PiwiLAbruti

As-tu modifié ou ajouté une/des règle(s) de ce tutoriel pour autoriser l'accès SSH distant ? Au passage, tu devrais modifier le port externe SSH pour une valeur autre que celle par défaut (22), de préférence supérieure à 1024.

Pour partir sur de bonnes bases, as-tu appliqué la totalité du tutoriel sur la sécurité donné précédemment ?

C'est étrange que l'adresse IP ne soit pas affichée. Dans tous les cas, si l'adresse du NAS change, les redirections ne fonctionneront plus. Pour résoudre ce souci, suis ce qui est indiqué dans la section Réseau de ce tutoriel : https://www.nas-forum.com/forum/topic/77493-tuto-pas-à-pas-sécurisation-du-nas-pour-dsm-7 Tu as le choix en ajouter une réservation DHCP sur le routeur (recommandé), ou fixer l'adresse IP du NAS.

Les redirections sont Ok, à condition que 192.168.1.172 est bien l'adresse IP du NAS.

Si tu ne veux plus cette notification, il faut désactiver le compte admin. C'est une mauvaise habitude d'utiliser un compte par défaut (quelque soit son nom) car c'est toujours celui qui apparaît dans la documentation des constructeurs, et nécessairement celui qui sera testé en premier.

Effectivement, c'est de la belle chinoiserie 😅 La marque est Wonsdar, ils n'ont pas de site dédié et utilisent Amazon et AliExpress pour refourguer leurs déchets électroniques. Le site officiel a une section support peu explicite : http://www.wonsdar.com/81379-81379.html Je n'ai pas trouvé l'info pour le modèle exact. Mais dans des documentations PDF d'autres modèles de la marque, on trouve les informations suivantes : En bas de la page 13, numérotée 11 dans le document : https://wds-service-1258344699.file.myqcloud.com/20/9899/pdf/16456931384418ddc899c6fb479bf.pdf#page=13

Il est urgent que tu ré-active le pare-feu du NAS.

À quoi "on" veut-il accéder ? Le ping du NAS n'a aucune importance et n'est pas révélateur de son accessibilité. Question sécurité, il vaut mieux que le ping ne fonctionne pas, ça évite les détections basiques. Très mauvaise décision, ton NAS est vulnérable. Voir ce tutoriel : https://www.nas-forum.com/forum/topic/77493-tuto-pas-à-pas-sécurisation-du-nas-pour-dsm-7/ Quels sont les ports ouverts sur le routeur/box pour le NAS ?

@RIKITO Quelle est la marque et le modèle de ta chinoiserie ?

Synology a bien une page d'aide à ce sujet, mais ça me semble un peu léger : https://kb.synology.com/fr-fr/DSM/tutorial/DSM_update_insufficient_system_capacity_for_update

Rien, mais ça se cassera un jour. Maintenant je préfère prendre le problème en amont afin que les comptes ne puissent même pas être testés, ou alors avec de fortes limitations rendant inexploitable une attaque par Brute Force. Moi (même pas peur 😄), pour la simple raison qu'il n'y a pas que la force du mot de passe à prendre en compte (ce serait d'ailleurs bien trop réducteur). Sur un NAS Synology, avec le blocage automatique activé et bien paramétré, un périmètre d'exposition limité au strict nécessaire par des règles de pare-feu (peut être complexe à mettre en place mais extrêmement efficace), du verrouillage automatique de compte en cas de plusieurs échecs, des profils de contrôle d'accès sur les services web, … il n'y a plus grand chose à craindre. J'ai bien conscience que j'ai certainement une configuration peu courante, mais je ne me prends pas la tête avec des mots de passe à rallonge qui n'ont plus vraiment d'utilité vu les mécanismes de sécurité mis en place. Je précise au passage que ce qui est écrit ci-dessus ne s'applique qu'à un cas particulier (NAS Synology) et n'est pas une vérité générale.

Ça commence à devenir plus précis à partir de la page 2 : https://www.nas-forum.com/forum/topic/77086-version-72-64570-disponible/page/2/#comment-1319491043

Est-ce que les Autorisations de partage avancées sont activées sur le dossier partagé ?

Par exemple, j'utilise des caméras Annke, j'ai donc trouvé les adresses RTSP sur le site du constructeur : https://help.annke.com/hc/en-us/articles/4406871916825-ANNKE-VISION-How-to-Set-Up-RTSP-for-Your-Device-on-VLC-Player- rtsp://<username>:<password>@<address>:<port>/Streaming/Channels/<id>/

Il faut ajouter une caméra manuellement et renseigner l'adresse RTSP :

Pour l'instant je n'ai pas trouvé mieux que de récupérer le flux RTSP de la caméra pour l'intégrer à un Surveillance Station distant. L'inconvénient est qu'on perd toutes les fonctionnalités de la caméra dans Surveillance Station (détection, alertes, …). Cependant, ça n'empêche pas Surveillance Station de reprendre ce rôle, mais ça implique de la consommation de ressources supplémentaires sur le NAS. L'adresse RTSP (rtsp://...) est propre à chaque constructeur, il faut donc fouiller dans la documentation ou sur les forums relatifs pour la trouver.

As-tu demandé au support Dahua ? Téléphone : 01 76 27 84 51 Mail : support.france@dahuatech.com Ils sauront bien mieux te répondre qu'un forum communautaire sur des produits qui n'ont rien à voir (NAS Synology).

🙂 🤔 Tu as renoncé à tes principes ? 😅 Blague à part, le modèle 1 baie le plus récent chez Synology est le DS124 (~189€ actuellement) dont voici un comparatif avec le DS120j : https://www.synology.com/fr-fr/products/compare/DS120j/DS124 Les + du DS124 face au DS120j : Modèle de 4 ans plus récent que le DS120j (très bénéfique pour le support à long terme), Processeur bien plus véloce (et architecture qui sera supportée encore un bon moment chez Synology), 1Go de RAM (512Mo pour le DS120j), Ports USB 3 (USB 2 pour le DS120j, gain en débit en cas de branchement d'un stockage externe en USB), Support du système de fichier btrfs, Et diverses améliorations sur certains paquets que tu n'utilises pas pour l'instant (Synology Office supporté, reconnaissance des visages dans Synology Photos, ...). L'intérêt est surtout la pérennité du modèle, avec un support qui durera plus longtemps que celui de DS120j (~4 ans supplémentaires). Et si jamais il te prend la folie de vouloir faire plus que de la sauvegarde avec un NAS, tu seras beaucoup moins limité avec le DS124. Pour répondre à la question qui te vient tout de suite à l'esprit : Oui, je suis un bourreau 😈

Deux autres méthodes supplémentaires : Utiliser le proxy inversé du NAS pour rediriger mondomaine.freeboxos.fr vers mafreebox.freebox.fr (de mon point de vue la méthode la plus efficace). Si le NAS est compatible VMM, installer une machine virtuelle quelconque pour y lancer un navigateur. Sachant que DSM n'est qu'une simple interface web s'exécutant déjà dans un navigateur, vouloir y intégrer un navigateur n'a aucun sens.

C'est combien "pas trop cher" ?

Déjà, la résolution fonctionne pour IPv4 et IPv6 : > Resolve-DnsName -Name bm4.domain.tld Name Type TTL Section IPAddress ---- ---- --- ------- --------- bm4.domain.tld AAAA 3600 Answer 2a02:----:----:----:----:--ff:fe--:---- bm4.domain.tld A 60 Answer 81.---.---.--- Mais aucun port n'est accessible depuis ma connexion en IPv4 uniquement : > nmap -Pn -sS -p 80,443,5000-5001 bm4.domain.tld PORT STATE SERVICE 80/tcp filtered http 443/tcp filtered https 5000/tcp filtered upnp 5001/tcp filtered commplex-link Est-ce que les ports que tu utilises sont bien ouverts sur la box ? Quelle plage de ports est utilisable sur la box ? (si IPv4 partagée)

Forcément, puisque le nom ne se résout qu'en IPv6. Mais rien ne t'empêche d'ajouter un enregistrement de type A pour avoir aussi une résolution du même nom en IPv4.

Il l'est maintenant, mais uniquement en IPv6 : > Resolve-DnsName -Name bm4.domain.tld Name Type TTL Section IPAddress ---- ---- --- ------- --------- bm4.domain.tld AAAA 3600 Answer 2a02:---:----:----:----:--ff:fe--:----

J'ai remplacé ton vrai domaine par domain.tld pour ne pas le divulguer (tu devrais faire de même dans ton premier message). > Resolve-DnsName -Name domain.tld Name Type TTL Section IPAddress ---- ---- --- ------- --------- domain.tld A 55 Answer <IPv4_SFR> > Resolve-DnsName -Name bm4.domain.tld Resolve-DnsName: bm4.domain.tld : Défaillance du serveur DNS. Conclusion : bm4.domain.tld n'est pas résolvable. De plus, aucun port standard ne semble ouvert sur la box SFR.

Relis ma phrase @maxou56 😉 La dernière mise à jour de fonctionnalité (1.2.5-8227) est sortie de 02/05/2023. Le RT1900ac ne reçoit que des mises à jour de sécurité depuis.