je ne connais pas très bien les reverse proxy et j'aurais voulu savoir si c'était sécurisé? Je l'utilise pour rediriger la page d'administration du second nas, source 443 HTTPS destination 5001 HTTPS. Ce qui me laisse supposé que le trafic reste chiffré de bout en bout? Par contre si j'ai une source en HTTPS et en destination de l'HTTP, étant donné que le reverse proxy et sa destination n'est pas sur le nas initial, il doit y avoir du trafic qui sort en clair du premier vers le deuxième. J'ai bon? PS: Quand je demande si c'est sécurisé, le second nas n'est évidemment accessible que depuis mon réseau local. Je me doute que c'est une solution "bricolage" et pas faite pour être exposée au WAN. Merci !

Merci pour ces précisions @PiwiLAbruti . Si j'ai un soucis suite à la désinstallation des packages précédent PHP 7.4 je viendrai le signaler ici. Quand j'aurais désinstallé le paquet Calendar je ne garderais que la 8, si j'y pense je viendrais mettre mon retour ici également.

Hello, Vu que la publication initiale de ce tuto date un petit peu je me pose la question des versions PHP à utiliser pour la redirection http->https configurée via webstation. Aujourd'hui il y a la 8 qui est sortie et j'ai pas mal de version installées: Pour éviter de faire tourner des packages inutiles et d'un point de vue sécurité, est-ce qu'il n'est pas mieux de désinstaller toutes les versions précédentes à PHP 8.0 et configurer le script language setting pour utiliser cette dernière? EDIT: J'ai reconfiguré un profil par défaut en 7.4 et un autre en 8.0, j'ai supprimé toutes les versions précédentes exceptés la 7.3 qui est apparemment nécessaire pour le paquet Calendar et apparemment tout fonctionne. Si quelqu'un en sait plus?

Super, j'attends ton retour alors, merci. 🙂

Salut @Einsteinium, auriez-vous encore ces deux alimentations stp? J'ai celle de mon second DS415+ qui vient de rentre l'âme. PS: J'ai tenté d'envoyer un MP, mais le site ne l'autorise pas. Merci !

Bonjour, Je recherche une alimentation pour un des modèles suivants: DS920+, DS918+, DS916+, DS418, DS418play, DS418j, DS416, DS416play, DS416j, DS415+, DS415play, DS414, DS414j, DS413, DS413j, DS412+, DS411+II, DS411+, DS411, DS411j, DS410, DS410j, DS409+, DS409 Merci !

Hello, Désolé pour le déterrage, j'étais en vacance mais j'ai trouvé la solution et cela peut aider d'autres personnes. Le support Syno m'a expliqué qu'il y avait un bug avec Android 9, pour peu que vous aillez configuré le niveau de sécurité pour les protocoles TLS / SSL en "moderne" cela ne fonctionne plus. Il faut donc soit le passer en intermédiaire (ce qui est l'option par défaut), soit configurer les paramètres (custom settings) pour sélectionner l'url/app qui pose soucis en intermédiaire. Dans mon cas, j'ai upgradé en Android 10 et laissé le niveau au max. Néanmoins j'ai certains conteneurs Docker pour lequel j'ai du remettre en intermédiaire également. Merci pour vos réponses à tous!

@.Shad. Hello et merci pour ton message également. Non j'ai écris photos.mondomaine.tld , je ne pense pas qu'il est utile de spécifier le port HTTPS puisqu'il y a une case à cocher en dessous pour utiliser le protocole. Cela fonctionnait comme ça avant et j'ai encodé de cette façon également sur le téléphone qui n'a pas de soucis. Je viens d'essayer avec photos.mondomaine.tld:443 -> Même résultat, il accepte, me laisse me connecter et puis marque certificat invalide. Même soucis avec https://photos.mondomaine.tld cela dit. Cela dit en mettant :443 à la fin j'ai un message d'erreur qui pour n'est on ne peut plus explicite:

Merci pour la méthode, je vais essayer "pour le sport" Synology doit apporter une solution définitive, parce-que je ne vais pas m'amuser à exporter le Let's Encrypt tous les 3 mois 😄

Hello Oracle et merci pour ta réponse. J'aimerais bien, mais le certificat s'importe tout seul lors de la connexion. Je ne pense pas qu'il y a un moyen user friendly de supprimer le certificat via le GUI, c'est pour ça que j'ai tenté une réinstallation de l'application. Je vais quand même faire une petite recherche EDIT: pas de certificats utilisateurs installés, pas de CA concernant Let's Encrypt ou R3.

Bonjour, Est-ce que je suis le seul a avoir mon application Android qui me met une erreur de certificat alors que tout est configuré correctement? Pour info j'utilise le reverse proxy du Syno pour rediriger photos.mondomaine.tld vers l'url interne. Le certificat est valide, j'ai installé l'appli sur un nouveau smartphone pour ma compagne hier sans avoir le soucis et l'accès fonctionne via le web browser. De toute façon c'est simple, si le certificat avait un problème je n'aurais rien qui fonctionnerais et je m'en serais aperçu directement. Je soupçonne l'application sur mon téléphone d'avoir garder en cache certaines informations, peut-être la certification authority de Let's Encrypt (qui a été renouvelée par ces derniers récemment). A un moment j'avais également enregistrer l'ancien certificat comme "connexion fiable", lorsque je faisais des tests. Vu que c'était l'ancienne certification authority, je suppose que c'est en faisant ça qu'il aurait enregistré des informations sans les supprimer. J'ai évidemment tester de déconnecter/reconnecter l'application, de la réinstaller etc. Un ticket chez Syno a déjà été ouvert parce-que je pense clairement à un bug applicatif mais sait-on jamais, peut-être que quelqu'un ici a une idée?

Merci @quart-temps pour ton tuto et @oracle7 pour la partie docker-compose. Effectivement sans le docker-compose cela n'est pas fonctionnel, message d'erreur avec "L'emplacement db incorrect, veuillez saisir un chemin valide" comme les autres l'ont mentionné avant. Avec le fichier docker-compose c'est passé sans aucun soucis!

Pas besoin de passer par Docker Compose, si tu veux je peux te donner les infos. En gros commence par installer le conteneur et créer un utilisateur spécifique pour lui. Sinon là je suis en DSM7, mon ancien conteneur en root tournait encore. 🙂

Salut @.Shad., Je viens de faire le test aujourd'hui et ça fonctionne sans soucis. Merci pour ton aide!

Bonjour à tous, J'ai réinstallé mon conteneur pour migrer de la version 5 à la 6, je me suis rendu compte que ce dernier était exécuté en tant que root. Dans l'ancienne version il suffisait de passer les variables “RUNAS_UID0” à false, le tuto que j'avais suivi conseillait aussi de le faire avec “BIND_PRIV” (qui permet d'utiliser des ports sous inférieur à 1024). Malheureusement la manip ne fonctionne plus et je n'ai pas envie de laisser un conteneur tourner en root. Est-ce que quelqu'un aurait une solution svp? Merci.

@Impact tu peux formater toi même le nommage des fichiers, par défaut il te propose un truc adapté pour Plex et Kodi. Je ne connais pas la nomenclature attendue par video station, mais le programme te permettra de le faire oui. 🙂

Le message dit ceci: "La page n’est pas redirigée correctement Une erreur est survenue pendant une connexion à vault.spiroux.be. La cause de ce problème peut être la désactivation ou le refus des cookies." Après j'ai essayé avec d'autres navigateurs et c'était la même erreur. Y compris avec l'ip du NAS. 🙂

Hello @.Shad., J'ai trouvé le problème! Qui était bien réseau. Le script s'exécute dans le contexte du conteneur, qui par défaut se trouve dans le réseau auto-défini par Docker (127.17.0.0/16 pour rappel). Sauf que l'interface réseau du NAS a sa propre IP renseignée comme DNS, puisque j'héberge ce dernier avec le paquet DNS Server. Mais le paquet DNS Server, au niveau des vues, n'accepte de répondre qu'à mes LANs (que j'ai défini spécifiquement). Donc une requête venant de 172.16.x.x/16 était d'office drop... Comme quoi, c'est souvent les problèmes les plus bêtes qu'on ne voit pas. 🙂 Il me reste juste encore un problème. Je n'arrive pas à faire la redirection du reverse proxy httpS -> http. Si je la configure en https -> https par contre cela fonctionne. Une idée du soucis?

Hello @.Shad. et merci pour ta réponse. Je vais créer une machine virtuelle en Debian pour tester l'installation et si ça coince encore, je les contacterais directement. Ca n'a peut-être rien à voir, mais quand je fais mon request ID, je lui indique une adresse qui correspond à moi@mondomaine.com (OVH). Peut-être qu'essayer avec la postmaster ou une Gmail fonctionnerais? Cette même adresse mail est d'ailleurs utilisée pour mon compte Bitwarden hébergé chez eux, il y aurait peut-être un conflit du coup?

Hello @Dimebag Darrell Je vais supposer que tu as déjà un certificat Let's Encrypt fonctionnel, avec le sous domaine pour ton instance Bitwarden. A partir de ça tu peux aller dans Control Panel -> Security -> Certificate -> Add -> Export Certificate. Tu vas récupérer l'archive avec les trois fichiers dont ils parlent dans le tuto. PS: Tu as suivi le tuto comme moi et tout s'est bien passé? Tu peux me préciser ta version de Docker et me copier les commandes que tu as utilisés stp?

@.Shad. @Balooforever Bonsoir, Est-ce que vous auriez des pistes pour moi? Parce-que là je sèche. 🙂 Voici un screenshot des différentes commandes, je ne vois pas d'erreur dans la marche à suivre. - Testé depuis le début -> Fail - Testé avec les commandes renseignées sur le site de Bitwarden - Testé avec un nouvel id -> Fail - Testé avec un nouvel id + firewall du Syno off -> fail - Testé avec le reverse proxy comme le tuto xpenology propose (j'aurais fait pareil aussi): Source: Protocol: "HTTPS", Hostname: "bitwarden.mydomain.com", Port: "443", HSTS and HTTP/2 "Unchecked" Destination: Protocol: "HTTP", Hostname: "localhost", Port: "8123" Associate Reverse Proxy with Certificate Go to "Control Panel" -> "Security" -> "Certificate" -> "Configure" Services: "bitwarden.domain.com" Certificate: "bitwarden.mydomain.com" -> "OK" -> Il utilise le certificat du Syno dans lequel le SAN est bien renseigné. Certains parlent d'un problème dans la version Docker 18.09.0-0505 sur Syno, qui ferait que Docker Compose n'interprète pas correctement les arguments du scripts. Pour info, je suis en 18.09.0-0506, d'après le package center c'est résolu: "Fix an issue regarding the environement variable of Docker Compose". J'ai potassé les infos depuis ces liens: https://community.bitwarden.com/t/solved-installation-id-validation-fails-from-behind-proxy/2480/3 https://xpenology.com/forum/topic/12455-bitwarden-self-hosted-password-manager-on-docker/ https://github.com/bitwarden/server/issues/172 https://community.synology.com/enu/forum/1/post/12814

Hello Balooforever, Le Syno accepte pas mal de chose depuis 172.16.1.0/24 mais je ne sais pas de quel protocole on parle? 🙂 Il faudrait savoir ce que le script essaie de contacter, j'imagine une ressource sur le 80 ou 443 chez eux?