tortue du numérique

Merci de ta réponse EVOTk Je viens de faire la demande auprès de Free. Une nouvelle adresse IPV4 m'a été attribuée. Bonne journée à tous 😀 EDIT : c'est bon, c'est fait. Redémarrage de la freebox Modification DDNS sur le NAS des nouvelles IPV4 et IPV6 (Accès externe > DDNS) -> génération d'un nouveau certificat let's encrypt -> Paramétrage du nouveau certificat pour mes services (Sécurité > Certificat) -> Suppression de l'ancien certificat

Bonjour à tous, J'ai lu les 3 pages du post car je suis dans le même cas. Sans prévenir, Free m'a basculé en IP partagé = dysfonctionnement des services distants donc appel au 3244. Le gars me dit que j'ai mal configuré la plage de DHCP (alors que tout allait bien jusque là et que je n'ai rien modifié). J'ai suivi ses conseils et tenté de changer la plage DHCP mais c'était pire (forcément, il m'a conseillé de configurer la plage pour qu'elle couvre mes baux statiques ooOO). Retour en arrière et recherche sur le web. Et évidemment, j'ai découvert la même chose que vous :la plage des ports a changé : les ports qui me sont attribués vont de 16384 à 32767. - J'ai modifié les ports des applications dans le portail des applications et créé les redirections correspondantes dans la freebox. Cela m'a permis de retrouver l'accès distant à surveillance station, file station, video station et audio station. - Pour DSM, j'ai modifié le port HTTPS dans Réseau > Paramètres de DSM et créé la redirection dans la freebox. - Pour l'accès distant à DS Photo, j'utilisais avant le port standard, 5001. Mais comme il est maintenant hors plage, j'ai choisi un port dans la nouvelle plage et là aussi créé la redirection dans la freebox. Jusque là, je pense que je n'ai pas fait trop de bêtise car tout à l'air de fonctionner. J'ai ensuite voulu renouveler le certificat et là, ça se complique. Le certificat demande d'avoir accès au port 80 et 443. Hors ces ports sont hors plage pour moi. D'où mes questions : - comment gérer le problème pour les ports 80 et 443 ? - Suis-je obligé de passer par l'ip full stak ?

Merci d'avoir pris le temps de me répondre. C'est dingue, c'est pourtant le propre d'un NAS de pouvoir stocker, modifier et partager des documents, non ? Synology pourrait développer une app dans ce sens plutôt que passer de l'énergie à développer Moment par exemple :) Bon, je vais garder mon app numbers dans ce cas, mais mon stockage commence à saturer.

Bonjour à tous, Je ne comprends pas comment modifier un document présent dans le NAS via l'application DRIVE sur IOS. Exemple : J'ai une feuille de calcul que je souhaiterais pouvoir modifier via mon Iphone lors je suis en déplacement. Cette page https://www.synology.com/fr-fr/dsm/feature/office semble expliquer qu'on peut le faire. Mais aucune trace de Synology Office dans l'App Store et à première vue, aucune possibilité de modifier mon fichier depuis l'application Synology Drive. Pouvez-vous m'expliquer comment faire ? D'avance merci de vos réponses 🙂 Matériel : DS216play DSM 6.2.2-24922 update 2

Ok merci.. je croise les doigts pour que ça ne soit pas une tentative d'usurpation alors..

Dans panneau de configuration > Sécurité > Certificat, la date indiquée est 23 11 2018. Soit un mois de plus que la date du jour = le certificat ne vient pas d'être renouvelé. Que faire dans ce cas ?

Merci de votre réponse Mic13710 🙂 Le certificat se renouvelle effectivement tout seul (enfin il me semble). Comment savoir s'il s'agit d'un message cohérent ou d'une usurpation ?

Bonjour à tous, J'ai régulièrement des messages d'avertissement à l'ouverture des applications synology sur téléphone mobile IOS, que ce soit en 4G ou en wifi. J'ai un DS216 play avec DSM 6.2.1-23824 update 1 et certificat let's encrypt configuré sur NomDeMonNas.synology.me Le message sur le téléphone est du type : Je n'ai pas touché à la configuration sur le NAS. Comment savoir s'il s'agit d'un faux-positif ou d'une véritable tentative d'attaque ? Comment ne plus avoir ce type de message ? D'avance merci de votre aide 🙂

Le message test (push) de surveillance station fonctionne à toute heure. J'ai vu ailleurs sur le forum que d'autres utilisateurs avaient été obligé de désinstaller/ réinstaller la caméra pour résoudre ce genre de problème. Je me suis connecté via l'interface Trendnet et j'ai tout réinitialisé. Retour sur Surveillance station et reparamétrage des enregistrements et notifications. Ça a l'air de fonctionner :)

J'ai vérifié : rien dans règle d'action et paramètres ok dans Notifications. Par acquis de conscience j'ai supprimé la planification dans Notification, puis je l'ai réactivée en 24/24. Mais ça ne fonctionne toujours pas... Mes notifications ne fonctionnent que sur certaines tranches horaires... pas en 24/24.

Merci de ta réponse Fenrir. Je regarde ça et reviens pour vous dire le résultat :)

Personne pour m'aider ? Aurais-je oublié un réglage quelque part ?

Bonjour à tous, J'ai un souci avec les notifications et enregistrements de Surveillance station et j'espère que vous pourrez m'aider à le résoudre. Tout fonctionnait bien les premiers temps, mais depuis quelques semaines, notifications et enregistrements ne fonctionnent que sur certaines heures (00h00-05h00 / 16h00-23h) et partiellement. Je me souviens avoir appliqué ces horaires dans les réglages de surveillance station pendant ma phase de tests mais depuis, j'ai remis les paramètres en 24/24 mais ils ne sont pas pris en compte (malgré de très nombreuses tentatives). Je me suis aussi aperçu que je suis notifié des détections de mouvement, falsifications et rotations d'archives, mais je ne suis plus alerté lorsqu'il y a une coupure de courant, un redémarrage ou autre événement DSM (ni par mail, ni par notification push). Avez-vous déjà rencontré ce type de dysfonctionnement ? Paramètres surveillance station : Modifier caméra > paramètres d'enregistrement > Planification : 24/24 détection de mouvement Caméra Ip > Détection d’événement : source de détection : Surveillance station | sensibilité 85 | seuil 75 | zone de détection définie et testée Notifications > Service Push > Activer les notifications des appareils mobile (coché) | Dscam et Dsfinder lié | message test ok (à toute heure) Notifications > Paramètres > surveillance station : mail et mobile (tout coché) idem pour DSM | Modifier la planification : active 24/24 pour tout Je n'utilise pas le logiciel Trendnet. Technique : DS216Play (DSM 6.1.1-15101 Update 4) Surveillance station 8.0.3-5159 Caméra Trendnet TV-IP420P

Merci de tes réponses Fenrir. Je peaufine ça dans la journée. Avec les paramètres actuels : En interne, aucun souci, le nas est accessible par PC et les apps fonctionnent toutes très bien. A distance, j'arrive à me connecter en https à mon.domaine.synology.me pour consulter le site wordpress que j'ai installé sur le nas, mais impossible d'utiliser DSaudio.

Bon, j'ai fait le tour du premier tuto :) J'ai réussi à appliquer 80% des recommandations de Fenrir mais j'ai encore quelques zones d'ombre (en orange ci-dessous). Merci d'avance à ceux qui prendront le temps de lire et de répondre à mes quelques questions :) Récapitulatif des modifications suite à la lecture du Tuto de Fenrir : Pour être certain de n'avoir rien raté (le tuto est très complet), je vous mets la check-list que je me suis faite :) Horloge : Choix d’un serveur horaire fiable : pool.ntp.org Activation de la fonction NTP pour que les autres appareils se servent du NAS comme horloge. Service de fichiers : Désactivation des services inutilisés (FTP, NFS, TFTP, MAC) -> faut-il activer certains services pour les apps Synology ? Activation de SMB 3 pour chiffrement de la communication avec windows en AES Désactivation du verrouillage opportuniste Activation du module VFS MSDFS Utilisateur : Création du SuperAdmin : pour administrer une application, se connecter avec cet administrateur, lui donner les droits, faire le réglage et retirer les droits. Activation de la vérification en 2 étapes Création des comptes utilisateurs Quickconnect Désactivé Accès externe DDNS : inutile si IP fixe comme chez freebox Configuration du routeur : "Ne cliquez pas ici, ça fait partie des options que Synology devrait vraiment retirer de ses boitiers. C'est très dangereux du point de vue sécurité." Les redirections de port se configurent dans l'interface Freebox > Gestion de ports > Redirections. Désactivation de l'UPnP IGD sur le routeur "sinon tous les équipements de votre réseau pourront faire de l'ouverture dynamique de port, le PC qui vient de se prendre un virus pourra automatiquement, sans la moindre notification, ouvrir un port permettant à un attaquant d'entrer dans votre réseau" Configuration du nom d'hôte ou l'ip statique dans l'onglet accès externe > avancé pour permettre l'ouverture de fichiers à distance (lien de partage par exemple) -> J'ai mis mon.domaine.synology.me, c'est bon ? Réseau Interface réseau > LAN : Du point de vue confort, fiabilité et sécurité, l'attribution dynamique (DHCP) est recommandée, néanmoins, certains services nécessitent d'avoir une adresse IP fixe. "Si vous choisissez DHCP, fixez l'adresse dans votre serveur DHCP (votre box probablement), si vous choisissez l'IP en dur, prenez une IP en dehors de la plage DHCP" -> j'ai activé DHCP dans cet onglet sur le nas et j'ai attribué une adresse fixe pour le nas sur le routeur. c'est bon ? Désactivation de l'IPv6 Paramètres de DSM Garder les ports par défaut (Si vraiment vous souhaitez les changer depuis Internet, faites-le sur votre box ou avec un "reverse proxy"). ça tombe bien je ne les avais pas changé :) Ne pas rediriger automatiquement les connexions HTTP vers HTTPS si on expose pas DSM directement sur Internet (il y a un serveur VPN pour ça), dans le cas contraire, activez la redirection. -> Je souhaite pouvoir utiliser les apps DSM à distance... est-ce l'exposer directement sur Internet ? Dans ce cas, je dois rediriger automatiquement en https et cochez l'option dans mes apps avant connexion ? Pour la dernière option, l'HSTS, ne l'activez que si vous n'accédez jamais à votre NAS autrement qu'en HTTPS (c'est votre navigateur qui enregistrera cette information et il ne vous laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé). -> si redirection HTTP en HTTPS activée, activer également HSTS, c'est bien ça ? Sécurité Améliorer la protection contre les falsifications de requêtes inter-site Améliorer la sécurité et grâce à l'en-tête HTTP Content Security Policy (CSP) Ne pas permettre que DSM soit incorporé dans Iframe Effacer toutes les sessions de connexion de l'utilisateur sauvegardé au redémarrage du système Pare-feu (toutes les interfaces) Tous ports, tous protocoles pour : 10.0.0.0/255.0.0.0 : trafic du tunnel VPN 172.16.0.0/255.240.0.0 -> quel est ce trafic autorisé ? 192.168.0.0/255.255.0.0 : trafic du réseau local freebox En plus des réseaux locaux (ou privés), j'autorise les services suivants : ports TCP 80 et 443 depuis l'adresse 192.0.2.3 ? -> c'est quoi cette adresse ? Pour le moment, réglé sur France port UDP 1194 (OpenVPN) uniquement depuis la France Si votre NAS est derrière une Box, il faudra aussi transférer (forward) les ports sur cette dernière -> c’est-à-dire ? il faut ajouter les redirections ci-dessus dans la freebox ? Une recommandation, n'autorisez pas l'accès en direct à DSM (ports TCP 5000 et 5001 par défaut) depuis Internet mais servez vous du portail des applications (cf plus bas) pour limiter les accès aux seules applications nécessaires. Si vous devez administrer votre NAS depuis Internet, l'utilisation du Serveur VPN est vivement conseillée. -> donc il ne faut pas rediriger les ports 5000 et 5001 en TCP dans la freebox. Mais faut-il le faire en UDP ? je ne comprends pas trop la différence Protection Activation de la protection DoS Certificat Installation d'un certificat Let's encrypt grâce à mon.domaine.synology.me Désinstallation du certificat d'origine Avancé N'activez jamais la compression HTTP (il y a une faille de sécurité dans ce protocole qui rend l'HTTPS inefficace) et utilisez les suites de chiffrement "moderne". Notifications Activation des notifications mails et/ou SMS et/ou push Mise à jour et restauration Télécharger les maj mais me laisser choisir de les installer tout seul. Désactivation des maj auto dans le centre de paquet Privilèges (Permet de limiter les accès à certains utilisateurs ou groupes - ok) Portail des applications -> là je patine complètement !! Je souhaite pouvoir utiliser les apps de base à distance (dsaudio, dsphoto, dsvideo, dscam, ds note, ds cloud). En suivant l'exemple de Fenrir, j'ai essayé de configurer DSaudio mais ça ne fonctionne pas pour moi... J'ai activé les ports personnalisés HTTP et HTTPS pour l'application DS audio. J'ai autorisé ces 2 ports dans le pare-feu de DSM Depuis Safari en 3G : si j'essaye https://mon.ip.publique:port choisi https -> ça rame, puis, safari n'a pas pu ouvrir la page car le serveur ne répondait plus si j'essaye http://mon.ip.publique:port choisi http -> ça rame, puis, safari n'a pas pu ouvrir la page car le serveur ne répondait plus si j'essaye https://mon.domaine.synology.me:port choisi https -> ça rame, puis, safari n'a pas pu ouvrir la page car le serveur ne répondait plus si j'essaye http://mon.domaine.synology.me:port choisi http -> ça rame, puis, safari n'a pas pu ouvrir la page car le serveur ne répondait plus Depuis DS audio : si j'essaye mon.domaine.synology.me:port choisi https avec option https et vérification du certificat -> pas de connexion si j'essaye mon.domaine.synology.me:port choisi http sans option hhtps et sans vérification du certificat -> pas de connexion Fenrir précise que la seconde partie de l'exemple n'est réalisable qu'avec du loopback ou si on a un DNS en interne ou qui gère les vues, il en parle à la fin du tuto VPN) Le tuto VPN est plus technique... Je crois avoir correctement configuré OpenVPN mais je n'en suis pas certain. Du coup, comme ça ne fonctionne déjà pas pour l'accès distant avec ma configuration, je n'ai pas essayé la seconde partie pour le proxy inversé. extrait du tuto : J'ai ensuite configuré le Proxy inversé pour faire correspondre les différentes applications avec des noms de domaine différents mais sur un seul port (tcp 443/https). J'ai aussi créé une entrée pour une application non Synology (il s'agit ici d'un Docker) : => depuis DSAudio, j'entre l'adresse dsaudio.mon.domaine:443 Nb : dans les applications mobiles, il ne faut pas oublier le numéro de port dans l'adresse pour que ça fonctionne de partout (en interne comme depuis Internet), sinon certaines d'entre elles essayent systématiquement de trouver une configuration QuickConnect (qui n'existe pas chez moi) Terminal et SNMP Activation du SSH avec mode de chiffrement le plus élevé, c'est souvent la seule manière de débloquer la situation sans devoir faire un reset du NAS Conseiller de sécurité Tous les tests sauf changement port HTTP, HTTPS et SSH sont OK