This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

i-Moi

Membres
  • Compteur de contenus

    19
  • Inscription

  • Dernière visite

À propos de i-Moi

  • Rang
    Initié

Profile Information

  • Location
    Paris
  • Interests
    NAS, Home Cinéma and Family multimédia, Raspberry, Domotics, Mac

Visiteurs récents du profil

Le bloc de visiteurs récents est désactivé et il n’est pas visible pour les autres utilisateurs.

  1. Salut à tous j'utilise Google Drive, et je voudrais lui adjoindre Synology Drive pour compléter, et le faire de façon sécurisée. Pour Google Drive, c'est un même réglage à saisir, et la synchro se fait que je sois chez moi ou à l'extérieur. Mais dans Synology Drive, je ne trouve pas la bonne façon de faire pour avoir un seul et même réglage de connexion, qui marche en local comme en distant. Et, question complémentaire qui a un lien direct avec la première : est-ce que se connecter en VPN au NAS offre plus de sécurité pour la synchro avec Drive ou bien est-ce redondant avec le cryptage SSL proposé par Drive ? Ce qui marche/marche pas En déplacement et via VPN : je donne à Drive l'adresse du type 10.8.0.X et ça marche : 👍 A la maison sans VPN : je donne à Drive l'adresse IP local (192.168.1.X), ça marche aussi : 👍 A la maison sans VPN : je donne l'adresse DDNS fournie par Synology ou No-IP, ça ne passe pas : 👎 Pour moi, la logique eût été de mettre l'adresse DDNS partout, et normalement ça devrait rouler. Que suggéreriez-vous ? Merci !
  2. Bonjour, j’avais la même question. Donc dans le fichier html on met l’adresse externe de nos services et non l’adresse locale ? Je voudrais que la personne de l’extérieur tape www.toto.com et débouche sur la page index.html de web station qui lui dise « bonjour où voulez-vous aller ? Voici Drive, Vidéo Station, Moments, etc » avec un lien pour chaque. Or ces liens pourraient aussi bien être au format http://192.168.1.xx:10001 etc puisqu’on est sur le réseau local. Donc on met l’adresse externe du type video.toto.com ? (étant entendu que www.toto.com ayant été réglé chez le registrar en zone DNS A et les sous-domaines en CNAME) bonne journée !
  3. i-Moi

    [Tuto] Reverse Proxy

    grand merci !
  4. i-Moi

    [Tuto] Reverse Proxy

    Eurêka ! Après des semaines d’efforts, j’ai réussi à faire marcher le Reverse Proxy, et les obstacles rencontrés pourront peut-être aider les autres. merci pour ton retour, @oracle7, et pour répondre à la question du DDNS, qui te semblait inutile, tu partais du principe que l’adresse IP est fixe (comme chez Free), mais chez Orange ce n’est pas le cas. On est donc obligé d’ajouter le maillon à la chaîne… Rien ne marchait au début et vu le nombre de points où ça peut foirer, c’est complexe de déterminer où. J’ai suivi l’excellent Tuto de @Kawamashi avec toutefois une exception : au final, je n’ai pas eu à créer de page index.html mais j’ai suivi le reste, comme je pouvais. en résumé, pour les super super débutants comme moi : le schéma courant est : 1-on a un nom de domaine (ndd) qui pointe vers (=>) 2-un DynDNS (ddns) => 3-la Box-routeur (routeur) qui a une IP non fixe* => 4-NAS => 5-Reverse Proxy => 6-Service demandé (File station, Drive, Vidéo Station, etc) (* si on a une IP fixe comme chez Free, le ddns est inutile, ignorer l’étape 2) A chacun de ces étapes, quelque chose peut clocher. Il m’a fallu longtemps pour trouver où était la c... disons le problème. PROBLÈME 1 : Déjà, mon registrar ndd dispose d’un outil « sous-domaines », au nom mille fois trompeur. Comme on va utiliser des sous-domaines pour atteindre le NAS, on pense que c’est la fonction idoine. Or, ce n’est pas là qu’il fallait agir, et c’est hélas ce que leur support technique m’avait conseillé, quand j’hésitais entre CNAME et Sous-domaines. Il fallait aller, comme indiqué dans le Tuto puis rappelé par @oracle7, dans l’éditeur DNS, et créer un CNAME pointant vers le ddns. Pour ma défense, je dirai que : 1) l’éditeur de zone DNS du registrar est plus intimidant 2) le registrar me présentait son outil « Sous-Domaines » comme l’outil ad hoc PROBLÈME 2 : Le ddns : on a le choix du fournisseur de ddns et de l’emplacement du service. En effet, si on prend l’exemple d’Orange, la Livebox permet de se connecter à des ddns comme No-IP. Le NAS aussi : je n’ai pas noté de différence, ça marche aussi bien sur la LB que sur le NAS, mais je préfère mettre ce service sur le NAS pour l’instant, la Livebox est déjà à la peine chez moi, trop de périphériques wifi, elle rame. Le vrai problème est le fournisseur : No-IP ou Synology ? De prime abord, Synology avait tout pour plaire : c’est intégré, on a un vaste choix, et pas besoin de renouveler tous les mois. Chez No-IP, C’est gratuit aussi, mais il faut confirmer tous les mois. Les deux fonctionnent bien, SAUF avec le Reverse Proxy. Si je passe par le ddns Synology, ça ne marche tout simplement pas. Je tape l’adresse ndd.fr, je vois qu’il renvoie vers le ddns Syno, et je n’arrive jamais sur le NAS. Et ce, Firewall actif ou pas (et Firewall de la Box réglé sur moyen comme c’est recommandé). Si je passe par No-IP, ça marche instantanément. Plus clairement : dans l’éditeur de Zone DNS, chez le registrar, si je mets en CNAME que video.ndd.com => pseudo.synology.me, le reverse Proxy ne marche pas. A l’instant où je remplace pseudo.synology.me par pseudo.noip.com ça roule. Et pourtant, le DDNS de Synology marche : si je tape pseudo.synology.me:numéro de port, ça marche. Quelle explication verriez-vous à cela ? Par la suite je publierai peut-être un Tuto pour les Nuls comme moi, bien plus basique que celui de @Kawamashi, qui est d’un trop grand niveau pour moi. (J’ai été perdu au moment du .htaccess et index.html) Et j’ai pas fini, je dois maintenant m’attaquer aux certificats et au VPN... questions : 1) Let’s Encrypt me renvoie une erreur de connexion. Je dois réessayer mais dois-je y mettre l’adresse du ddns ou du ndd ? Et si c’est le ndd, acceptera t il les wildcards pour que tous les sous domaines soient pris d’un coup, même si c’est chez No-IP ? 2) dans la fenêtre d’infos du Reverse Proxy pour une application, @Kawamashi recommande de cocher HSTS. D’autre tutos recommandent de cocher les deux : HSTS et HTTP/2. Quelle différence et quels effets ? 3) si je décide de basculer le DDNS et les certifs vers une formule payante (le bricolage le devient un peu pesant, surtout si c’est pas trop cher de payer), pour plus de fiabilité et sûreté, laquelle recommanderiez-vous ? merci à tous ! i-moi
  5. i-Moi

    [Tuto] Reverse Proxy

    Bonjour à tous. J’ai suivi le Tuto et je ne maîtrise pas la partie web station, je bute sur l’écran blanc suivant : index of/ cgi-bin date modified etc.. j’ai un nom de domaine (ex : www.toto.com) qui pointe vers mon ddns (Par ex toto.synology.me). Comme la plupart d’entre nous je voudrais que video.toto.com m’amène vers video station sur le NAS, que surveillance.toto.com m’amène vers le NAS, etc. J’ai réglé routeur et firewall pour ça, crée les regles reverse proxy, etc. J’ai suivi la partie Web station du Tuto, et créé le fichier .htaccess. J’en suis là car je ne sais pas du tout quoi faire sur la partie édition d’un fichier html pour rediriger vers les services adéquats. d'autre part, question : A priori le ddns synology permet les wildcards. Donc je devrais pouvoir saisir video.toto.synology.me 1) dans les règles du reverse proxy, est-ce l’adresse ndd ou ddns que je dois saisir comme adresse source ? vidéo.toto.com ou video.toto.synology.me ? 2) que faire pour index.html pour ne pas aboutir à l’écran index of/ ? merci à tous !
  6. Grand merci @oracle7 Ça c’est intéressant mais je ne comprends pas bien : si je ne dispose pas d’une IP fixe, comment monsite.com peut-il pointer vers le NAS ? Mon registrar ne gère pas de DDNS, je ne vois pas comment sortir du schéma : monsite.com —> monsite.no-ip.com —> box —> NAS D’ailleurs, 2 questions subsidiaires : 1) la Livebox d’Orange gère No-IP.com et le NAS aussi : laquelle paramétrer en priorité ? 2) pourquoi préférer No-IP.com au service équivalent proposé par Synology (dscloud, etc) ? bonne journée et bon courage à tous !
  7. Merci @oracle7 ! Questions subsidiaires qui aideront peut-être un jour les débutants comme moi : si je comprends bien, le reverse proxy est la seule façon d'ouvrir très peu de ports (443 en l'occurrence) et donc permet de mieux sécuriser l'accès externe, plutôt que d'ouvrir un port par application, c'est cela ? Je résume ici ce que j'ai compris en quelques bullet-points, ça pourra peut-être servir pour que chacun ait en tête les étapes essentielles de la sécurisation (pour synthétiser maladroitement le formidable tuto de Fenrir). En gros, c'est comme un gâteau mille-feuilles ou un immeuble, en partant du Rez de chaussée : on crée si besoin un ddns (no-ip.com ou idem chez syno 🙂 ceux qui sont chez Free peuvent ignorer cette étape) Question : comment préciser les sous-domaines quand on a un DDNS ? Ça se fait uniquement au niveau NAS ? Question : mettons qu'on ait acheté un domaine toto.com, et que celui-ci redirige vers toto.no-ip.com. Les sous-domaines et leurs DNS doivent être paramétrés chez l'hebergeur de toto.com ? Question : j'ai lu quelque part que QuickConnect était surtout à proscrire car le trafic passait par l'Asie, mais que si on créait dans le pare-feu du NAS une règle géographique excluant l'Asie, le trafic passait par l'Allemagne, et que du coup c'était plus sécure et qu'on pouvait dès lors sans problème utiliser QuickConnect, qui est en soi un VPN, ce qui simplifie quand même beaucoup les choses : est-ce aussi votre avis ? on crée des règles de pare-feu comme indiqué (VPN autorisé, local autorisé, rien d'autre) on crée dans le proxy inversé les sous-domaines nécessaires à chacune des applications utilisées en distant, par ex : Surveillance Drive Moments Question : Plex utilise le 32400 : à garder tel quel ou à intégrer au Proxy Inversé ? on ouvre le port 443 sur sa box ou son routeur, ce qui fait que la box-routeur enverra tout trafic vers ce port-là, et le NAS distribue en fonction du proxy inversé. on configure le VPN Question : il semble que L2PT/IPSEC soit à recommander pour se connecter depuis un smartphone, non ? Ou bien on prend Open VPN ? Merci à tous pour vos commentaires !
  8. Merci @oracle7 pour ces explications ! donc si on se connecte en VPN, rien de spécial à paramétrer dans le pare-feu pour les services tels que Moments, DS vidéo, Drive, Surveillance, etc ? bonne soirée confinée 😉
  9. Salut à tous dans son (comme toujours excellent) message du 23 nov 2017, Fenrir propose une config pour le pare-feu du NAS : j'essaie de comprendre cette liste en la décortiquant pour bien saisir l'utilité de chaque ligne, afin de l'appliquer à mon cas, et que ça serve aux autres. La revoici en pièce jointe et au format texte : Protocole IP Source Action Tous 10.0.0.0/255.0.0.0. Autoriser Tous 172.16.0.0/255.240.0.0 Autoriser Tous 192.168.0.0/255.255.0.0 Autoriser Tous Tous Refuser Voici les questions que je me pose : quelle est la signification des 2 premières lignes ? (10.0.0.0, et 172.16.0.0, etc ?) je crois comprendre que la 3e ligne correspond à la box/routeur, en l'occurrence probablement une Freebox ? j'imagine que pour l'adapter à une Livebox ou une Bbox ou SFRbox (qui semblent avoir les mêmes paramètres), on doit mettre 192.168.1.0/255.255.255.0 ? La 4e ligne sert donc à interdire tout ce qui n'est pas autorisé Y a-t-il un filtrage par territoire géographique ? Ou pas nécessaire ? Ces réglages permettent-ils l'accès à distance par VPN, si un jour on se lance dans l'aventure ? Pour accéder à Plex depuis l'extérieur, suffit-il d'ajouter une redirection du port 32400 ? Dans l'idéal, on devrait arriver à une config, basée sur les conseils de sécurité de Fenrir, qui puisse servir aux 4 principales box françaises, et qui couvre les besoins suivants : Autoriser les accès depuis le réseau local sans restriction : c'est le cas des réglages de Fenrir, à adapter selon la box utilisée, et en fonction des conseils qu'il va nous donner, suite aux questions posées plus haut dans ce post. Autoriser les accès à distance des 2-3 utilisateurs principaux (Papa, Maman, Ados) pour les fonctions courantes : VPN Plex et/ou Video Station Photo Station et/ou Moments Drive WebDav Partage de fichiers (FTP ou autre) D'après Fenrir et vous autres, chers confrères de NAS, quels réglages ? Merci pour votre aide ! Bon courage i-Moi
  10. Bonjour à tous Il y a quelques mois, j’ai suivi à la lettre le magnifique Tuto de Fenrir, MAIS j’ai aussi installé le paquet non officiel Domoticz pour Synology. Un beau jour, DSM m’a interdit tout accès, et le support de Syno, après analyse des fichiers logs, m’a affirmé que j’étais victime d’un piratage et que le coupable était la vulnérabilité du package Domoticz. Je n’ai jamais su si : A-c’était vrai, et que c’était là la faille qui, malgré la sécurisation des accès distants, avait permis a des hackers d’entrer. B-c’était faux et que Syno cherchait simplement un bouc émissaire pour se dédouaner. C-c’était faux et que le Tuto de référence demandait à être complété désormais, car des hackers y avaient trouvé des failles. De plus, B et C ne sont pas exclusifs l’un de l’autre 🙂 Je pose donc la question : d’après votre expérience personnelle, qu’en est-il ? 1-depuis que vous avez suivi le célèbre Tuto (grâces lui soient rendues), rien à signaler ? 2-avez-vous, vous aussi, eu des mésaventures avec le paquet Domoticz ? bonne journée et merci à tous, Fenrir en tête évidemment.
  11. Salut à tous je suis extrêmement admiratif (je l'ai dit quand j'ai découvert ce fil) du travail fait par Fenrir, mais force est de constater que le fait de l'avoir suivi à la lettre n'a pas suffi. Le support technique de Synology, suite à une anomalie de comportement (le système refusait de mettre à jour le paquet Service d'Applications Synology), est intervenu à distance et m'a informé que mon NAS avait été hacké. J'avais passé des jours à faire cette config, afin que personne, jamais, ne s'y infiltre, mais cela n'a pas été assez. Je suis bien conscient que nulle protection n'est parfaite, mais là, je suis découragé : étant loin d'être un spécialiste de l'informatique, n'ayant aucune connaissance particulière en réseaux (je sais faire marcher un Mac et une box, en gros) je n'ai pas les compétences nécessaires (et peu de gens les ont, du reste) pour augmenter la sécurité de mon installation. Je pensais dire au revoir à Google Drive, à Apple Photos, à Google Calendar et à iCloud Contacts (bref : au Gafa), mais je réalise que je vais devoir limiter mon NAS à être un serveur 100% domestique, dédié à du stockage, du partage en local et —si possible sans créer une faille— être un serveur Plex accessible de l'extérieur. Qui sait comment configurer un NAS pour faire juste cela, en toute sécurité, derrière une Livebox ? Grand merci !
  12. Salut à tous Retour d'expérience rapide mais conclusif en ce qui me concerne : s'il y a bien une fonction d'Evernote que j'utilise 1000 fois par jour, c'est le fait de transférer un mail que je reçois vers Evernote, en faisant simplement "transférer" dans mon client email, et en mettant l'adresse fournie par Evernote (ex : toto95xjhry@m.evernote.com). Or c'est LA fonction totalement absente de Notes sur Synology... Et d'autre part, comme j'ai dans les 8000 notes, l'accès est trop aléatoire en effet. Je reste donc sur Evernote pour l'instant, mais je crois que de toute façon, tout usage qui implique l'instantanéité suppose que le NAS n'est pas l'outil idoine. Bonne soirée à tous i-Moi
  13. Merci beaucoup Alan, je regarde et je vous dis.
  14. Ça m’intéresse aussi, même pb : personne n’a une idée ? mes infos : CardDav : ok via VPN en local ou de l’extérieur (avec ddns), sur iOS . CalDav marche sans pb -https activé -redirection http vers https activée -Firewall de DSM autorise les connections vers le serveur CardDav -le Routeur (Livebox) forwarde les ports externes CardDAV (8008 et 8443) vers les mêmes ports en interne en TCP. -Domoticz est installé sur des ports proche Merci beaucoup ! i-Moi
  15. Salut à tous j'ai le même problème. La je suis un vieux guerrier blessé et épuisé par des nuits de combats contre DSM (à jour), CardDav et la Livebox... (CalDav marche. CardDav ne marche pas : j’ai pas mal d’adresses, donc si vous pensez qu’un NAS ne peut pas gérer dans les 500 adresses, je laisse tomber tout de suite.) J’ai bien sûr suivi le tuto de Fenrir sur la sécurisation du nas, et j’utilise donc VPN pour l’accès extérieur vers les applis Synology (DS File, Cloud station, DS Cam, etc.) CardDav : j’arrive à m’y connecter par VPN de l’extérieur ou via le LAN, le tout sur iOS . Mais impossible d’accéder de l’extérieur de façon normale, cad ddns, en http ou https (NB : en VPN, le https marche. Et avec CalDav, le ddns marche très très bien) -https est activé -redirection http vers https activée -le Firewall de DSM autorise les connections vers le serveur CardDav -le Routeur (Livebox) forwarde les ports externes CardDAV (8008 et 8443) vers les mêmes ports en interne en TCP. -Domoticz est installé sur des ports proches quelqu’un aurait-il une idée ? Merci beaucoup ! i-Moi