CMDC

Attention, notre ami parle de plusieurs utilisateurs .... on quitte le cadre familial/individuel là ! Il va falloir commencer à appliquer une stratégie de DSI ... Effectivement, pour chaque utilisateur, un poste (très) sécurisé , un client OpenVPN avec ses identifiants et c'est parti pour du télétravail de qualité ! Mais attention je parle de poste de travail sécurisé, car autant il est (relativement) facile de sécuriser un serveur (NAS) centralisé bien au chaud au boulot , autant les postes nomades , c'est un peu plus compliqué . L'ANSSI produit d'excellents guides pour la sécurisation de ce genre de postes

Grillé par @Mic13710 EDIT> Personnellement, étant minimaliste (lire : moins y'a de ports ouverts mieux on se porte ) je préfère la solution VPN Toutafé ! Et surtout, ne pas oublier de sécuriser aussi les postes clients !!!

Une seule solution de contournement : le Double NAT ! Quoiqu'en disent certains, effectivement, si c'est inélégant , c'est aussi double sécurité ! My two cents !

Perso, j'utilise Keepas en SFTP (SSH) sur mon Smartphone et Drive sur mes PC (quoique je pourrais très bien utiliser SMB via OpenVPN) sur ces derniers . En fait, je m'aperçois qu'à l'usage je n'utilise que le Smartphone. Mais bon, vu que le port 6690 est ouvert pour les synchro entre NAS , surtout ne pas bouder son plaisir Bon je reconnais que l'usage de ssh n'est pas trivial, mais ayant utilisé ce protocole durant toute ma carrière .....

Si les deux NAS ont la même IP sur ton LAN, cela risque d'être (très) compliqué ! Moi, je remettrais 5000 et 5001 sur les deux NAS, puis à chaque NAS une IP différente et je m'amuserais à faire, comme le dit @CoolRaoul, des ouvertures de ports au niveau de ta box : genre: PPublique: 51000 -> NAS 1:5000 IPPublique: 51001 -> NAS 1:5001 IPPublique: 52000 -> NAS 2:5000 IPPublique: 52001 -> NAS 2:5001 Epicétout

Bienvenu, je vois qu'on est de la même tribu ! Pas grave on se fait remettre en place par les jeunes , mais ils font bien ce qu'il veulent Comme j'aime à le dire : Place aux jeunes !!!!

Le reverse proxy c'est fait pour "mettre en relation" des noms externes et des port externes ( 443 ou 80 ) (ex http[s]://ndd.fr:[80|443]) avec des nom internes et des port internes (ex: http[s]://localhost:xxxx ou http[s]://192.x.y.z:xxxx) . Mais pas des url compliquées (!) ex https://ndd.fr/xxxx ... Ce que tu cherches à faire s'appelle une "redirection web" généralement faite chez ton hébergeur de domaine : https://audio.ndd.fr -> https://ndd.fr/audio/ (301 ou 302) EDIT > Naturellement audio.ndd.fr doit être aussi déclarée dans ton DNS comme un enregistrement CNAME

On dirait que ton NAS est "marabouté" ce que je ne crois pas; il faudrait examiner les logs (centre de journaux) et voir les messages du genre : System successfully registered [xx.yy.zz.aa] to [chez-moi.mondomaine.amoi] in DDNS.... Après, si j'en crois ta signature le DS923+ est en fonction non ?

Je pense que ton attention sera attirée par la variable HOSTNAME , c'est a dire le champ "Nom d'hôte" en DSM 7.x ; effectivement il doit être différent sur ton NAS et sur celui de ta mère , car autrement chaque machine va enregistrer le même nom ! Personnellement moi j'ai mis sur le mien : "chez-moi.mondomaine.amoi" et sur celui de ma Maman: "chez-maman.mondomaine.amoi" et j'obtiens bien mes deux résolutions DNS

le premier D de DDNS veut dire Dynamic, c'est à dire que sur ton réseau local il y a une machine qui enregistre ton adresse IP publique, qui est susceptible de changer régulièrement, chez Infomaniak. Il semble que tu as dédié cette tache à ton NAS, effectivement nos Nas sont prévus pour ça, au moyen de scripts présents dans "Panneau de configuration -> Accès Externe -> DDNS" . Or Infomaniak ne fait pas partie des fournisseurs standards de Synology . Il faut donc personnaliser un script pour Infomaniak Il faut donc que tu suives ce tuto https://www.infomaniak.com/fr/support/faq/2368/configurer-dyndns-avec-un-nas-synology

* Ou alors si tu as désactivé les passerelle multiples : hôte: 192.168.1.126

Bon, allez, j'avais 30' de temps libre et du coup je suis remonté à la genèse de acme.sh sur github . J'ai adoré .... , c'est ici https://github.com/acmesh-official/acme.sh/wiki/Synology-NAS-Guide Bon, j'ai un peu abandonné docker et vu que mon FAI Provider est bookmyname , j'ai un peu adapté le bouzin ! ! Super, merci à tous, car j'ai du coup pu fermer le port 80 !

Non j'ai abandonné depuis pas mal de temps (en fait depuis que je ne travaille plus, car en entreprise le proxy bridait tous les ports sauf le 443 ) j'utilise un max OpenVPN et SSH C'est simple et, depuis mon retour sur le forum, je n'ai pas eu encore le temps de me pencher sur le tuto . Promis je regarde l'an prochain ...

très intéressant comme fil, car chez moi, le port 80 est ouvert (translaté est un terme plus exact) sur les box et sur les NAS le port 80 aussi mais uniquement pour les US ! Si je pouvais fermer le port 80 (sachant que le 443 est aussi fermé ) ce serait super

Heu... comment dire ... non, je n'ai rien dit , oubliez !

J'avais fait, il y a quelques temps, le même constat en utilisant un Zyxell USG40, puis un Netgear RBK50 .. Je me suis aperçu qu'effectivement le débit baissait à cause des règles de sécurité ... Comme quoi, ces routeurs doivent être équipés de processeur très performant Attention hein je ne parle pas du RT1900 !

Bonsoir, Bienvenu sur le forum ! Quel type de nas ? combien de disques, quel type de raid ? Beaucoup de choses à dire (une présentation peut-être ?), avant d'espérer une aide !

Alors, effectivement, passer smb au travers d'une simple connexion OpenVPN est théoriquement possible https://kb.synology.com/fr-fr/DSM/tutorial/smb_connect_via_vpn Le problème c'est que je n'y suis jamais arrivé ! Une piste serait d'autoriser dans smb.conf le réseau 10.8.0.0/24 ... Par contre ouvrir les ports smb/cifs , c'est se tirer une balle dans le pied

KISS ! (Keep It Simple Stupid ) . Traduction : faisons simple ! HyperBackup a un port dédié le 6281 en TCP . Sur ton NAS distant tu ouvres les ports 5001 et 6281 et sur la box distante tu forwardes ces deux ports vers le NAS. Sur le NAS à sauvegarder , tu établies la connexion avec NAS distant. Une foi la connexion établie tu peux refermer, si tu le souhaites, le port 5001 . Naturellement le DDNS est indispensable sur NAS distant (sauf si tu as une IP Fixe ). Epicétou ! Facile non ?

Pour scripter, après un début de carrière d'admin/sys VMS, continuée sur la quarantaine par Unix, puis , pour cause budgétaires de mes clients, pour ma cinquantaine sous Linux, pour scripter donc, j'ai commencé par le korn shell, puis Perl, ensuite, naturellement Python, et j'ai bloqué, à la veille de ma retraite, sur Ruby ! Je vais marquer une pause je crois ! Naturellement, certains contrats m'ont obligé de scripter en environnement windows et avant PowerShell , je m'empressais d'intégrer un environnement Perl sur les serveurs Windows NT .... Ce qui m'a permis de sauver quelques fois la planète ( tel le Chuck Norris moyen) ! Je me souviens d'une bascule hyper importante dans un organisme bancaire très connu (pour son écureuil) où les mecs se sont plantés sur un champ dans une fichier texte comprenant plusieurs milliers (millions?) de lignes ... Ils s'arrachaient les cheveux avec Wordpad je crois ! Chuck Norris est arrivé avec son $perl -pie ' s/xxxx/yyy/g' ... et 5 minutes après on sablait le champagne ! Allez on va arrêter de "Vieuconiser" en public ! On va le faire en privé avec @CoolRaoul car nos conneries n'intéressent pas les jeunes ! Quoique ! Je suis passé voir mon successeur ce midi et il était en train de plancher sur une synchronisation entre les NAS de son client et les serveurs Windows ... Cygwin, rsync etc.. etc... ... Houla, lui dis-je, encore une usine à gaz qui va probablement très bien marcher mais regarde un peu si Synology Drive ne ferait pas le job ?

VMS il n'y a pas plus simple, il n'y a que deux commandes SHOW et SET ....

Que de bons souvenirs ! J'étais en Fac avec @CoolRaoul qui était déjà un brillant informaticien , alors que nous, nous pensions plus à faire .... la Java (prémonitoire non ?) et nous utilisions les cartes perforées pour faire des filtres .... pour nos cigarettes rigolotes

Pourtant, sur DEC Alpha il y a(vait?) un OS fabuleux : VAX/VMS .... POWA !!!! Autre chose, UNIX/Linux c'est pratiquement la même chose .... Signé : un autre vieux de la vieille

Personnellement j'ai toujours désactivé la redirection du port 443 .... et j'ai beaucoup de mal pour le port 80 dont j'ai restreint l'accès aux USA (Certificats Let'sEncrypt) .... Pour accéder à mes BOX, ainsi qu'à tout mon Intranet, je préfère largement utiliser OpenVPN .... Mais c'est un autre débat

Imparable ! Moralité : effectuer toutes les vérifications pas à pas .... Ceci dit , en conclusion , vérifie aussi tes règles de pare-feu elles sont un peu .... sujettes à débat ! De même que pour les résolutions DNS ! Que des règles explicites : genre camera.tondomaine.ovh (pour info mapetitebite.tondomaine.ovh fonctionne aussi !) et ensuite un TTL ne devrait pas être inférieur à 300 ! Juste pour l'élégance hein ?