Janus

Bonjour Également un message similaire ce matin : " le système n'est pas pas parvenu à enregistrer l'adresse ip externe xx.xxx.xxx.xxx dans mon nas.synology.me sur le serveur DDNS synologie.le serveur DDNS est temporairement hors service , veuillez contacter votre fournisseur de service" pourtant tout marche bien et je peux me connecter de l'extérieur ou via mes appli, sans problème.... bizarre....

Effectivement je comprends mieux maintenant je te remercie pour toutes tes explications données au cours de ce long post. Je vais dormir dessus et m'y mettre le WE prochain, mais au final je crois que je vais pouvoir mettre en place le reverse prpxy car c'est déjà plus clair pour moi. j'ai commencé en décembre (lors de l'achat de mon nas) avec quickconnect et quasiment aucune sécurité à part le mot de passe assez long . Petit à petit j'ai configuré le pare feu, viré quickconnect, mis en place l'accès sécurisé par https, viré également l'upnp sur ma box.... Tout doucement j'avance , j'ai jeté un œil sur tes 2 autres tuto, mais ça me fait un peu flipper!!! Peut être essayer celui sur le DNS serveur, mais juste le 1er niveau! merci encore et bonne nuit

Merci pour ce complément d'information, en fait je croyais qu'il valait mieux avoir le moins de ports ouverts pour une meilleure sécurité. pour ce qui est du port 443, je n'avais pas compris que c'était un port part défaut. Perso je n'ai rien attribué à ce port donc logique que de le fermer dans la box ne change rien ( pareil pour le port 80 auquel je n'ai rien attribué non plus) par contre dans ton tuto sur le reverse proxy, je ne comprends pas quand tu dis: "J'ai ensuite configuré le Proxy inversé pour faire correspondre les différentes applications avec des noms de domaine différents mais sur un seul port (tcp 443/https)" Perso toutes mes applications ont le même nom de domaine, mais je ne vois pas comment les faire correspondre à un seul port ?, ( je n'en ai d'ailleurs peut être pas l'utilité?) pour moi chaque appli devait avoir son propre port 7001/8801 etc...)

bonjour Merci de ce complement d'info, et de ce petit schéma très clair! j'avais essayé en debut d'après mdi de le configurer, mais ça ne marchais pas, mais bon je n'ai pas du mettre les règles correctement, il me semblait qu'il y avait plus d'éléments à entrer que simplement :(pour filestation par exemple) l'adresse de filestation.mondomaine.me et l'adresse de redirection sur le port que j'ai paramétré dans les applications (7001 en l'occurence). Il me semblait qu'à un moment je devais entrer le port 443 quelque part ?? En fait je ne suis pas trop à l'aise avec la fonction des ports 80 ou 443. Autant je vois bien pour les 7001/8801 etc qui correspondent à des applications autant ces 2ports là c'est pas très clair pour moi. Je pensais d'ailleurs que j'utilisais le port 443, mais quand je le retire dans la redirection de ma box, tout fonctionne comme avant ??? donc ne me sert pas à priori (je croyais que pour la fonction https, ce port devait être automatiquement ouvert ...) je suis un peu embrouillé à ce niveau !!! mais bon petit à petit j'apprends des trucs...! je vais essayer de me pencher dessus le WE prochain, surtout que si j'ai bien compris ça permet de laisser un minimum de ports ouverts en plus du fait de ne pas avoir à retenir toutes une liste de ports (même si assez courte pour l'instant dans mon cas!)

ok merci pour ta réponse et ton aide, j'y vois un peu plus clair maintenant, la prochaine étape devrait être le reverse proxy....j'ai commencer à regarder mais je nage un peu!

Super pour toutes ces explications très claires, je vais conserver les paramètres ainsi fait sans le reverse proxy ( trop compliqué pour moi pour le moment) ca ne me gêne pas de rentrer le n° du port car pour le moment je n'utilise que 3 appli donc pas trop dur de mémoriser les ports je lirais tes 2 autres tuto sur les vpn et le dns (que j'avais mis de côté car un peu hardu pour moi!) juste une dernière chose, je suis obligée de laisser les ports 80 et 443 ouvert dans la box, je suppose pour que cela fonctionne ? merci encore pour ton aide

ah bah, je suis la reine des nouilles, effectivement je n'avais pas coché sur l'appui la case HTTPS, ça marche sur audio station, je vais tester les autres mais ça devrait être bon aussi. du coup le plus simple pour moi c'est de couper sur la box les ports non chiffrés (7000/8800 etc) pour le navigateur, la connexion est donc chiffrée en https, sachant que je n'ai pas de message d'erreur concernant le certificat (que j'ai crée via letsencrypt) je suppose qu'elle est également sécurisée? Une dernière question bête, si je ferme les ports concernés non chiffrés, c'est quoi l'intérêt du reverse proxy et de la redirection des ports ??(en matière de sécurité, )

oui c'est exactement ce que je m'étais dit, je n'ouvrais que les ports 7001 8801 etc, ça fonctionne bien depuis un navigateur depuis l'extérieur, mais pas depuis mes appli sur iphone en externe car là la connexion part le port 8801 génère un message d'erreur, échec de connexion, veuillez verifier que l'adresse IP du diskstation est correcte..... pour le message d'erreur de navigateur, c'était "connexion non sécurisé" il me semble ça ne parlait pas de connexion chiffrée

Merci de ta réponse, au final j'ai décoché la case qui effectivement ne présente pas d'intérêt. Par contre je galère à comprendre comment configurer et gérer les redirections et le reverse proxy pour le moment je nage complet... Actuellement je n'ai ouvert sur ma box que les ports correspondant aux applications audio/video et file station et le port 80. j'ai paramétré le parfeu avec des règles en local comme sur ton tuto + des règles d'autorisation via des IP en France pour les ports 7000/7001 8800/8801 et 9007/9008 ce qui correspond aux appli citées + haut et autorisation port 80/443 je n'ai pas configuré de reverse proxy (pas compris grand chose pour l'instant) de l'extérieur je me connecte sur iphone via https et l'adresse du domaine + port 8800 par exemple, la connexion est elle sécurisée? et depuis un navigateur du bureau par exemple, soit http nom de domaine et port 8800 et ça m'indique que la connexion n'est pas sécurisée, et j'arrive bien sur audio station soit par https nom de domaine et port 8801 et je n'ai pas de message d'erreur et j'arrive aussi au même endroit je patauge complètement ...

en me baladant sur le forum je suis tombée sur cette discussion très intéressante:http://www.nas-forum.com/forum/topic/54150-accès-local-connexion-pas-privée/ (pour moi en tout cas !) qui vient de me faire comprendre pourquoi j'avais un message d'erreur sur le certificat quand je me connectais via mon réseau local sur l'adresse 198 etc.. du coup ça à l'air de confirmer le fait que si je n'ai pas ouvert les ports 5000 et 5001(car je ne souhaite pas d'accès au DSM autrement que par mon réseau local) la redictection en https ne présente pas d'intérêt?

Bonjour, et merci de ta réponse, je n'avais pas compris ça en fait. quand tu parles d DSM, tu parle de l'interface pour l'administration, donc au final vu que je n'administre pas mon Nas depuis l'extérieur (je n'ai pas ouvert ces ports dans le pare feu n'ai dans la box finalement) est ce que la redirection sur https:// à un intérêt pour moi? Ce qui m'amène à une deuxième question, si cela n'a pas d'intérêt et donc que je l'enlève, mon nas est il assez sécurisé?, donc au final sur mes appli iPad/iPhone ça ne sers à rien de me connecter en https, et pour le port 443 aucun intérêt non plus de l'ouvrir? j'avais lu dans ton tuto la partie sur le reverse proxy, mais vu mon niveau pas sûr que j'arrive à faire ce genre de config....

Bonjour, Afin d'améliorer la sécurité de mn NAS je me suis penchée sur les accès par le biais d'une connexion sécurisée. Pour le moment j'avais suivi le tuto de Fenrir, mais je m'étais limitée à paramétrer le pare feu, sachant que je n'ai pas mis d'autorisation pour le port 5000 sur le pare feu, il n'y a pas d'accès possible par ce biais (enfin j'espère!) j'accède aux différentes applications directement (un port spécifique pour chaque application) j'ai donc activé la redirection http sur https, puis je suis aller créer un certificat avec letsencrypt (pas réussi du 1er coup mais au 2eme ça à l'air de marcher), puis j'ai enlevé le certificat par défaut, et j'ai fait des tests: il y a plusieurs choses que je ne m'explique pas: je pensais naïvement qu'en faisant la redirection, si je me connectait par: http://monnas.synology.me:7000, par exemple, cela allait me rediriger directement sur https://monnas.synology.me:7001 et que j'accèderais à filestation d'une manière sécurisée,?? en fait, non je tombe bien sur filestation mais du coup par une connexion non sécurisée (je suppose ??) et si je tape la meme adresse mais avec https:// je tombe aussi sur filestation mais avec une connexion sécurisée ?? est ce normal? (ma question est peut être idiote?) j'ai un autre problème qui concerne les applications DS radio/ Video/File: pour ds audio j'ai le port 8800 et 8801, si je tape https://monsas.synology.me:8800, j'accède à mes fichiers, mais pas site tape https//monnas.synology.me:8801, (échec de connexion veuillez vérifier que l'adresse IP du diskstation est correcte) au final je crois que je fini par m'embrouiller avec les ports et je n'arrive pas à être sur que mon nas est bien sécurisé, si quelqu'un peut m'éclairer, toute aide sera la bienvenue !! bon WE

Bonjour, non yosemite j'ai finalement débranché la time capsule hier, puis je l'ai reconnecté, l'utilitaire airpot l'a trouvé et j'ai fait une sauvegarde, mais les sauvegardes ne se font plus automatiquement. et quand j'ai rallumé l'ordi ce soir, ça ne marche plus à nouveau, ni time machine ni l'utilitaire ne voit la time capsule alors que le voyant est vert?? c'est à ne rien y comprendre!

Je viens de faire un essai et ça marche parfaitement (non pas que j'en doutais ) Au final le meilleur moyen qu'on ne puisse pas accéder à DSM par internet et de couper la redirection de ce port sur ma box non ?

merci je viens en effet de comprendre en relisant ton tuto...en fait dans le portail des applications je donne à une application le port que je veux, et ensuite je me connecte en ajoutant à mon adresse IP ou nom de domaine le n° de ce port .....et je tombe sur l'application voulue c'est laborieux pour moi!!!!

merci, j'ai bien lu (plusieurs fois mêmes) cette partie du tuto que tu cites, le problème est que je ne la comprend pas (désolé...) il suffit que je recopie en fait ? file station utilise forcement le port 7280 que tu cites, ou il faut que je fasse un paramètre sur le nas pour lui attribuer ce port??? je suis en train de lire le lien qe tu m'as fait passer, peut être que quand j'en serais à la partie sur les ports ce sera plus clair pour moi...

Merci du lien!! je pense que ça va m'occuper un moment ! Pour en revenir au portail des applications, je voudrais effectivement limiter l'accès aux seuls ports dont j'ai besoin, mais ment je sais quel port correspond à quelle fonctionnalité du nas ?? j'ai cherché sur le site de sinologie et j'ai trouvé une liste de ports correspondant à différentes applications, mais par exemple l DSM et file station sont sur le même port ?? donc si je veux restreindre l'accès au port 5000 pour que DSM ne soit pas accessible depuis internet, dans ce cas, comment je me connecte de l'extérieur pour voir les fichiers partagés??

Bonjour Les problèmes se suivent et ne se ressemblent pas ! Avant l'acquisition de mon nas, j'effectuais les sauvegardes de mon mac sur une time capsule 2TO. cette dernière est reliée à la box en ethernet et mon mac à la box en wifi. tout fonctionnait. Malgré l'acquisition du syno, je me suis dis que je garderais la time capsule ce qui m'économiserait de l'espace sur le nas Par contre quand je lance time machine, cela m'indique que le disque de sauvegarde est introuvable, ou non connecté, alors que la connexion fonctionne, led verte fixe sur la time capsule Si quel qu'un a une idée ??? Merci d'avance pour votre aide !

Merci de ta réponse, donc concrètement cela veut dire que si je donne un accès à une personne pour venir prendre un fichier partagé, je lui donne comme chemin d'accès : adresse IP ou nom de domaine de mon nas + le n° de port correspondant à file station?? car pour le moment je donne un lien avec le numéro 5000 donc la personne tombe directement sur le bureau du nas puis accès a file station pour voir son ficher?? c'est un peu ésotérique pour moi, cela fonctionne mais je ne comprend pas très bien comment cela fonctionne ce qui m'embête pour pouvoir faire les réglages appropriés D'autre part, je ne comprends pas bien pourquoi en réseau local j'accède à mon nas avec 1 adresse IP type 192 . XXX etc... et que je ne peux pas accéder via internet avec cette meme adresse??? et que je n'y accède que part 1 autre adresse IP (celle de ma box apparement + 1 N) de port) ??? désolé si ces questions semblent basiques, mais j'aimerai bien comprendre l'architecture globale du truc!! En tout cas merci pour le tuto qui m'a permis de déjà bien avancer!

bon finalement j'ai trouvé, j'avais juste oublié d'ajouter :5000 après le nom de domaine ...... finalement ça à l'air de marcher (en tout cas de mon tel j'arrive à me connecter sur mon nas) Par contre en lisant le tuto de Fenrir il est indiqué qu'il vaut mieux ne pas exposer DSM à internet , concrètement comment fait on et qu'est ce que cela veut dire exactement ? Désolé pour ce post à rallonge, ou je m'auto réponds!! j'espère juste que cela pourra profiter à certains car autant la configuration du résaeu local s'est fait simplement autant l'accès à distance et un vrai casse tête!!

bonjour j'ai lu le tuto sur la sécurité, très intéressant et instructif. du coup j'ai fait des modif dans la partie réseau: j'avais attribué une IP fixe, j'ai finalement choisi l'attribution d'une IP dynamique. j'ai également désactivé ipv6 A ce stade je n'ai plus le message d'erreur que j'avais dans quickconnet (même si je l'ai de toute façon désactivé) Au final cela ne marche toujours pas J'ai également configurer un DNS dynamique (mais dans l'absolu cela ne devrait pas changer grand chose car je me connecte avec le n° d'adresse IP de mon nas??) j'ai donc crée un nom de domaine par synology. Par contre quand j'essai de me connecter avec mon nom de domaine, je tombe sur l'interface de ma freebox??? La je suis perdu?? est coque cela signifie que la redirection des ports ne marche pas ??? Merci d'avance de vos conseils et bon WE

pour quickconnect j'ai désactivé...mais de toute façon, je n'y ai plus accès et j'ai un message d'erreur me disant "erreur de réseau. verifier votre DSN et vos paramètres réseau", ce que je trouve bizarre quand même... j'ai testé le nas avec son adresse publique et cela ne fonctionne pas pour la redirection des ports j'ai bien fait comme tu le mentionne Par contre je ne suis pas sur d'avoir compris quand tu me dis de remplacer les ports 5000 et 80? je les remplace où? dans la redirection de ma box ou au niveau du nas? je patauge un peu là, car si je change au niveau de la box, il faut aussi faire une motif au niveau du nas non et je ne vois pas trop comment faire?

j'essaye de me connecter via mon telephone portable après avoir préalablement enlever le wifi pour être sur que cela ne passe pas par le réseau local. Initialement j'avais utiliser quickconnet sans m'occuper d'ouvrir les ports de la box, cela m'avais donné un nom de domaine et j'arrivais via mon portable a voir le nas, je voyais également les dossiers du nas mais pas ce qui était dedans du coup je me suis penchée sur l'ouverture des ports et voilà le travail, j'ai l'impression que quickconnect m'a plus embrouillé qu'autre chose car maintenant je n'ai plus accès à rien??

désolé je ne comprends pas ta question?? :( comment je fais le test pour savoir si j'ai accès a mon nas depuis l'extérieur? j'ai l'impression d'être la dernière des nouilles ...

non le pare feu du nas n'est pas activé