Myghalloween

Je connais le principe de "man in the middle". Effectivement pour un particulier, à moins d'héberger un hacker, d'avoir un wifi un peu trop "ouvert", ou subir une attaque qui permet d'entrer dans le LAN, le risque est faible. Donc à priori, le risque qu'un robot détecte DSM sur le 443 et l'attaque est plutôt faible, d'autant qu'il faut encore passer le 2FA et ne pas être ban par de multiples tentatives... Je peux donc me passer du VPN sur ce point ? (je comprends bien que le VPN rajoute une couche de sécurité supplémentaire pour DSM)

il me semble que l’entête fait parti des "tags" que reçoit un paquet avant de partir sur le réseau. Elle sert à certains applicatifs, comme les box visiblement, et surtout les navigateurs quand ils réceptionnent le paquet. Je ne peux pas vraiment en dire plus car je ne connais pas assez

Question certainement déjà posée : est-il possible de faire une connexion VPN IKEv2/IPsec sur nos NAS ? Je ne vois rien dans le paquet VPN server. @Fenrir parle de 4 façons de se connecter en VPN dans son tuto, je ne trouve pas cette 4eme option et je ne suis pas sûr que ce soit IKEv2. Sur VPN server, L2TP/IPsec me semble le meilleur compromis pour ne pas avoir à installer une appli sur les clients, mais ça ne vous dérange pas que L2TP soit potentiellement "écouté" par la NSA ? Autre remarque (je pense que j'ai la réponse, mais je préfère des avis d'initiés) : y-a t-il des risques (si oui lesquels) à utiliser le reverse proxy pour accéder à DSM via le port 443 plutôt que d'exposer en permanence le 5001 (par une redirection de port genre 45001 sur la box) ?

Est-ce que ça veut dire que je vais devoir modifier l'entête de chaque régle de reverse proxy ou uniquement celle vers la box ?

Non je n'utilise pas la fonction "configurateur de routeur", comme le recommande trés bien @Fenrir dans son tuto pour sécuriser le NAS. Par contre j'ai bien l'UPnP sur la livebox, qui semble toujours nécessaire pour le décodeur, mais comme je n'en ai pas, osef, je décoche ^^ Bien vu @PiwiLAbruti ! C'est ça, désormais ça fonctionne ! Mais comment tu as trouvé un truc pareil ? C'est vraiment une daube cette LB4

Je viens de résoudre mon problème d'attaque (à confirmer). J'ai dû faire une mauvaise manip hier, ou ma livebox a déconné, mais mon port 22 était ouvert en frontal sur le wan (je ne me rappelle pas l'avoir ouvert hier, donc j'imagine que c'est en ajoutant ou supprimant des régles que ma livebox c'est permise de faire n'importe quoi et j'ai pas vérifié). Normalement je ne devrais plus recevoir d'alerte... Heureusement que j'ai le firewall du NAS et limité les tentatives de connexions infructueuses... Le reverse proxy ne fonctionne pas sans le paquet DNS Server ?

Ok, donc autant utiliser celui qui est intégré à DSM. Merci pour cette précision. Je continue mes lectures, je reviens vous donner les résultats 😎

Ok je lis ça tranquillement ! Du coup j'ai aussi vu un tuto de @CoolRaoul sur le reverse proxy sous nginx, moi j'ai fais ça sous celui qui est intégré à DSM (apache ?). Qu'est ce qui fait qu'on devrait choisir l'un ou l'autre ?

Bon déjà je n'ai plus de souci de certificat : je viens de faire un certificat wildcard sur un ddns synology et ça fonctionne sur toutes mes adresses *.mondomaine.synology.me Reste que le reverse proxy vers ma box n'est pas opé, j'ai toujours cette fameuse page Synology qui m'indique que ça n'existe pas ¯\_(ツ)_/¯ Je reçois également toujours des attaques...

Ok je vais déjà regarder ce point. Dynu propose peut être la wildcard en gratos, je vais regarder. Edit : J'ai bien la wildcard d'activée sur dynu.com. Par contre je ne sais pas si c'est possible de faire un certif Lets Encrypt sur une wildcard ? Edit 2 : les certif wildcard Lets Encrypt sont possibles uniquement sur les dDNS Syno ^^...

Bonjour à tous, J'ai pas mal parcouru le forum pour essayer de trouver des réponses au non fonctionnement de mon reverse proxy, mais sans succès, donc je poste en espérant trouver la solution. J'ai tenté hier de configurer le reverse proxy de mon NAS Syno pour accéder à ma box en remote sans ouvrir l'accès direct à la Livebox4 (oui c'est une daube^^). Pour ça j'ai d'abord généré un certificat Lets Encrypt pour "mondomain.truc.org" (mon dDNS est chez Dynu.com). Visiblement j'avais un problème de port 80 pour la certification, que j'ai résolu semble t-il. Ensuite dans le reverse proxy j'ai indiqué le nom de ma régle (on va dire "box"), puis en source j'ai mis https, port 443, "box.mondomain.truc.org", et en destination j'ai http, port 80, IP de ma box. Les services redémarrent, mais quand je tente d'accéder à ma box depuis un ordi en 4G, j'ai d'une part un problème de certificat qui me dit que le certif pour "box.mondomain.truc.org" ne correspond pas au domaine déclaré "mondomain.truc.org" (pourtant c'est un sous domaine donc je dois avoir un problème quelque part), donc je fais une exception pour accéder à la page, et d'autre part, quand j'arrive sur la page, ça m'affiche une belle page Synology qui me dit que ma destination n'existe pas ! Qu'est ce qui cloche ? Petite question de sécurité : J'accède à DSM en remote par un port personnalisé qui arrive sur le 5001 du NAS, avec la double authentification. Est-ce que c'est suffisamment sécure ou je dois passer au stade supérieur avec le VPN (ce qui m'ennuie niveau vitesse, car déjà pas bien élevée) ? Je m’aperçois que depuis que j'ai touché au reverse proxy j'ai des attaques venant de Chine. Pourtant j'ai réglé mon firewall en suivant le tuto de Fenhir et en autorisant que les accès venant de Fance... J'ai juste ouvert mon 80 à "all" le temps de la certification Lets Encrypt. Merci pour votre aide

Personne pour me donner quelques infos complémentaires ?

C'est exact ! Mon groupe "default user" n'a aucun droit sur le NAS, seuls les utilisateurs dans des groupes créés ont des autorisations spécifiques sur le NAS. J'avais suivi un tuto sur la sécurité, sur ce forum, qui recommandé cette configuration. J'ai donc un utilisateur "PLEX" qui a les droits r/w sur les dossiers partagés concernés (lecture seule ne suffisait pas), et j'ai coché dans Docker la case "lecture seule" pour éviter toute mauvaise manipulation sur les fichiers. J'ai également coché dans PLEX la case pour refuser le droit de suppression aux utilisateurs. Par contre je n'ai pas suivi l'étape du tuto concernant le transcodage car je ne sais pas si mon DS1812+ le supporte, même si j'ai la fibre, et j'ai aussi lu ici et là que ce n'était pas au point et que beaucoup ont une meilleur qualité de transcodage en logiciel. Je veux bien qu'on m'en dise plus à ce sujet.

Ooh je viens de trouver mais je trouve ça vraiment bizarre... Il a fallu que je donne les droits R/W à l'utilisateur créé sur le dossier partagé contenant mes films. Lecture seule ne suffit pas. Cependant j'ai bien coché "lecture seule" sur les chemins déclarés dans Docker... J'ai un peu peur que mes films soient effacés par erreur avec cette config. Qu'en pensez vous ?

oui oui, c'est le même. PS : à force de faire des changements dans les nom de dossiers virtuels, j'ai des dossiers obsolètes qui restent (MoviesSD et TVShowsSD par exemple) Pouvez vous me dire la marche à suivre pour les supprimer et ne conserver que ceux qui ont des liens ? J'ai beau regarder dans le dossier config de Plex dans Docker, je ne trouve rien...

Salut, Cela s'appelle /sources pour que je m'y retrouve (je pense qu'avec le temps j'oublierai à quoi correspond /data) et d'après EVOTk cela n'a pas d'impact, on peut le nommer comme bon nous semble. Ce que je ne comprends pas c'est que cela fonctionnait hier avec le même "user" et sur les mêmes répertoires, y compris avec [ ]. Quand j'explore les droits de l'utilisateur j'ai bien R/W sur le dossier Docker/PLEX et accès en lecture seule sur les répertoires partagés des vidéos. Je ne comprends pas EDIT : en retirant [ ] à /sources/Movies[SD] cela ne fonctionne pas mieux

Salut, Hier soir, j'ai voulu refaire un conteneur Plex propre suite à mes différents tests sur le 1er conteneur. J'ai donc supprimé le conteneur et je repris tout le tuto pour recréer un conteneur nickel. Depuis j'ai droit à ça quand je scanne : Pourtant c'est toujours le même utilisateur du NAS déclaré dans le serveur Plex avec les droits en lecture/ecriture sur le répertoire Docker. Du coup j'ai supprimer complétement le conteneur puis désinstallé Docker. J'ai repris l'installation de Docker puis recréé un conteneur Plex et c'est toujours pareil. Je ne comprends pas. On dirait une erreur de droit comme au début hors je n'ai rien changé à ce sujet. Voilà le dernier log après une nouvelle tentative ce matin après reboot du NAS : Pouvez-vous me dire ce qui se passe ?

Lorsque je vais sur https://plex.tv/web je suis redirigé après la connexion sur https://app.plex.tv/desktop# mais je n'ai aucun problème de connexion malgré la limitation IP france... Tu me conseil quoi dans le paramétrage de ce port dans le parefeu ?

ok super c'est beaucoup plus clair pour moi. J'avance doucement. Merci

Ok. Et concernant ça : Et au passage à quoi sert ce répertoire ?

L'utilisateur créé doit avoir les droits sur docker en lecture seule ou lecture/ecriture ? Ce n'est pas précisé

il ne trouve toujours rien et me dit que mon dossier est vide. Cela peut il venir du parefeu ? Mon NAS est ouvert seulement aux IP françaises. J'ai ouvert le 32400 en TCP à toute IP de France sur le NAS EDIT : Oh le blaireau... j'ai zappé l'étape d'ouverture des droits pour l'utilisateur... c'est bon Plex trouve mes sources 😃

Ok, dans ce cas pour me simplifier la compréhension par la suite je vais renommer "data" en "docker", ça m'évitera d'oublier que c'est un dossier virtuel. Je vais essayer ça et je reviens vers vous en espérant vous dire que ça marche Je m’aperçois que j'ai nommé le dossier "transcode" en "transcoder"... c'est grave ?

Mais c'est quoi ce chemin /data/movies ? Où est ce dossier "data" ? Pour le moment PMS ne trouve rien dans mon dossier, pourtant j'ai bien tout mes films en .mkv dans des sous-dossiers dans le dossier partagé videos. Le chemin exact de chaque répertoire de films est : /videos/MovieHD/ Je ne comprends pas pourquoi il ne trouve rien

Bonjour ! Le tuto me semble bien fait mais je suis une bille visiblement puisque je bloque sur pas mal de chose... Au point "3.Volume", moi par exemple j'ai un dossier partagé "Videos" dans lequel j'ai : >MoviesHD >Film1 >Film2 >... >Movies4K >Film1 >Film2 >... Donc quand j'ajoute un fichier/dossier, ça me donne : Videos/MoviesHD et dans chemin d'accès /data/movies Videos/Movies4K et dans chemin d'accès /data/movies J'ai bon ? ou je dois avoir un chemin d'accès différent pour chaque dossier ? Au point "5.Environnement", je n'ai pas les variable TZ, VERSION, PUID et PGID. J'en déduis que je dois les créer ? Et concernant le port 32400 on doit l'ouvrir quelque part ? Box FAI ? Parefeu du NAS ? Merci pour les précisions