Fenrir
-
Compteur de contenus
6610 -
Inscription
-
Dernière visite
-
Jours gagnés
163
Messages posté(e)s par Fenrir
-
-
Il y a 5 heures, Mams a dit :
garder le certificat "synology.com" en complément du certificat Let's Encrypt n’accroît-il pas la sécurité de mon NAS ?
non, un service n'utilise qu'un seul certificat à un moment donné (mais tous les services ne sont pas obligés d'utiliser le même, c'est pour ça que tu peux en avoir plusieurs).
Il y a 5 heures, Mams a dit :au passage est-ce vraiment utile de modifier le numéro de ces ports ?
cf tuto sécurité
Et pour la notification, cf tuto dns
0 -
@knightchanse on se rapproche d'un besoin d'entreprise, je te recommande d’investir dans une paire d'appliance VPN (ça peut être 2 rapsberry, 2 erx ou des trucs bien plus gros/cher).
Un VPN ça marche toujours dans les 2 sens, donc le reste n'est qu'une histoire de routes.
La première chose à faire est de s'assurer de ne pas utiliser 2 fois le même réseau =>
- tu as 3 équipements (nasA, nasB, ton pc)
- chacun doit pouvoir parler autres 2 autres
-
il faut donc 6 réseaux différents :
- lan nasA
- lan nasB
- lan pc
- vpn entre les 2 nas
- vpn pc vers nasA
- vpn pc vers nasB
- si nas A et B n'ont pas à parler à des équipements situés derrière le voisin, les lan A et B peuvent être les mêmes (pas bien mais pas grave)
- si le pc n'a pas à parler à des équipements situés derrière le voisin, les lan A ou B et celui du PC peuvent être les mêmes (pas bien mais pas grave)
- =>tu peux avoir les même LAN partout
- PAR CONTRE, les réseaux VPN entre les pairs doivent tous être différents
Enfin, pour le nas A vers nas B (ou l'inverse), tu choisis le sens que tu veux
0 -
PPTP => pas de support ici (en tout cas de ma part)
0 -
Tu accèdes bien à ton nas avec l'adresse monnas.synology.me ?
Tu as bien supprimé l'ancien certificat autosigné ?
0 -
Je n'avais pas regardé (my bad), je pensais que c'était un paquet générique, mais ça ne change rien au fait que sans pouvoir tester, je ne peux pas faire de tuto
0 -
@Einsteinium VPN plus n'est pas disponible sur tous les modèles, les miens n'y ont pas accès par exemple.
0 -
10€ c'est peut être pas cher, ou très (je n'ai pas testé), mais il faut aussi un nas compatible => je ne peux pas tester => je ne fais pas de doc/tuto sur un truc que je n'ai pas testé moi même en détails, surtout si c'est lié à de la sécurité.
0 -
@Einsteinium si tu m'offres la licence et le routeur, pas de problèmes
0 -
Non, ce n'est pas obligatoire, mais ça peut aider dans certains cas (avec certaines appli).
0 -
Il y a 13 heures, Nathost a dit :
Dernière petite question: si je ferme tous les ports http au niveau du pare-feu, ai-je toujours besoin de mettre en place le code PHP pour la redirection HTTP>HTTPS?
Ce n'est pas une obligation, même si le nas est accessible depuis Internet, c'est à voir selon les besoins.
0 -
Il y a 1 heure, Nolin a dit :
Donc question sécurité, je prends pas plus de risque?
non
Il y a 1 heure, Nolin a dit :Et dans les paramètre DSM, tout en bas il y a "domaine"
une capture d'écran ? (il y a plein d'endroits avec domaine)
0 -
Il y a 18 heures, Nolin a dit :
Pourquoi est-ce déconseillé de mettre un nom de domaine?
ça implique que le client est en mesure de faire une résolution DNS, que ce nom de domaine est bien résolu, sans usurpation et qu'il est bien uptodate.
ça laisse aussi moins de traces
ps :
- nom d'hôte, c'est le nom local de la machine, seule la machine et ses proche le connaissent (son prénom si tu veux), il n'est pas nécessairement lié au nom de domaine (une machine peut se nommer toto et être accessible via www.machin.com)
- nom de domaine, c'est un nom lié aux DNS, on passe par un serveur DNS pour le résoudre, c'est le nom "public" que tout le monde peut identifier sans ambiguïté (nom complet avec adresse postale si tu veux)
0 -
Le 2/10/2018 à 23:53, magic.phip a dit :
Je pense qu'en installant la même version de busybox que celle de la 5.2 ça devrait marcher. La question est: comment récupérer cette version ?
0 -
- C'est Apple qui nomme les choses bizarrement, ikev2 c'est aussi de l'ipsec, quand ils disent ipsec c'est celui de cisco et ipsec/l2tp c'est noté l2tp seul => L2TP avec un syno comme serveur
- à toi de voir, si ta connexion est bonne (up+down de la box), tu peux laisser connecté h24, mais ça consomme un peu de batterie
- pour que ça fonctionne en local, il faut une conf réseau adaptée
- selon que tu coches ou non la case, tout le trafic passe ou non par ton nas, ce n'est pas recommandé au travail
Qui a le problème, la box du client ou du serveur ? Dans un cas comme dans l'autre c'est curieux
0 -
Il y a 4 heures, Sadness a dit :
Lors de la configuration du fichier OpenVPN, l’adresse IP a indiquer est-elle celle du routeur B (possédant une adresse IP fixe fournit par le fournisseur Internet) ou bien celle du Synology ?
routeur B si tu te connectes depuis Internet (ou depuis routeur A)
Le fichier de configuration est généré par l'application VPN Server du syno juste après avoir enregistré, il faut l'exporter (c'est un zip).
Dans ta capture : équipement / adresse IP => indique l'ip privée du nas (probablement un truc du genre 192.168.....)
0 -
Ces 2 ports ne servent pas à la même chose.
- Le port 25 est un port de communication entre serveurs, pour recevoir des mails depuis d'autres serveurs (par exemple gmail), le port 25 doit être ouvert entrée
- Le port 587 (ou 465 en version obsolète) sert pour la communication client vers serveur
=>pour héberger un serveur mail (un MX), le port 25 doit être ouvert dans les 2 sens (entrée et sortie)
Toute autre manière de faire n'est pas propre et risque de faire réagir les antispam.
0 -
Vérifie l'adresse publique de ton nas
0 -
Celui qui convient à la situation, j'en parle au début du tuto.
0 -
Pour l'ipsec, il y a sûrement un mauvais réglage qui traîne ou qui est absent, mais un bug n'est pas à exclure, il faudrait regarder en détails l'ensemble des éléments.
IPSec/L2TP est souvent plus performant car il utilise des fonctions matérielles (y compris coté client), contrairement à openvpn qui est 100% logiciel sauf rares exceptions.
OpenVPN reste néanmoins largement suffisant pour la plupart des besoins.
0 -
Essaye de lui donner les droits complets sur le dossier.
0 -
Il y a 1 heure, Apolinaire a dit :
- depuis un PC distant (ça serait déjà plus utile !), la connexion est immédiate mais quand je demande 10.2.0.0 au navigateur, ça mouline, ça mouline, ça mouline... Et ça n'aboutit jamais. Sans aucun message de la part du navigateur même après 10 mn.
Le firewall du nas doit bloquer une partie du trafic, il faut autoriser :
- depuis tout ou partie d'Internet vers le nas pour les 3 ports
- depuis 10.0.0.0/8 vers le nas pour les ports que tu souhaites utiliser
0 -
@ers31 : dhcp car :
-
si tu changes de routeur
- ton nas restera accessible (si le firewall est bien configuré)
- tu pourras réattribuer des ip fixes (via dhcp) de manière centralisée à tous tes équipements depuis un point unique, ton routeur
- même si tu ne changes pas, ça limite les risques de conflit d'ip puisque le dhcp n’attribue pas une ip qu'il voit affectée (en dhcp ou en statique) à un autre équipement
@Apolinaire : pb de conf coté client très probablement, revérifie le secret (pour tester, mets un truc simple genre secret20180124) et le type de tunnel (ça dépend du client, par défaut c'est souvent ikev2 => qui n'est pas géré par les syno)
tu peux aussi tester avec un autre périphérique (smartphone par exemple)
0 -
si tu changes de routeur
-
99% des réglages du soft de gestion ne concernent pas les bornes, ce soft permet de gérer tous les périphériques unifi (bornes, switch, firewall et routeur).
Tu as juste à configurer ceci :
-
Settings (la roue dentées)
-
Controller :
- smtp si tu veux les notifications (il faudra les configurer, ça spam pas mal) => seulement utile si ton contrôleur (le soft) tourne H24
-
Maintenance :
- pour la rétention des données (stats) => seulement utile si ton contrôleur (le soft) tourne H24
-
Wireless Networks :
- ici tu créés ton ou tes SSID avec les bonnes options
-
Controller :
Ensuite tu peux faire des réglages spécifiques sur la borne dans Device => clique sur la borne => Config :
-
General :
- Alias : pour lui mettre un petit nom
- LED : si besoin
-
Radios :
-
RADIO 2G
- Channel Witdh : HT20
- Channel : auto
- Transmit Power : auto
-
RADIO 5G
- Channel Witdh : VHT80 sauf si tu as des interférences (voisins ...)
- Channel : auto
- Transmit Power : auto
-
RADIO 2G
-
Network :
- DHCP c'est mieux, avec assignation statique depuis le serveur dhcp
il y a 2 minutes, Dex a dit :Peut-on utiliser les bornes Ubiquiti en mode bridge/Access point ?.
non seulement on peut, mais tu n'as pas le choix, il s'agit de BORNES WIFI, pas de routeurs qui font machines à café
0 -
Settings (la roue dentées)
-
Le 1/19/2018 à 10:28, scofield31 a dit :
la fonction dns anycast sert elle
pas pour un particulier
0
[TUTO] VPN Server
dans Tutoriels
Posté(e)
Pour faire passerelle VPN un raspberry est aussi rapide qu'un syno et un ERX c'est un modèle de routeur pas cher d'Ubiquiti.
Dans mon poste précédent j'ai fait une coquille, le VPN entre les 2 nas peut être le même que l'un ou l'autre des VPN client->nas à la condition que le sens de connexion (nasA vers nasB ou nasB vers nasA) soit toujours le même.