Janus

Bonjour Également un message similaire ce matin : " le système n'est pas pas parvenu à enregistrer l'adresse ip externe xx.xxx.xxx.xxx dans mon nas.synology.me sur le serveur DDNS synologie.le serveur DDNS est temporairement hors service , veuillez contacter votre fournisseur de service" pourtant tout marche bien et je peux me connecter de l'extérieur ou via mes appli, sans problème.... bizarre....

Effectivement je comprends mieux maintenant je te remercie pour toutes tes explications données au cours de ce long post. Je vais dormir dessus et m'y mettre le WE prochain, mais au final je crois que je vais pouvoir mettre en place le reverse prpxy car c'est déjà plus clair pour moi. j'ai commencé en décembre (lors de l'achat de mon nas) avec quickconnect et quasiment aucune sécurité à part le mot de passe assez long . Petit à petit j'ai configuré le pare feu, viré quickconnect, mis en place l'accès sécurisé par https, viré également l'upnp sur ma box.... Tout doucement j'avance , j'ai jeté un œil sur tes 2 autres tuto, mais ça me fait un peu flipper!!! Peut être essayer celui sur le DNS serveur, mais juste le 1er niveau! merci encore et bonne nuit

Merci pour ce complément d'information, en fait je croyais qu'il valait mieux avoir le moins de ports ouverts pour une meilleure sécurité. pour ce qui est du port 443, je n'avais pas compris que c'était un port part défaut. Perso je n'ai rien attribué à ce port donc logique que de le fermer dans la box ne change rien ( pareil pour le port 80 auquel je n'ai rien attribué non plus) par contre dans ton tuto sur le reverse proxy, je ne comprends pas quand tu dis: "J'ai ensuite configuré le Proxy inversé pour faire correspondre les différentes applications avec des noms de domaine différents mais sur un seul port (tcp 443/https)" Perso toutes mes applications ont le même nom de domaine, mais je ne vois pas comment les faire correspondre à un seul port ?, ( je n'en ai d'ailleurs peut être pas l'utilité?) pour moi chaque appli devait avoir son propre port 7001/8801 etc...)

bonjour Merci de ce complement d'info, et de ce petit schéma très clair! j'avais essayé en debut d'après mdi de le configurer, mais ça ne marchais pas, mais bon je n'ai pas du mettre les règles correctement, il me semblait qu'il y avait plus d'éléments à entrer que simplement :(pour filestation par exemple) l'adresse de filestation.mondomaine.me et l'adresse de redirection sur le port que j'ai paramétré dans les applications (7001 en l'occurence). Il me semblait qu'à un moment je devais entrer le port 443 quelque part ?? En fait je ne suis pas trop à l'aise avec la fonction des ports 80 ou 443. Autant je vois bien pour les 7001/8801 etc qui correspondent à des applications autant ces 2ports là c'est pas très clair pour moi. Je pensais d'ailleurs que j'utilisais le port 443, mais quand je le retire dans la redirection de ma box, tout fonctionne comme avant ??? donc ne me sert pas à priori (je croyais que pour la fonction https, ce port devait être automatiquement ouvert ...) je suis un peu embrouillé à ce niveau !!! mais bon petit à petit j'apprends des trucs...! je vais essayer de me pencher dessus le WE prochain, surtout que si j'ai bien compris ça permet de laisser un minimum de ports ouverts en plus du fait de ne pas avoir à retenir toutes une liste de ports (même si assez courte pour l'instant dans mon cas!)

ok merci pour ta réponse et ton aide, j'y vois un peu plus clair maintenant, la prochaine étape devrait être le reverse proxy....j'ai commencer à regarder mais je nage un peu!

Super pour toutes ces explications très claires, je vais conserver les paramètres ainsi fait sans le reverse proxy ( trop compliqué pour moi pour le moment) ca ne me gêne pas de rentrer le n° du port car pour le moment je n'utilise que 3 appli donc pas trop dur de mémoriser les ports je lirais tes 2 autres tuto sur les vpn et le dns (que j'avais mis de côté car un peu hardu pour moi!) juste une dernière chose, je suis obligée de laisser les ports 80 et 443 ouvert dans la box, je suppose pour que cela fonctionne ? merci encore pour ton aide

ah bah, je suis la reine des nouilles, effectivement je n'avais pas coché sur l'appui la case HTTPS, ça marche sur audio station, je vais tester les autres mais ça devrait être bon aussi. du coup le plus simple pour moi c'est de couper sur la box les ports non chiffrés (7000/8800 etc) pour le navigateur, la connexion est donc chiffrée en https, sachant que je n'ai pas de message d'erreur concernant le certificat (que j'ai crée via letsencrypt) je suppose qu'elle est également sécurisée? Une dernière question bête, si je ferme les ports concernés non chiffrés, c'est quoi l'intérêt du reverse proxy et de la redirection des ports ??(en matière de sécurité, )

oui c'est exactement ce que je m'étais dit, je n'ouvrais que les ports 7001 8801 etc, ça fonctionne bien depuis un navigateur depuis l'extérieur, mais pas depuis mes appli sur iphone en externe car là la connexion part le port 8801 génère un message d'erreur, échec de connexion, veuillez verifier que l'adresse IP du diskstation est correcte..... pour le message d'erreur de navigateur, c'était "connexion non sécurisé" il me semble ça ne parlait pas de connexion chiffrée

Merci de ta réponse, au final j'ai décoché la case qui effectivement ne présente pas d'intérêt. Par contre je galère à comprendre comment configurer et gérer les redirections et le reverse proxy pour le moment je nage complet... Actuellement je n'ai ouvert sur ma box que les ports correspondant aux applications audio/video et file station et le port 80. j'ai paramétré le parfeu avec des règles en local comme sur ton tuto + des règles d'autorisation via des IP en France pour les ports 7000/7001 8800/8801 et 9007/9008 ce qui correspond aux appli citées + haut et autorisation port 80/443 je n'ai pas configuré de reverse proxy (pas compris grand chose pour l'instant) de l'extérieur je me connecte sur iphone via https et l'adresse du domaine + port 8800 par exemple, la connexion est elle sécurisée? et depuis un navigateur du bureau par exemple, soit http nom de domaine et port 8800 et ça m'indique que la connexion n'est pas sécurisée, et j'arrive bien sur audio station soit par https nom de domaine et port 8801 et je n'ai pas de message d'erreur et j'arrive aussi au même endroit je patauge complètement ...

en me baladant sur le forum je suis tombée sur cette discussion très intéressante:http://www.nas-forum.com/forum/topic/54150-accès-local-connexion-pas-privée/ (pour moi en tout cas !) qui vient de me faire comprendre pourquoi j'avais un message d'erreur sur le certificat quand je me connectais via mon réseau local sur l'adresse 198 etc.. du coup ça à l'air de confirmer le fait que si je n'ai pas ouvert les ports 5000 et 5001(car je ne souhaite pas d'accès au DSM autrement que par mon réseau local) la redictection en https ne présente pas d'intérêt?

Bonjour, et merci de ta réponse, je n'avais pas compris ça en fait. quand tu parles d DSM, tu parle de l'interface pour l'administration, donc au final vu que je n'administre pas mon Nas depuis l'extérieur (je n'ai pas ouvert ces ports dans le pare feu n'ai dans la box finalement) est ce que la redirection sur https:// à un intérêt pour moi? Ce qui m'amène à une deuxième question, si cela n'a pas d'intérêt et donc que je l'enlève, mon nas est il assez sécurisé?, donc au final sur mes appli iPad/iPhone ça ne sers à rien de me connecter en https, et pour le port 443 aucun intérêt non plus de l'ouvrir? j'avais lu dans ton tuto la partie sur le reverse proxy, mais vu mon niveau pas sûr que j'arrive à faire ce genre de config....

Bonjour, Afin d'améliorer la sécurité de mn NAS je me suis penchée sur les accès par le biais d'une connexion sécurisée. Pour le moment j'avais suivi le tuto de Fenrir, mais je m'étais limitée à paramétrer le pare feu, sachant que je n'ai pas mis d'autorisation pour le port 5000 sur le pare feu, il n'y a pas d'accès possible par ce biais (enfin j'espère!) j'accède aux différentes applications directement (un port spécifique pour chaque application) j'ai donc activé la redirection http sur https, puis je suis aller créer un certificat avec letsencrypt (pas réussi du 1er coup mais au 2eme ça à l'air de marcher), puis j'ai enlevé le certificat par défaut, et j'ai fait des tests: il y a plusieurs choses que je ne m'explique pas: je pensais naïvement qu'en faisant la redirection, si je me connectait par: http://monnas.synology.me:7000, par exemple, cela allait me rediriger directement sur https://monnas.synology.me:7001 et que j'accèderais à filestation d'une manière sécurisée,?? en fait, non je tombe bien sur filestation mais du coup par une connexion non sécurisée (je suppose ??) et si je tape la meme adresse mais avec https:// je tombe aussi sur filestation mais avec une connexion sécurisée ?? est ce normal? (ma question est peut être idiote?) j'ai un autre problème qui concerne les applications DS radio/ Video/File: pour ds audio j'ai le port 8800 et 8801, si je tape https://monsas.synology.me:8800, j'accède à mes fichiers, mais pas site tape https//monnas.synology.me:8801, (échec de connexion veuillez vérifier que l'adresse IP du diskstation est correcte) au final je crois que je fini par m'embrouiller avec les ports et je n'arrive pas à être sur que mon nas est bien sécurisé, si quelqu'un peut m'éclairer, toute aide sera la bienvenue !! bon WE

Bonjour, non yosemite j'ai finalement débranché la time capsule hier, puis je l'ai reconnecté, l'utilitaire airpot l'a trouvé et j'ai fait une sauvegarde, mais les sauvegardes ne se font plus automatiquement. et quand j'ai rallumé l'ordi ce soir, ça ne marche plus à nouveau, ni time machine ni l'utilitaire ne voit la time capsule alors que le voyant est vert?? c'est à ne rien y comprendre!

Je viens de faire un essai et ça marche parfaitement (non pas que j'en doutais ) Au final le meilleur moyen qu'on ne puisse pas accéder à DSM par internet et de couper la redirection de ce port sur ma box non ?

merci je viens en effet de comprendre en relisant ton tuto...en fait dans le portail des applications je donne à une application le port que je veux, et ensuite je me connecte en ajoutant à mon adresse IP ou nom de domaine le n° de ce port .....et je tombe sur l'application voulue c'est laborieux pour moi!!!!