Mic13710

Évidemment, avec des règles non validées et probablement une autorisation en bas de page si aucune règle n'est appliquée (on ne la voit pas mais on le devine), tout est ouvert en grand. Le parefeu ne sert à rien ici. Vous trouverez des exemples de réglages du parefeu dans le tutoriel sur la sécurisation de nos nas.

C'est aussi ce que j'ai constaté. Mais comme mon ADSL part un peu en quenouille depuis quelques temps, j'avais mis ça sur le compte de ma ligne (trop de paquets perdus). Un technicien Free doit passer la semaine prochaine. Et pour les notifications, je ne les ai plus depuis quelques jours.

Saturer le LAN peut-être (bien que j'en doute sur un réseau privé en Gb), mais si les backup sont réalisés en dehors des plages horaires d'utilisation du réseau (la nuit par exemple), quelle que soit la connexion (direct ou par le LAN) ça ne changera rien à la vitesse.

Je ne le comprends pas comme ça. On parle ici de protection de compte et non de bannissement d'IP. Pour moi il s'agit de bloquer un compte en cas de tentatives de connexions infructueuses, cad que toute connexion ultérieure à ce compte sera impossible quelle que soit l'IP.

Bon, je viens d'installer FreeOTP pour essai et je l'ai activé sur mon compte OVH. Pour info, on peut avoir les deux actifs en même temps : SMS et Appli.

Les codes changent toutes les 30 sec. Le moindre décalage sur les horloges si les mises à l'heure ne sont pas faites correctement et c'est panique à bord.

@InfoYANN et @StéphanH je ne sais pas si l'appli est en béta. Ce qui est sûr c'est que votre Tapatalk l'est sûrement car vu le nombre de fois ou vos messages sont doublés et que je supprime, il y a encore du boulot avant d'avoir une solution stable

Je suis d'accord globalement. Mais ayant déjà vécu l'enfer de google authenticator qui se désynchronisait sans arrêt, je préfère le SMS sachant que je peux les recevoir partout où je vais y compris à l'étranger, que j'ai aussi 10 codes de secours au cas où, et qu'enfin l'IP de connexion constitue une dernière protection au cas où mon SMS serait intercepté. A moins d'être atteint de paranoïa sévère, à mon humble avis il faudrait un plus qu'improbable concours de circonstance pour que quelqu'un de mal intentionné puisse usurper mon identité et se connecter à mon compte. Il ira plutôt chercher ailleurs.

Au choix sur une app ou sur SMS. J'ai choisi le SMS, plus fiable à mon sens.

J'ai répondu sur l'autre fil. Ca n'apporte rien puisque vous êtes sur votre réseau privé, en principe protégé du net et des hackers. A moins que vous ayez des doutes sur votre entourage et sur ceux qui utilisent votre réseau, faire du double chiffrement ne fait que ralentir les échanges.

Peut-être que je me trompe mais en gros, votre reverse proxy cherche à se connecter en http, mais le NAS au mieux le transfert sur le port https défini dans les paramètres (5001), au pire sur rien du tout puisque aucun port n'est activé pour le https de l'application (votre capture ci-dessus). Donc ça ne peut pas fonctionner. En enlevant la redirection http -> https vous devriez pouvoir utiliser le http dans le reverse proxy.

N'y aurait-il pas une redirection du HTTP vers le HTTPS dans les paramètres du NAS ?

Pour le moment ils ne sont qu'aux US, mais ça peut changer.

outbound1.letsencrypt.org - 66.133.109.36, outbound2.letsencrypt.org - 64.78.149.164 De ce que j'ai plus ou moins compris, ces adresses changent quand l'autorité change. Il y a eu Let's Encrypt Authority X1, puis X2 et maintenant X3. Au pire, si le renouvellement ne se fait pas pour cause de changement d'IP, je peux ouvrir le 80 et lancer le renouvellement manuellement.

Au passage, il est inutile avec une source en https de mettre une destination en https car dans ce cas vous faite un double chiffrage. Par exemple Note Station : Source : https://note.votredomaine.fr, Destination : http://localhost:(le port http de notestation dans le portail des applications) Par contre, il ne faut pas modifier la destination du routeur qui je suppose n'est accessible qu'en https

Inutile de renvoyer le 80 vers le 443, d'autant que ça risque de coincer à plusieurs niveaux (requête en http vers un port en https, renouvellement du certificat let's encrypt, ..) On peut très bien ne pas ouvrir complètement le 80 au niveau du parefeu et ne mettre que les ports Let's Encrypt pour que le renouvellement auto se fasse (c'est ce que j'ai fait), ou bien ne limiter l'accès qu'au US (ce qui est bien évidemment beaucoup plus "ouvert"), ou bien encore ne l'ouvrir que le temps du renouvellement (plus compliqué car il faudra y penser et ne pas oublier de le refermer après le renouvellement). Web Station et photo station fonctionnent très bien en https (443).

Oui, c'est tout à fait possible. Mais il faut préciser le port dans les applications DS. Par exemple : video.mondomaine:443

Ces ports ne sont là que pour les partages internet et réseaux sociaux. Pas du tout pour les applis Syno. Pour photostation, ce sont les ports 80 (http) et 443 (https) qui sont utilisés. Il faut les rediriger dans le routeur et les ouvrir dans le parefeu du NAS. Néanmoins, je vous conseille de n'utiliser que le 443 (https).

Tout dépend des redirections et pour quelles applications. Si vous utilisiez le 5001 dans le reverse proxy et que vous le fermez au niveau du routeur, il faudra bien entendu modifier les ports en conséquence. Pour ma part, je n'utilise que le 443 et des noms de domaine pour accéder à mes applications. J'ai abandonné le 80. Pour l'accès à DSM de l'extérieur, je passe par le serveur VPN du NAS, beaucoup plus sécurisé que le 5001.

Photo station utilise le 80 et le 443 par défaut. Le 5001 c'est le DSM. Il n'est d’ailleurs pas conseillé d’y accéder de l'extérieur mais si vous y tenez, vous dirigez le 5001 du routeur vers le 5001 du NAS et vous y accédez avec https://ddns.synology.me:5001

Seagate ou WD, c'est toujours la même question. Je ne donnerai aucun conseil pour l'un ou l'autre. Encore une fois, si WD est bon pour vous, continuez avec cette marque. Pour ma part je considère que la préparation est indispensable car celle effectuée par DSM ne se fait que sur la partition des données et exclus celles du système et du swap. Or, on voit très souvent sur ce forum des problèmes apparaître dans les partitions système, et c'est quasiment toujours sur des disques non préparés.

@StéphanH On peut limiter l'accès à une ou plusieurs IP pour accéder au compte OVH. Je n'en n'ai mis qu'une, et si je dois me connecter à partir de l'extérieur (donc d'une IP non reconnue), le seul moyen c'est de passer par le serveur VPN du NAS.

Ce n'est effectivement pas vraiment pour nous, simples mortels. Pas tout bien compris mais c'est sans réel intérêt pour un particulier. C'est plutôt réservé aux spécialistes, genre Fenrir & Co. J'ai tout de même mis en oeuvre les sécurités d'accès au compte : double authentification et numéros de secours, accès limité à une seule IP, la mienne (elle est fixe chez moi )

Bienvenu dans la communauté. Le 216SE pourra faire un excellent usage en tant que sauvegarde du 716.

Désolé mais qu'est-ce que ça a à voir avec Synology ? Le mieux serait de poser la question sur un forum TP-Link s'il en existe.