[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

il y a 2 minutes, Fenrir a dit :

Quickconnect est bien coupé sur le nas ? (idem pour "Configuration du routeur")

Oui et oui...

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

il y a 2 minutes, Fenrir a dit :

Seulement si tu as besoin de le faire ...

Pour avoir accès à ceci depuis l'extérieur :

Je dois ouvrir le port 443 sur ma box comme ci-dessous ET autoriser les entrées via le pare-feu du Synology comme ceci ? Car quand je ne le fais pas, ca ne semble pas marcher de l'extérieur...

il y a 2 minutes, Fenrir a dit :

Tu n'aurais pas transféré le port 443 vers le port 5001 ?

Non...

il y a 2 minutes, Fenrir a dit :

Tu as bcp de lacunes en réseau, donc tu as du mal à comprendre => https://openclassrooms.com/courses/les-reseaux-de-zero

Merci ! De la lecture...miam!

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

il y a 4 minutes, Fenrir a dit :

Non, c'est un exemple d'ip externe, si par exemple tu veux autoriser l'ip de tes parents sur un port qui ne serait pas déjà ouvert par les autres règles.

Ok je comprends. Donc concrètement pour un accès de l'extérieure je dois ouvrir le port 443 (utilisé dans le reverse proxy) à tous en provenance de la région définie?

il y a 7 minutes, Fenrir a dit :

Ne transferts pas les port 5000 et 5001 sur ta box

Étonnement, ils ne le sont pas. Seul le port 443 est ouvert actuellement.

Merci, j'ai vraiment l'impression d'être à la ramasse étant le seul à poser autant de questions sur la mise en pratique !

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

il y a 19 minutes, Fenrir a dit :

Bah j'essaie de faire des tuto propre avec des exemples pas trop dangereux (des fois que quelqu'un recopierait toutes les règles d'exemple), mais là pas de bol, ils ont confondu 192.0 et 192.168

En pratique, les équipements soho (box&co) n'en tiennent pas compte, donc routent ça comme une vraie adresse, mais elle sera droppée par le premier routeur bgp, donc pas de danger

ps : j'ai édité le tuto

Merci Fenrir.

Donc concrètement dans la règle pour le port 80 et 443 on doit autoriser uniquement notre ip publique ? Car quand je le fais je n'ai plus accès de l'extérieur. Je dois autoriser soit tous soit une région spécifique.

Autre question dans le même ordre d'idée: quand depuis l'extérieur j'entre mon adresse monnom.dedomaine celle-ci pointant sur mon ip publique mon routeur la redirige forcément vers mon nas. J'ai donc la page de login du DSM qui apparaît. Hors il me semble que tu préconisait le VPN pour se loguer sur le DSM. Comment dès lors bloqué cela ?

Tout grand merci

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

 

Bonjour,

Dans la suite de le mise en place de ton tuto sur mon NAS, j'en suis maintenant à regarder un peu plus en détails la configuration du pare-feu Synology.

Une ligne me pose question : c'est celle avec l'ouverture des ports 80,443 de part l'IP source 192.0.2.3 que je suppose être l'adresse de ton NAS (voir explication fenrir plus bas).

Le 01/12/2016 à 19:33, Fenrir a dit :

 

 

Voici un exemple plus complet :

En plus des réseaux locaux (ou privés), j'autorise les services suivants :

• ports TCP 80 et 443 depuis l'adresse 192.0.2.3

 

 

Étant donné que j'utilise le reverse proxy, j'ai ouvert sur mon routeur (Edgerouter d'Uiquiti) le port 443. Mais dans le pare feu du NAS, pour que cela fonctionne je dois aussi ouvrir le port 80 et 443 à l'extérieur (La Belgique dans mon cas?), est-ce correct? Car si j'ouvre ce port uniquement à mon serveur NAS... cela ne fonctionne pas.

Peux-tu m'éclairer à ce sujet?

Merci

[Problème de certificat]

il y a 14 minutes, Einsteinium a dit :

Séparation du tuto pour plus de clarté

Effectivement, merci. Désolé pour avoir pollué le sujet.

[Problème de certificat]

à l’instant, Fenrir a dit :

Et sans SSL, avec la même adresse, ça fonctionne ?

Le CALDAV oui... le CARDDAV non...

Bon problème solutionné :) Et effectivement iBidule était la cause. J'ai du faire un reset des paramètres réseau et ça a fonctionné directement. Voilà une bonne chose de règlée.

En tout cas, merci Fenrir pour ton support et ton partage.

[Problème de certificat]

à l’instant, Fenrir a dit :

Tu dois avoir un autre souci avec ton ibidule. Je suppose que tu n'as aucun message d'erreur exploitable (comme trop souvent avec Apple) ?

Effectivement pas grand chose d'exploitable hormis un "Connexion impossible avec SSL : voulez-vous tenter de configurer le compte sans SSL?"

[Problème de certificat]

il y a 8 minutes, Fenrir a dit :

Si ton certificat n'est pas valide pour cal.mon.nomdedomaine, en entier, mais seulement pour "le nom de domaine de base", c'est normal.

Tu peux/dois créer ton certificat avec les différents noms que tu utilises, dans le cas présent il te faut :

• "le nom de domaine de base" et "cal.mon.nomdedomaine"

Effectivement cette partie là maintenant fonctionne. Quand à partir de mon navigateur j'entre les noms de domaines, plus de messages d'erreurs. Top ! Merci.

Par contre mon soucis initial avec IOS persiste apparemment... faut il explorter le certificar sur les appareils ?

[Problème de certificat]

Il y a 17 heures, Fenrir a dit :

Vérifie que ton certificat est bien valide pour le nom que tu configures.

Alors après vérification le certificat semble correct (voir image envoyée). Quand je me connecte sur le nom de domaine de base, le certificat est bien accepté.

Par contre lorsque je me connecte avec le sous domaine https://cal.mon.nomdedomaine j'ai bel et bien une erreur de certificat : Unable to communicate securely with peer: requested domain name does not match the server’s certificate.

J'espère donné suffisemment d'informations, mais d'avance un tout grand merci.

[Problème de certificat]

Vérifie que ton certificat est bien valide pour le nom que tu configures.

La gestion des certificats est encore obscure pour moi. Aurais tu un tuto de comment ça fonctionne ? Merci.


Envoyé de mon iPhone en utilisant Tapatalk Pro

[Problème de certificat]

Bonjour,

Après avoir suivi les différentes étapes du tutos je me retrouve maintenant avec un nas qui devrait être sécure :) (merci encore à Fenrir).

Je note juste un soucis :

depuis l'utilisation du reverse proxy, je n'arrive plus à synchroniser avec mon iPad et mon iPhone mes serveurs caldav et carddav en utilisant le https; (le port443 étant le seul ouvert dans mon routeur). Si j'ouvre le port 80 alors cela fonctionne en reconfigurant mon reverse proxy. mais rien en HTTPS. A chaque fois IOS me dit :Connexion impossible avec SSL.

Une piste à explorer ?

Merci

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Effectivement, je comprends maitenant mon erreur. Un tout grand merci pour cette reaction rapide!

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Bonjour,

Tout d'abord, un tout grand merci pour ce tuto.

J'aimerais, si possible, avoir plus de precisions concernant le fonctionnement du "reverse proxy" à travers le "Portail des applications".

Voici ce que j'ai fait :

1. j'ai ouvert dans mon routeur les ports 80 et 443 en les redirrigeant vers l'adresse du serveur: 172.16.xxx.xxx:PORT_DEFAUT_DSM
2. j'ai ensuite configure comme dans le tuto les applications avec un port par défaut : exemple : calendrier HTTP 7180/HTTPS 7143
3. dans reverse proxy :j'ai mis en source : https://cal.xxxxx.xx destination: http://localhost:7180

Quand je vais sur l'adresse http://172.16.xxx.xxx:7180 ou https://172.16.xxx.xxx:7143 j'arrive bien sur l'application calendrier. Par contre quand je tape : https://cal.xxxx.xx il me dirige vers le DSM

Le nom de domaine est enregistré chez gandi qui pointe vers mon ip publique.

Quels mauvaises manipulations suis-je en train de faire ?

Merci

[R]

Un tout grand merci, je vais de ce pas explorer cette piste. J'imagine que cela peut se faire en utilisant le paquet DNS Server de Synology?

[R]

Merci. Cela implique donc que mon poste client doit avoir une ip fixe... n'y a t'il pas un moyen qui fonctionne en DHCP?

[R]

Apparemment non...comment doit on le configurer ? En éditant le fichier hosts du NAS?

Merci pour ton aide.

[R]

Bonjour,

je suis l'heureux possesseur d'un DS214+ depuis un petit mois, et j'essaye toujours de m'y retrouver pour la configuration.

Je tourne dans un environnement 100% linux et je tente donc de configurer le service NFS pour le partage de fichiers.

Dans les clients autorisés il est possible de configurer le nom d'hôte du client en place de son IP, hors cela ne me donne pas de résultats.

Quelle serait la marche à suivre ?

NB: les pc clients sont bien configurés car je peux communiquer entre eux en utilisant les noms d'hôtes (hostname1.local et hostname2.local) et ce que ce soit par SSH ou FTP...

D'avance merci