[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Il y a 1 heure, PiwiLAbruti a dit :

est bien l'adresse IP privée du NAS, la règle est bonne

@PiwiLAbruti Donc la règle est bien la bonne... 😭
Tu n'as vraiment aucune autre idée 🙏 ?

@Pingouindunas merci quand même, j'apprécie.
 

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

@Pingouindunas merci, je suis déjà allé scruter ce terrain là et c'est là que j'ai appris qu'il ne serait pas possible de désactiver l'Upnp sur cette box (contrairement à la version précédente).
Par contre je n'ai toujours pas saisi quel impact ça a ? Saurais-tu m'expliquer ou me rediriger vers une ressource pour compréhensible pour novice ?

Merci par avance.

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

il y a 37 minutes, Pingouindunas a dit :

C'est quoi comme box à tout hasard ?

@PingouindunasIl y a bien une option pour désactiver Dmz mais pas Upnp. C'est une "b-box 3V+" fourni par le FAI dénommé Proximus (gros opérateur belge, puisque je suis en Belgique).

Après quelques recherche il apparait qu'il ne serait pas possible de désactiver l'Upnp sur cette box. Je ne sais pas vraiment ce que ça implique dans mon cas. Je veux bien une explication, svp.
Merci !

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Le 06/12/2018 à 21:45, Pingouindunas a dit :

Or je vois que ta box est activée en Upnp.

@PingouindunasJ'ai beau basculer "Yes" sur "No" des 2 lignes et enregistrer la modif, quand je reviens voir quelque temps après c'est repassé sur Yes tout seul. Je ne sais pas quoi d'autre faire sur ce point...

 

Le 06/12/2018 à 21:54, PiwiLAbruti a dit :

la règle PAT/NAT configurée sur le routeur/box

@PiwiLAbruti Comme postée précédemment depuis le debut de mes question sur le forum, je remets la capture ci-après

Le 06/12/2018 à 19:22, camdel a dit :

Si elle este attribuée par DHCP, assure-toi de créer un bail de réservation pour qu'elle ne change pas

Et sur cette question ? Je ne comprends pas. Tu me donne plus d'élément stp ?

Merci par avance de vos retours.

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

mais les ports restent inaccessibles

@PiwiLAbruti C'est à dire ? Je ne comprends pas comment ils doivent être alors. Comme ça ?

 

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

Est-ce que l'adresse IP privée du NAS renseignée dans cette règle est bien la bonne ?

A vous de me le dire. Je fais à la hauteur de ce que je comprends. Synology Assistant (utilitaire) me donne cette information et c'est aussi ce que me dit ma box.

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

poste une capture de cette règle

De quelle règle parle-tu ? de la 5ème ? Je ne comprends pas quel détail en plus je peux donner.
J'ai sélectionné : 

• Sélectionner application intégrées -> 80, 443, 6690
• IP Spécifique -> Hote -> IP.INTERNE.DU.NAS

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

Au passage, est-ce que l'adresse IP du NAS est fixée ou attribuée par DHCP ?

C'est commence à devenir du chinois pour moi. Dans Panneau de configuration > Réseau > Interface réseau "Définir la configuration réseau  automatiquement (DHCP)" est coché comme indiqué dans le tuto de @Fenrir. "Définir comme valeur par défaut" est coché également (comme dans le tuto)

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

Si elle este attribuée par DHCP, assure-toi de créer un bail de réservation pour qu'elle ne change pas

Je ne comprends pas. Soit plus explicite stp, je suis novice 😊!

Le 04/12/2018 à 16:49, Zeus a dit :

Gaffe aussi que le soucis vienne pas du routeur si c'est celui intégré dans la box opérateur.

@Zeus Comment je vérifie cela ?

Pour info à chaque fois que je jette un oeil à la box les règles Upnp (je ne sais pas ce que sait mais visiblement à la lecture de ce fil ça a l'air d'être important) change toutes seules et repassent sur Yes au lieu de No : 

 

Le 05/12/2018 à 00:28, Fenrir a dit :

n'hésitez pas à faire un récapitulatif détaillé d'où vous en êtes et de ce qui ne fonctionne pas,

@Fenrir j'en suis au même point que quand je suis arrivé sur ce forum 😭

Merci par avance de votre coup de main.

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Merci pour le suivi @PiwiLAbruti

Il y a 5 heures, PiwiLAbruti a dit :

Est-ce que le routeur dispose d'un pare-feu ?

 

Oui

• Low: All connection attempts coming from the WAN or initiated from the LAN are permitted
• Medium: All connection attempts coming from the WAN are rejected with the exception
  of those that have been authorized through port forwarding, DMZ or remote access configuration.
  All Services initiated from the LAN are permitted.
• High: All connection attempts coming from the WAN are rejected with the exception of those
  that have been authorized through port forwarding, DMZ or remote access configuration.
  Services initiated from the LAN are restricted to the ones authorized via the rules set in the firewall 
  (common services are covered by default).

Il y a 5 heures, PiwiLAbruti a dit :

Est-ce que les règles sont bien configurées dans le contexte "Toutes les interfaces" du pare-feu du NAS ? (liste déroulante en haut à droite qui n'apparaît d'ailleurs pas dans ta précédente capture)

Oui

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Il y a 15 heures, PiwiLAbruti a dit :

Est-ce que le port concerné (tcp/5001 ou tcp/443 si reverse proxy) est bien redirigé depuis le routeur vers le NAS ?

oui tcp/5001 sur IP interne du NAS (IP fournie par Synology Assistant pour être sûr)

Il y a 15 heures, PiwiLAbruti a dit :

Est-ce que le port est autorisé dans le pare-feu du NAS ?

Je pensais que oui mais il semblerait que je ne comprenne pas bien comment le faire. Je suis preneur d'un peu plus de détail/explication.

J'ai une règle qui est supposée faire cela : 5001/TCP/Belgique&France/Autoriser

Je reprécise à toutes fins utiles que même avant le tuto, sans pare feu donc, je n'arrivais pas à joindre le NAS depuis l'extérieur sauf par QuickConnect.

Il y a 15 heures, PiwiLAbruti a dit :

Est-ce que le port est bien vu comme ouvert depuis http://canyouseeme.org/ ? (Si oui, restreindre immédiatement la zone géographique qui a accès à ce port dans le pare-feu du NAS)

Non.
L''IP suggérée par canyouseeme.org est bien la même que je retrouve dans DDNS / adresse externe Ipv4 mais sur le port 5001 j'obtiens "I could not see your service on ADRE.SSE.EXT.ERNE on port (5001) Reason: Connection timed out"

Il y a 15 heures, PiwiLAbruti a dit :

Quelle adresse utilises-tu pour accéder à ton NAS depuis internet ? (donne-la en MP vu que c'est une information sensible)

MP

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Il y a 4 heures, PiwiLAbruti a dit :

@camdel : Les deux premières règles sont inutiles puisque les 3 règles suivantes (réseaux privés) répondent déjà à ce besoin.

@PiwiLAbruti Ok, je note et retire. Alors comment dois-je procéder pour accéder à mon NAS depuis internet ? Quelle règle dois-je écrire ?

A toutes fins utiles, je reprécise que même en désactivant le pare-feu je n'ai pas accès à mon NAS depuis internet.

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Le 27/11/2018 à 04:37, Fenrir a dit :

@camdel : dans ton FW, aucune règle n'autorise la connexion au port 5001 depuis Internet (ta règle 5 autorise le nas à se connecter à lui même).

@Fenrir J'ai donc retiré le port 5001 de la ligne 5. J'ai ajouté tout en haut des règles, en première ligne donc, une nouvelle règle autorisant le port 5001 pour "Tous". Cf. screenshot ci-dessous. Mais ça ne fonctionne toujours pas. Qu'est ce que j'ai pu faire de travers ?

Merci par avance de tes réponses.

 

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Merci de revenir suivre mon affaire @Fenrir

Le 21/11/2018 à 23:03, Fenrir a dit :

Le port est bien autorisé depuis l'exterieur dans le FW du nas ?

FW c'est pour "pare-feu" j'imagine. Je dirai que oui, mais je peux me tromper. Voici une copie écran :

et aussi dans la box

Le 21/11/2018 à 23:03, Fenrir a dit :

Tu test bien depuis un poste externe à ton lan (en 4G par exemple) ?

oui depuis mon téléphone

Le 21/11/2018 à 23:03, Fenrir a dit :

Tu test bien avec l'ip : https://ip.publique.du.routeur:5001 ?

Que cela soit avec https://ip.publique.du.routeur:5001 ou avec https://toto.synology.me ça ne fonctionne pas.

Dans le premier cas (https://ip.publique.du.routeur:5001)

• Chrome indique : "Ce site est inaccessible. IP.DU.NAS n'autorise pas la connexion."
• Firefox indique : "La connexion n’est pas sécurisée. Les propriétaires de IP.DU.NAS ont mal configuré leur site web. Pour éviter que vos données ne soient dérobées, Firefox ne s’est pas connecté à ce site web."
  Puis en cliquant sur "Avancé" Firefox m'indique "IP.DU.NAS utilise un certificat de sécurité invalide. Le certificat n’est valide que pour toto.synology.me. Code d’erreur : SSL_ERROR_BAD_CERT_DOMAIN"

Depuis la 4G :

• https://ip.publique.du.routeur:5001 avec Chrome me dit : "Ce site est inaccessible. IP.DU.NAS a mis trop de temps à répondre. Essayez les suggestion ci-dessous: Verifier la connexion ERR_TIMED_OUT".
• https://toto.synology.me/5001  avec Chrome me dit : "Ce site est inaccessible. https://toto.synology.me est inacessible. ERR_ADDRESS_UNREACHABLE"

Depuis mon ordi en wifi ça ne charge pas et ça me dit  "Ce site est inaccessible toto.synology.me a mis trop de temps à répondre. Essayez les suggestions ci-dessous : Vérifier la connexion, Vérifier le proxy et le pare-feu ERR_CONNECTION_TIMED_OUT"

Voilà.

Ca t'aide à m'aider ?

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Quelqu'un peux me venir en aide ?

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Le 09/11/2018 à 22:06, Fenrir a dit :

nslookup toto.synology.me 80.67.169.1

l'IPV6 est bien désactivé sur le NAS
@Fenrir nslookup m'a bien renvoyé l'IP indiqué sur le lien que tu m'as donné.

Que me conseilles tu de regarder ensuite ?

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

il y a 19 minutes, Mic13710 a dit :

Où ça ?

Sur la Box.

 

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Merci @Fenrir pour tes réponses.

Dans l'état actuel, j'en suis au même stade et ne peux toujours pas accéder à mon NAS depuis l'extérieur 😭.

Je vais simplifier.
Je mets donc mettre de côté l'utilisation de mon ndd. Cela rajoute une couche de complexité pour moi à ce stade, car il semble que j'ai une IP dynamique (elle a changé après avoir éteint--rallumé la box). Je regarderai cela une fois que j'aurai réussi à avoir accès avec une simple adresse synology de type : toto.synology.me

J'ai revérifié une ultime fois : tout semble conforme au tuto.

J'ai ouvert le port 5001 qui si je comprend bien est sensé me permettre d'accéder à l'interface de gestion.
J'ai bien renseigné l'ip du NAS (adresse confirmée par l'utilitaire Synology Assistant). Et j'ai bien définit les 2 lignes Upnp sur "No".

Mais je n'arrive cependant toujours pas à accéder à toto.synology.me (j'obtiens un "ERR_CONNECTION_TIMED_OUT") et n'en trouve pas la raison.

Pour tester j'ai désactivé le pare-feu pour vois si ça vient de là et ... ça marche pas non plus, impossible de me charger toto.synology.me j'obtiens le même message d'erreur.

Vous avez une suggestion ?

Remarque : je vois que ma box a une adresse IPv6 et prefix IPv6. Et aussi PPP "enable". Est-ce que ça pourrait venir de là ?

 

[Hello tout le monde]

😂j'avais pas saisi.

Et ça ne me rassure pas !

[Hello tout le monde]

Vu l'investissement, je ne vais pas changer d'avis maintenant 😅

Mes besoins sont clairs et exprimés, quand aux outils/applications pour les mettre en oeuvre c'est beaucoup moins clair. Je suis donc allé supprimer 2 paquets qui ne me sont pas a priori utile (Presto File car j'ai pas de licence pour le moment, et Web Station qui ne me sert à priori à rien actuellement).

[Hello tout le monde]

Il y a 12 heures, Fenrir a dit :

Bonjour,

Je profite de ce post pour t'indiquer une bonne pratique : n'installe QUE ce dont tu as besoin.

J'approuve ce que tu dis à 400%, je l'applique tous les jours. Mais encore faut-il que je sache ce dont j'ai besoin ! 😅

De la même manière que cela a été dit par d'autres dans les commentaires du fil de commentaires Tuto Sécuriser son NAS, ce n'est pas évident quand on débarque dans le domaine que de savoir ce dont on a besoin ou pas. Il faut souligner que malgré le fait que Synology (ou d'autres fabricants) markete ses produits comme une solution toute prête et facile à prendre en main... honnêtement on est très très loin du compte et je pense que je suis loin d'être un boulet en informatique quand je regarde autour de moi. J'ai l'impression d'être dans les 90's. Ce n'est ni très intuitif, ni userfriendly, pas d'accompagnement ni se support pour un produit vendu à du grand public, même si c'est pour une utilisation pro. Synology a une marge de progrès évidente pour faciliter la prise en main.

Je fais de mon mieux et vous remercie tous pour votre aide. Ca va fonctionner, j'ai peu de doute là dessus... mais je ne pensais pas y passer des journée.

[[TUTO] Sécuriser les accès à son nas - DSM 6.x]

Bonjour,

Je fait parti des 5% évoqués par @Fenrir au debut de son tuto et de surcroit je suis tout à fait novice en réseau.

J'ai suivi le tuto plus de 3 fois et lu les 18 pages de commentaires sans trouver la solution à tous mes problèmes rencontrés.

 

Mon souhait : créer un environnement sécurisé pour mon activité professionnelle (je suis photographe et vidéaste)

Mes besoins : pouvoir partager mes productions (essentiellement partage de dossiers), permettre l'upload de fichiers à des profils restreint (via comptes utilisateurs présent au Middle East, Asie, USA, Europe), stocker le contenu de manière sécurisé (backup avec Backblaze), pouvoir me connecter en local ou distance (mon métier me fait voyager régulièrement).

 

Note : Le monde du réseau m'est obscur. J'en saisi quelques briques mais je ne souhaite plus y passer davantage de temps pour un besoin aussi basique. Ce n'est ni mon métier, ni un centre d'intérêt actuel. Je peux sûrement révolutionner ma manière de travailler mais ma priorité actuelle est que ces fonctionnalités de base soient opérationnelles, un intérêt peut être peut-être suivra.

 

Le tuto a été scrupuleusement suivi, mais que cela soit avec ou sans le pare-feu, je n'arrive pas à accéder à nomdhote.synology.me et n'est aucune idée d'où ça peut venir, ça fait déjà plus de très longues heures que je suis sur le sujet...

 

Je pense que ça vient principalement des points suivants et souhaite votre expertise :

 

1. Nom d'hôte VS Domaine : Si il y a 2 nom il s'agit sûrement de 2 chose différentes... J'ai un ndd pour mon site, hébergé chez OVH. Je ne sais pas si je peux avoir le même nom de domaine à la fois pour le NAS et mon site web, tout en conservant l'hébergement chez OVH (plus simple pour moi) et ainsi bénéficier de la même adresse, plus simple notamment aux yeux de mes clients. Si c'est possible, je ferai peut être cela dans un second temps mais il me faut filer un lien vers un tuto très détaillé.
Dans l'immédiat  pouvez-vous me confirmer que Domaine et Nom d'hôte peuvent être identique ?

 

2. Certificat SSL était expiré (+de 3 mois), je l'ai renouvelé, avec peine (erreur port 80), mais au final je ne sais comment il me semble désormais valide (cf. image ci-dessus).

 

3. Sécurité/Pare-feu : J'ai un énorme questionnement que la partie pare-feu avec l'IP renseignée en ligne 4. J'ai renseigné la même chose que @Fenrir mais n'ai pas saisi si il s'agit d'un exemple ou s'il faut que je renseigne une autre IP. Si oui laquelle ?

J'ai désactivé le VPN pour le moment, en attendant de résoudre déjà cela.

 

4. Https : J'ai toujours la page "Votre connexion n'est pas privé , Malveillant etc." Comment virer cette page d'erreur et arriver directement sur la page de login?

 

5. Je ne sais pas ce qu'il faut écrire dans la box 

Citation

si votre NAS est derrière une Box, il faudra aussi transférer (forward) les ports sur cette dernière

 

6. Upnp :  Cherchant des solutions, en lisant les commentaires je suis allé dans ma config de ma box et ai regardé si Upnp était désactivé. Je n'ai aucune idée de ce que 'est ni à quoi ça sert. Mais du coup j'ai suivi ce qui était conseillé et désactivé ces lignes. J'ai bien fait ou je dois remettre "Yes" ?

 

7. Conseiller de sécurité : j'ai décoché ce qui était en rouge comme l'a fait @Ric67, désormais tout est vert : c'est une manière un peu bizarre de résoudre des alertes. Anyway, vous savez mieux que moi.

 

Merci beaucoup par avance de vos réponses.

[Hello tout le monde]

Bonjour,

J'approche dangereusement de mes 35 ans, je suis de niveau moyen en informatique : je me suis toujours débrouillé mais là je bloque dans la config, il me manque visiblement des connaissances, d'où mon inscription au forum.

Pour mes besoins professionnels (photographe et réalisateur) j'ai fait l'acquisition d'un DS1817+ 8GB avec 4 disques de 6Go en RAID 10, et je découvre Synology par la même occasion et penserai que ce serait plus simple de prise main pour ce que je souhaite faire.

J'ai installé les paquets suivant, parfois sans être certain de leur utilité :

• Docker
• DNS Server
• Presto File
• Drive
• File Station
• Web station
• Cloud Sync
• OAuth Service
• Visionneuse de documents
• VPN Server
• nodejs. v4
• universal search

Mes besoins : 

• Stockage => ok
• Synchronisation B2 (Backblaze)=> ok
• HTTPS => à priori ok
• Sécurisation => Pas ok - accès extérieur pas possible  - non résolu 
• Accès depuis extérieur pour moi  => Pas ok - non résolu
• Accès depuis extérieur pour mes clients (besoin de proposer de l'upload de fichier et plus classiquement du download de mes productions) => Pas ok, dépend des 2 points précédents 
• d'autres besoins mais pas urgent pour le moment

Je vais probablement être davantage demandeur qu'apporteur de réponses, et vous remercie chaleureusement par avance de votre aide.