PiwiLAbruti

Quelque soit le pare-feu choisi, la compréhension de son fonctionnement et de sa configuration nécessitent des connaissances solides en réseau. Sinon c'est clairement de l'argent jeté par les fenêtres. La vraie question est de connaître ton besoin. Par exemple : Que veux-tu que le pare-feu fasse avec tes TV et autres objets connectées ? Qu'entends-tu par "j'aimerai bien avoir un gardien à l'entrée de la maison" ? Pour un particulier, un pare-feu cher ou dit "professionnel/d'entreprise" n'apporte pas plus de sécurité qu'un routeur à moins de 50€, c'est même le contraire s'il n'est pas configuré correctement.

Sachant que nmap n’est pas fourni de base avec DSM (j’ai utilisé spksrc pour le compiler), ça va être compliqué. Tu vas devoir te contenter d’un ping comme tu l’avais prévu initialement.

Un ping prouve seulement que la machine est allumée et capable de répondre à un ping (ça a l’air bête dit comme ça, mais ça ne prouve rien de plus). On peut gagner en précision en utilisant nmap pour vérifier qu’un service fonctionnant sur un port tcp/udp spécifique est bien actif. Il est possible d’aller encore plus loin, mais il faut s’en tenir au besoin initial. Si un ping est suffisant, pas la peine d’aller chercher de complications.

En quoi consiste le test exactement ?

Techniquement, il n'y a aucune raison de le déconseiller. Question "éthique", chacun voit midi à sa porte. 😅

Je ne serais pas aussi catégorique. Je considère qu'un échec d'authentification venant d'une machine appartenant au réseau interne est anormal. Le blocage automatique permet de s'en rendre compte et de vérifier ce qu'il se passe sur l'équipement concerné.

Ah oui effectivement, une requête http sur le port 80 pointe sur Web Station. La reirection est donc effective même si elle pointe sur un service/serveur tiers.

Si tu n'as pas d'équipements en IP fixe, tu peux restreindre cette plage à celle distribuée par DHCP. Ou mieux, attribuer un bail statique à une machine de confiance en dehors de la plage DHCP et mettre l'adresse attribuée en liste blanche.

Si c'est pour rediriger l'accès à DSM ou à d'autres applications intégrées à DSM (File Station, Audio Station, ...), ça ne fonctionnera pas pour la simple raison que le point d'entrée n'est le dossier /web de Web Station. Dans ce cas précis, ça ne peut fonctionner qu'en activant la redirection http > https dans DSM.

As-tu demandé au constructeur des caméras concernées ? (service@etiger.com)

Comment fais-tu les sauvegardes de ton NAS ?

C'est le champ Routeur.

Le fait que les clients locaux passent par le VPN n’a rien à voir avec DHCP. Donc il n’y a rien à changer de ce côté là, laisse le rôle de serveur DHCP à la box. La seule chose qui va différencier un client qui accède directement à internet d’un autre qui va passer par le client VPN du NAS est la passerelle. Le serveur DHCP de la box distribue l’adresse IP de cette dernière comme passerelle. Comme seule l’Apple TV doit passer par le VPN, configure-la avec un adressage IP manuel (en dehors de la plage DHCP) et renseigne l’adresse IP du NAS comme passerelle.

J’ai plutôt compris qu’il voulait que son Apple TV soit vu depuis une adresse IP Canadienne (d’où le client VPN) probablement pour accéder à du contenu non-disponible en France.

Hormis le fait que les LEDs ne s’allument pas, est-ce que le NAS est visible depuis Synology Assistant ? Si oui, quel est son statut ? Sinon https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General_Setup/Why_am_I_unable_to_install_my_Synology_NAS_and_why_is_my_power_LED_is_flashing_constantly

Je ne vois pas le rapport entre le Serveur DHCP du NAS et le client VPN. De plus, VPN Server n’est d’aucune utilité pour ton Apple TV. Pourquoi ne pas conserver le serveur DHCP de la box ?

Pourtant, cette variable ne fait qu’augmenter le nombre de blocs testés à chaque passe, ce qui a pour seul effet négatif d’augmenter la quantité de RAM consommée par le programme (ou le refus de se lancer si la valeur est trop grande). En tout cas, ça n’en change pas la nature du test et en améliore grandement la rapidité.

Dans le message ci-dessus, je ne comprends pas où se situe le problème. Il est normal qu’en ajoutant les USA à la règle de pare-feu le port soit vu comme accessible car canyouseeme.org se situe derrière une adresse IP située aux USA (chez Amazon US). https://whois.domaintools.com/canyouseeme.org

Le NAS te donne un message explicite lors de l’installation du paquet ? Le DS718+ (2Go) n’indique rien de particulier à l’installation de VMM.

VMM est compatible avec un DS216+II ? https://www.synology.com/fr-fr/dsm/packages/Virtualization

C’est comme connecter deux Cubox en eSATA, ça ne donnera rien. Le port eSATA des NAS Synology sert à ajouter des extensions de stockage (comme le DX517).

Les réseaux Wi-Fi publiques ne laissent souvent passer que les protocoles permettant d'accéder à des sites internet (TCP, proxies HTTP transparents, ...). Certains VPN se retrouvent donc bloqués à cause des protocoles utilisés (ISAKMP, ESP, GRE, ...) comme L2TP/IPsec. À voir comment se comporte OpenVPN en TCP.

Le seul moyen que je vois est de créer manuellement les règles directement avec iptables.

Maintenant, on peut aussi vérifier ce qui prend de la place sur la partition système (comme les logs). Peut-être qu’en faisant un peu de place la mise à jour passerait. Par contre il faut impérativement passer par des commandes exécutées via SSH.

Le DS210j est "limité" à DSM 5.2, mais Cloud Sync est bien disponible sur cette version de DSM. Par contre, il faudrait idéalement réinitialiser le NAS (donc sauvegarder ses données au préalable), et réinstaller DSM car la taille des partition système a évolué depuis DSM 3.2.