Aller au contenu

i-Moi

Membres
  • Compteur de contenus

    26
  • Inscription

  • Dernière visite

Tout ce qui a été posté par i-Moi

  1. Bonjour à tous, je cherche de l'aide car je me suis perdu dans la config pour faire pointer mes Noms de Domaines (NDD) vers le DDNS de mon NAS, avec des Certifs à jour : mes NDD sont chez OVH et O2Switch, et si quelqu'un peut m'aider à distance, parlons-en. Merci beaucoup ! Ma config : Fibre, Synology DS218+, MacOS et Livebox. Bonne journée à tous
  2. Salut j’ai justement publié sur le groupe Facebook NAS-Forum un Tuto (qui est en attente de validation pour ici) et qui explique justement comment faire. Au final, c’est parfaitement simple, puisque tu peux tout à fait avoir un raccourci dans ton navigateur, et tu as juste à cliquer sur le fichier puis « partager » et voilà. Et sur le téléphone c’est encore plus simple puisque ton application sera déjà paramétrée : tu cliques dessus, elle se connecte tu choisis le fichier que tu veux envoyer et il part. On peut pas faire plus simple. Enfin, et c’est en partie le sujet de mon tuto, pour des questions d’image, il est quand même plus élégant d’envoyer un lien qui contient ton propre nom de domaine que celui de Wetransfer. bonne journée !
  3. Bonjour à tous Depuis un an et demi, je traque le bug ou l'erreur qui m'empêchent d'installer un certificat sur mon Syno (pas à plein temps, il y a aussi un bébé et un boulot à côté 😉) Je savais que les scripts ACME et DSM avaient subi des évolutions, et j'ai donc béni @Einsteinium de publier ce Tuto, qui est remarquable. Etant moi-même un novice doublé d'un lent à comprendre, j'ai pensé que cette faiblesse pouvait être utile à d'autres, et je partage donc avec vous tous les points qui m'ont posé problème dans le tuto, afin que peut-être @Einsteinium ait de la matière pour le compléter, ou clarifier par endroits, afin qu'il soit 100% à l'épreuve des débutants comme moi. (Mes questions ou suggestions en gras et italique) 1) On commence par la création de clé d'api chez ovh : il est sans doute utile de préciser ici ce qui l'est plus tard dans les commentaires : il faut donc avoir un compte chez OVH, et prendre l'identifiant sous forme xxxxx-ovh et le mot de passe normal de l'espace client : on trouve tout cela en haut à droite dans le tableau de Bord OVH. 2) Passons maintenant au docker : Si vous n'avez pas Docker installé, installez-le depuis le centre de paquets. Ensuite, dans File Station, vous aurez donc un nouveau dossier "docker", dans lequel vous créez un dossier "Acme". [Je sais, ça peut paraître idiot, mais je n'avais pas Docker installé, et je ne connaissais pas, je ne savais pas de quoi on parlait] B) La création du fichier de config : Au besoin, on installe l'éditeur de Texte DSM (Centre de paquets). Ensuite, on crée avec l'éditeur de texte DSM… [Je pensais que c'était installé en standard, ce n'est pas le cas] On remplace dedans le contenu (c'est-à-dire la partie entre les apostrophes ' ') des 3 variables "SAVED_OVH_**" par nos clés obtenues précédemment par OVH. ainsi on obtient quelque chose comme : SAVE_OVH_AK='sd="inlqvqovnqovingXX' et ainsi de suite 3) Installation des certificats : B) Déploiement automatique : 1) Création d'un compte que l'on rajoutera dans le groupe admin, on lui mettra aucun acces à tous les dossiers et refuser à toutes les applications, on active pas la double authentification qui sera inutile. Question : on lui interdit l'accès à tous les dossiers ou on ne lui autorise pas ? 2) On ré édite notre fichier "account.conf" créé au point 2B, on y rajoute : SAVED_SYNO_Scheme='http' SAVED_SYNO_Hostname='172.17.0.1' (A remplacer par l'adresse IP de notre NAS ?) SAVED_SYNO_Port='5000' SAVED_SYNO_Username='nom utilisateur' (on y met le nom d'utilisateur de l'admin qu'on a créé ?) SAVED_SYNO_Password='le password' (cf question précédente) SAVED_SYNO_DID='' (je n'ai pas compris ce que c'est) SAVED_SYNO_Certificate='description du certificat mise dans le DSM' (c'est une description qu'on a mise où ?) Cf les questions entre parenthèses dans le code 3) Ensuite une fois les modifications faites, avec le planificateur de tâche en exécution unique (Cf point 2C) ou en ssh (root) : docker exec Acme sh -c "acme.sh --deploy -d 'mydomain.com' --deploy-hook synology_dsm" On remplace 'mydomain.com" je suppose ? Merci à tous et surtout à @Einsteinium pour votre attention. J'ai essayé d'implémenter, mais au vu de toutes mes questions ci-dessous, vous imaginez bien que le résultat a été… vierge. Aucun certificat n'a été créé…
  4. Bonjour, j’avais la même question. Donc dans le fichier html on met l’adresse externe de nos services et non l’adresse locale ? Je voudrais que la personne de l’extérieur tape www.toto.com et débouche sur la page index.html de web station qui lui dise « bonjour où voulez-vous aller ? Voici Drive, Vidéo Station, Moments, etc » avec un lien pour chaque. Or ces liens pourraient aussi bien être au format http://192.168.1.xx:10001 etc puisqu’on est sur le réseau local. Donc on met l’adresse externe du type video.toto.com ? (étant entendu que www.toto.com ayant été réglé chez le registrar en zone DNS A et les sous-domaines en CNAME) bonne journée !
  5. i-Moi

    [Tuto] Reverse Proxy

    Eurêka ! Après des semaines d’efforts, j’ai réussi à faire marcher le Reverse Proxy, et les obstacles rencontrés pourront peut-être aider les autres. merci pour ton retour, @oracle7, et pour répondre à la question du DDNS, qui te semblait inutile, tu partais du principe que l’adresse IP est fixe (comme chez Free), mais chez Orange ce n’est pas le cas. On est donc obligé d’ajouter le maillon à la chaîne… Rien ne marchait au début et vu le nombre de points où ça peut foirer, c’est complexe de déterminer où. J’ai suivi l’excellent Tuto de @Kawamashi avec toutefois une exception : au final, je n’ai pas eu à créer de page index.html mais j’ai suivi le reste, comme je pouvais. en résumé, pour les super super débutants comme moi : le schéma courant est : 1-on a un nom de domaine (ndd) qui pointe vers (=>) 2-un DynDNS (ddns) => 3-la Box-routeur (routeur) qui a une IP non fixe* => 4-NAS => 5-Reverse Proxy => 6-Service demandé (File station, Drive, Vidéo Station, etc) (* si on a une IP fixe comme chez Free, le ddns est inutile, ignorer l’étape 2) A chacun de ces étapes, quelque chose peut clocher. Il m’a fallu longtemps pour trouver où était la c... disons le problème. PROBLÈME 1 : Déjà, mon registrar ndd dispose d’un outil « sous-domaines », au nom mille fois trompeur. Comme on va utiliser des sous-domaines pour atteindre le NAS, on pense que c’est la fonction idoine. Or, ce n’est pas là qu’il fallait agir, et c’est hélas ce que leur support technique m’avait conseillé, quand j’hésitais entre CNAME et Sous-domaines. Il fallait aller, comme indiqué dans le Tuto puis rappelé par @oracle7, dans l’éditeur DNS, et créer un CNAME pointant vers le ddns. Pour ma défense, je dirai que : 1) l’éditeur de zone DNS du registrar est plus intimidant 2) le registrar me présentait son outil « Sous-Domaines » comme l’outil ad hoc PROBLÈME 2 : Le ddns : on a le choix du fournisseur de ddns et de l’emplacement du service. En effet, si on prend l’exemple d’Orange, la Livebox permet de se connecter à des ddns comme No-IP. Le NAS aussi : je n’ai pas noté de différence, ça marche aussi bien sur la LB que sur le NAS, mais je préfère mettre ce service sur le NAS pour l’instant, la Livebox est déjà à la peine chez moi, trop de périphériques wifi, elle rame. Le vrai problème est le fournisseur : No-IP ou Synology ? De prime abord, Synology avait tout pour plaire : c’est intégré, on a un vaste choix, et pas besoin de renouveler tous les mois. Chez No-IP, C’est gratuit aussi, mais il faut confirmer tous les mois. Les deux fonctionnent bien, SAUF avec le Reverse Proxy. Si je passe par le ddns Synology, ça ne marche tout simplement pas. Je tape l’adresse ndd.fr, je vois qu’il renvoie vers le ddns Syno, et je n’arrive jamais sur le NAS. Et ce, Firewall actif ou pas (et Firewall de la Box réglé sur moyen comme c’est recommandé). Si je passe par No-IP, ça marche instantanément. Plus clairement : dans l’éditeur de Zone DNS, chez le registrar, si je mets en CNAME que video.ndd.com => pseudo.synology.me, le reverse Proxy ne marche pas. A l’instant où je remplace pseudo.synology.me par pseudo.noip.com ça roule. Et pourtant, le DDNS de Synology marche : si je tape pseudo.synology.me:numéro de port, ça marche. Quelle explication verriez-vous à cela ? Par la suite je publierai peut-être un Tuto pour les Nuls comme moi, bien plus basique que celui de @Kawamashi, qui est d’un trop grand niveau pour moi. (J’ai été perdu au moment du .htaccess et index.html) Et j’ai pas fini, je dois maintenant m’attaquer aux certificats et au VPN... questions : 1) Let’s Encrypt me renvoie une erreur de connexion. Je dois réessayer mais dois-je y mettre l’adresse du ddns ou du ndd ? Et si c’est le ndd, acceptera t il les wildcards pour que tous les sous domaines soient pris d’un coup, même si c’est chez No-IP ? 2) dans la fenêtre d’infos du Reverse Proxy pour une application, @Kawamashi recommande de cocher HSTS. D’autre tutos recommandent de cocher les deux : HSTS et HTTP/2. Quelle différence et quels effets ? 3) si je décide de basculer le DDNS et les certifs vers une formule payante (le bricolage le devient un peu pesant, surtout si c’est pas trop cher de payer), pour plus de fiabilité et sûreté, laquelle recommanderiez-vous ? merci à tous ! i-moi
  6. i-Moi

    [Tuto] Reverse Proxy

    Bonjour à tous. J’ai suivi le Tuto et je ne maîtrise pas la partie web station, je bute sur l’écran blanc suivant : index of/ cgi-bin date modified etc.. j’ai un nom de domaine (ex : www.toto.com) qui pointe vers mon ddns (Par ex toto.synology.me). Comme la plupart d’entre nous je voudrais que video.toto.com m’amène vers video station sur le NAS, que surveillance.toto.com m’amène vers le NAS, etc. J’ai réglé routeur et firewall pour ça, crée les regles reverse proxy, etc. J’ai suivi la partie Web station du Tuto, et créé le fichier .htaccess. J’en suis là car je ne sais pas du tout quoi faire sur la partie édition d’un fichier html pour rediriger vers les services adéquats. d'autre part, question : A priori le ddns synology permet les wildcards. Donc je devrais pouvoir saisir video.toto.synology.me 1) dans les règles du reverse proxy, est-ce l’adresse ndd ou ddns que je dois saisir comme adresse source ? vidéo.toto.com ou video.toto.synology.me ? 2) que faire pour index.html pour ne pas aboutir à l’écran index of/ ? merci à tous !
  7. Grand merci @oracle7 Ça c’est intéressant mais je ne comprends pas bien : si je ne dispose pas d’une IP fixe, comment monsite.com peut-il pointer vers le NAS ? Mon registrar ne gère pas de DDNS, je ne vois pas comment sortir du schéma : monsite.com —> monsite.no-ip.com —> box —> NAS D’ailleurs, 2 questions subsidiaires : 1) la Livebox d’Orange gère No-IP.com et le NAS aussi : laquelle paramétrer en priorité ? 2) pourquoi préférer No-IP.com au service équivalent proposé par Synology (dscloud, etc) ? bonne journée et bon courage à tous !
  8. Merci @oracle7 ! Questions subsidiaires qui aideront peut-être un jour les débutants comme moi : si je comprends bien, le reverse proxy est la seule façon d'ouvrir très peu de ports (443 en l'occurrence) et donc permet de mieux sécuriser l'accès externe, plutôt que d'ouvrir un port par application, c'est cela ? Je résume ici ce que j'ai compris en quelques bullet-points, ça pourra peut-être servir pour que chacun ait en tête les étapes essentielles de la sécurisation (pour synthétiser maladroitement le formidable tuto de Fenrir). En gros, c'est comme un gâteau mille-feuilles ou un immeuble, en partant du Rez de chaussée : on crée si besoin un ddns (no-ip.com ou idem chez syno 🙂 ceux qui sont chez Free peuvent ignorer cette étape) Question : comment préciser les sous-domaines quand on a un DDNS ? Ça se fait uniquement au niveau NAS ? Question : mettons qu'on ait acheté un domaine toto.com, et que celui-ci redirige vers toto.no-ip.com. Les sous-domaines et leurs DNS doivent être paramétrés chez l'hebergeur de toto.com ? Question : j'ai lu quelque part que QuickConnect était surtout à proscrire car le trafic passait par l'Asie, mais que si on créait dans le pare-feu du NAS une règle géographique excluant l'Asie, le trafic passait par l'Allemagne, et que du coup c'était plus sécure et qu'on pouvait dès lors sans problème utiliser QuickConnect, qui est en soi un VPN, ce qui simplifie quand même beaucoup les choses : est-ce aussi votre avis ? on crée des règles de pare-feu comme indiqué (VPN autorisé, local autorisé, rien d'autre) on crée dans le proxy inversé les sous-domaines nécessaires à chacune des applications utilisées en distant, par ex : Surveillance Drive Moments Question : Plex utilise le 32400 : à garder tel quel ou à intégrer au Proxy Inversé ? on ouvre le port 443 sur sa box ou son routeur, ce qui fait que la box-routeur enverra tout trafic vers ce port-là, et le NAS distribue en fonction du proxy inversé. on configure le VPN Question : il semble que L2PT/IPSEC soit à recommander pour se connecter depuis un smartphone, non ? Ou bien on prend Open VPN ? Merci à tous pour vos commentaires !
  9. Merci @oracle7 pour ces explications ! donc si on se connecte en VPN, rien de spécial à paramétrer dans le pare-feu pour les services tels que Moments, DS vidéo, Drive, Surveillance, etc ? bonne soirée confinée 😉
  10. Salut à tous dans son (comme toujours excellent) message du 23 nov 2017, Fenrir propose une config pour le pare-feu du NAS : j'essaie de comprendre cette liste en la décortiquant pour bien saisir l'utilité de chaque ligne, afin de l'appliquer à mon cas, et que ça serve aux autres. La revoici en pièce jointe et au format texte : Protocole IP Source Action Tous 10.0.0.0/255.0.0.0. Autoriser Tous 172.16.0.0/255.240.0.0 Autoriser Tous 192.168.0.0/255.255.0.0 Autoriser Tous Tous Refuser Voici les questions que je me pose : quelle est la signification des 2 premières lignes ? (10.0.0.0, et 172.16.0.0, etc ?) je crois comprendre que la 3e ligne correspond à la box/routeur, en l'occurrence probablement une Freebox ? j'imagine que pour l'adapter à une Livebox ou une Bbox ou SFRbox (qui semblent avoir les mêmes paramètres), on doit mettre 192.168.1.0/255.255.255.0 ? La 4e ligne sert donc à interdire tout ce qui n'est pas autorisé Y a-t-il un filtrage par territoire géographique ? Ou pas nécessaire ? Ces réglages permettent-ils l'accès à distance par VPN, si un jour on se lance dans l'aventure ? Pour accéder à Plex depuis l'extérieur, suffit-il d'ajouter une redirection du port 32400 ? Dans l'idéal, on devrait arriver à une config, basée sur les conseils de sécurité de Fenrir, qui puisse servir aux 4 principales box françaises, et qui couvre les besoins suivants : Autoriser les accès depuis le réseau local sans restriction : c'est le cas des réglages de Fenrir, à adapter selon la box utilisée, et en fonction des conseils qu'il va nous donner, suite aux questions posées plus haut dans ce post. Autoriser les accès à distance des 2-3 utilisateurs principaux (Papa, Maman, Ados) pour les fonctions courantes : VPN Plex et/ou Video Station Photo Station et/ou Moments Drive WebDav Partage de fichiers (FTP ou autre) D'après Fenrir et vous autres, chers confrères de NAS, quels réglages ? Merci pour votre aide ! Bon courage i-Moi
  11. Bonjour à tous Il y a quelques mois, j’ai suivi à la lettre le magnifique Tuto de Fenrir, MAIS j’ai aussi installé le paquet non officiel Domoticz pour Synology. Un beau jour, DSM m’a interdit tout accès, et le support de Syno, après analyse des fichiers logs, m’a affirmé que j’étais victime d’un piratage et que le coupable était la vulnérabilité du package Domoticz. Je n’ai jamais su si : A-c’était vrai, et que c’était là la faille qui, malgré la sécurisation des accès distants, avait permis a des hackers d’entrer. B-c’était faux et que Syno cherchait simplement un bouc émissaire pour se dédouaner. C-c’était faux et que le Tuto de référence demandait à être complété désormais, car des hackers y avaient trouvé des failles. De plus, B et C ne sont pas exclusifs l’un de l’autre 🙂 Je pose donc la question : d’après votre expérience personnelle, qu’en est-il ? 1-depuis que vous avez suivi le célèbre Tuto (grâces lui soient rendues), rien à signaler ? 2-avez-vous, vous aussi, eu des mésaventures avec le paquet Domoticz ? bonne journée et merci à tous, Fenrir en tête évidemment.
  12. Salut à tous je suis extrêmement admiratif (je l'ai dit quand j'ai découvert ce fil) du travail fait par Fenrir, mais force est de constater que le fait de l'avoir suivi à la lettre n'a pas suffi. Le support technique de Synology, suite à une anomalie de comportement (le système refusait de mettre à jour le paquet Service d'Applications Synology), est intervenu à distance et m'a informé que mon NAS avait été hacké. J'avais passé des jours à faire cette config, afin que personne, jamais, ne s'y infiltre, mais cela n'a pas été assez. Je suis bien conscient que nulle protection n'est parfaite, mais là, je suis découragé : étant loin d'être un spécialiste de l'informatique, n'ayant aucune connaissance particulière en réseaux (je sais faire marcher un Mac et une box, en gros) je n'ai pas les compétences nécessaires (et peu de gens les ont, du reste) pour augmenter la sécurité de mon installation. Je pensais dire au revoir à Google Drive, à Apple Photos, à Google Calendar et à iCloud Contacts (bref : au Gafa), mais je réalise que je vais devoir limiter mon NAS à être un serveur 100% domestique, dédié à du stockage, du partage en local et —si possible sans créer une faille— être un serveur Plex accessible de l'extérieur. Qui sait comment configurer un NAS pour faire juste cela, en toute sécurité, derrière une Livebox ? Grand merci !
  13. Grand merci, j'ai justement fini par trouver la solution ici au même moment, alors que je cherchais depuis des jours entiers... désolé d'avoir posé une question inutile ! Bonne journée à tous i-moi
  14. Exactement ! A part ça, rien à voir avec les NAS 😉
  15. Bonjour à tous un énorme bravo pur ce tuto extraordinaire, non seulement pour le travail qu'il représente, mais pour la réflexion nourrie qui, en amont, l'a permis. Après l'avoir suivi pas à pas, j'ai une question dont je ne trouve pas la réponse sur le net : pour pouvoir partager des fichiers dans File Station, (clic-droit sur le fichier, menu local et "Partager"), est-il nécessaire que le user ait des droits d'administrateur ? Si j'enlève ces droits d'admin à mon user toto, je perds cette fonction, qui n'apparaît plus dans le menu. Or, si je résume bien la philosophie globale prônée par Fenrir, l'idéal est que Admin et user n'aient pas les mêmes droits. Et de fait, je me retrouve avec un user qui est admin, et que je dois identifier à 2 facteurs, ce qui est pénible au quotidien. Je me demandais donc si c'était une fatalité. Merci bcp ! i-Moi
  16. Profil geek-artistique, passé de rétif à l'informatique à Linuxphile (mais éternel débutant), je déteste ne pas comprendre et donc je déteste souvent 😉 J'ai un NAS depuis 2 mois, et je découvre un niveau de complexité plus grand que sur mes petits Raspberry Pi... Idéalement, je voudrais qu'il remplace tous mes services habituels : Google Drive, Dropbox, iCloud, Google Agenda, Evernote, Google Docs, etc... Je suis loin du compte. Pour l'instant j'utilise : Drive station, Domoticz, VPN server, Surveillance Station et Plex. DS218+ | DSM 6.2.1-23824 Update 6 Tutoriels : Sécuriser les accès à son nas | VPN Server
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.