Ragnarou
-
Compteur de contenus
14 -
Inscription
-
Dernière visite
Messages posté(e)s par Ragnarou
-
-
Merci pour ton retour.
J'arrive à accéder au dossier Keepass en rentrant le nom local du nas, ou bien via son adresse IP locale. Sauf que je veux pouvoir y accéder depuis l'extérieur (c'est un PC portable que je promène beaucoup), ainsi que depuis mon smartphone android, j'ai donc besoin de pouvoir me connecter à Webdav.
Concernant ton aparté : merci pour l'information, j'ignorais que Synology limitait à 255 caractères la liste des sous-domaines ! Effectivement, je vais peut être devoir envisager de me prendre un nom de domaine... Je m'y pencherais prochainement, merci pour le conseil 👍
0 -
Super tutoriel, merci beaucoup @d4RSH 👍
Pour ma part, je rencontre des problèmes au moment de vérifier l'accès au dossier via Webdav par Windows (j'utilise le reverse proxy).
- Installation du paquet Webdav Server, en désactivant http, en activant https et en laissant son port par défaut (5006) : ✔️
- Création du groupe webdav user, de l'utilisateur Keepass_user, du dossier partagé Webdav et du sous-dossier Keepas : ✔️. J'arrive à accéder au dossier Webdav/Keepas via le FileStation de DSM en me connectant comme KeePass_user et à glisser/déposer des fichiers, donc je n'ai pas de problèmes de droits d'accès ou de permission.
- Comme je suis en reverse proxy, je ne change rien à la configuration de ma box, qui redirige les ports 80 et 443 vers l'adresse IP de mon NAS : ✔️
- J'ai créé un reverse proxy pour mon Webdav : ✔️
- Mon certificat Let's Encrypt a été mis à jour : ✔️
- Le port 443 est bien autorisé dans le pare-feu du NAS : ✔️
- J'arrive à accéder (en local ou depuis l'extérieur) à mes autres reverse proxy avec une adresse de la forme suivante : https://dsaudio.XXXX.synology.me:443 : ✔️
Le problème que je rencontre est, lorsque j'essaye de connecter un lecteur réseau Windows, j'ai un des deux messages d'erreurs ci-dessous :
Je me suis dit que ça pouvait être un bug de Windows, comme j'ai soit le 1er, soit le 2ème message d'erreur. Donc j'ai essayé d'ouvrir directement la bdd dans KeePass via 'Open url', et j'ai le message d'erreur ci-dessous :
Je précise que j'ai essayé pas mal de variantes dans les adresses pour me connecter : avec et sans le numéro de port 443, remplacer https:// par \\, sans résultat. Par ailleurs, je suis sûr du mot de passe du compte KeePass_user puisque j'arrive à me connecter à DSM avec le compte KeePass_user.
Quelqu'un aurait une idée ?
0 -
Je vais suivre tes conseils et garder les ports 5000 et 5001 ouverts dans ce cas-là.
Merci beaucoup à tous pour votre patience et vos réponses ! ☺️
0 -
Bonjour @oracle7
J'ai fait le test ; malheureusement, ça ne fonctionnait toujours pas.
Cependant, j'ai eu une idée qui s'est avérée fructueuse (merci les transports en commun 😆) : les liens partagés générés par DS File sont de la forme : https://XXXX.synology.me:5001/sharing/a1Z2E3R4T5
Comme j'ai un reverse proxy et que je n'autorise pas l'accès à DSM depuis l'extérieur, j'ai tenté d'accéder au fichier partagé en changeant l'url pour qu'elle corresponde à celle que j'ai définie pour DS File dans mon reverse proxy : : https://dsfile.XXXX.synology.me:443/sharing/a1Z2E3R4T5
Et ça a marché ! J'arrive bien à accéder au fichier partagé, en local comme à l'extérieur. Et ainsi, je n'ai pas besoin d'ouvrir le port 80, 5000 ou 5001 :
Ça semble être un bon compromis qui permet de ne pas ouvrir trop de ports , non ?
0 -
J'arrive bien à accéder à dsfile, en local ou depuis l'extérieur, via l'adresse dsfile.nasbenisa.synology.me:443, donc le reverse proxy fait bien son travail à ce niveau-là.
Ce que je n'arrive pas à faire, c'est accéder au lien de partage généré par dsfile, de la forme https://XXXXX.synology.me/sharing/az123rtyu , même en rajoutant le port 443 dans l'adresse (https://XXXXX.synology.me:443/sharing/az123rtyu).
J'ai donc la bonne config dans ma box. Je n'avais par contre pas autorisé les ports 5000 et 5001 dans le pare-feu du NAS, voilà chose faite :
Maintenant, voici ce qui se passe lorsque je veux accéder au lien de partage généré par dsfile :
- En local : Je suis redirigé vers la page de connexion du DSM (https://XXXX.synology.me:5001)
- Depuis l'extérieur : rien, la page semble charger dans le vide
Je suis désolé d'être un boulet, mes lacunes en réseau sont vraiment gênantes 😓
0 -
il y a 32 minutes, oracle7 a dit :
Pour mémoire le reverse proxy "écoute" en permanence le port 443, donc si ce port n'est pas redirigé, il n'entend rien !
J'en ai fait l'amère expérience il y a peu de temps.
En fait pour que les liens DSFile fonctionnent, il ne faut pas modifier les ports par défaut de DSM. Ils doivent rester 5000 et 5001. C'est bizarre je te l'accorde mais c'est comme cela.
De toutes façons, changer les ports par défaut ne sert pas à grand chose du point de vu sécurité. Cela ne fait que retarder d'une seconde un scan malveillant (dix cit @Fenrir dans son tuto de sécurisation du NAS). De plus lors d'un scan de port, c'est la réponse d'une application derrière ce port qui importe et détermine le comportement du malveillant quelque soit le port.
Cordialement
oracle7😉
@oracle7 Merci pour ton retour.
Je n'ai pourtant pas changé les ports par défaut de DSM :
Je ne dois quand même pas autoriser dans le pare-feu l'accès en direct à DSM (ports TCP 5000 et 5001 par défaut) depuis Internet ? C'est déconseillé dans le tuto de @Fenrir
Pour info, quand je tente d'accéder au lien DSFile, mon navigateur semble tourner dans le vide, que je sois sur mon réseau ou à l'extérieur.
0 -
Après avoir testé plusieurs choses sans comprendre pourquoi ça fonctionnait malgré l'absence de redirection du port 443 vers l'adresse IP de mon NAS, je me suis décidé à faire un RAZ de ma box.
Et maintenant, le comportement est celui attendu :
- Sans redirection de port 443 vers le NAS paramétré dans le routeur, je ne peux pas accéder à mes applications via le reverse proxy ;
- Si maintenant je mets cette redirection de port, alors j'arrive bien à accéder à mes applications depuis une adresse du type dsaudio.XXXX.synology.me:443
J'avoue que là, c'est un mystère de l'informatique (ou une preuve de plus de la fiabilité de SFR 😁). Mais mon problème est réglé !
Par contre, lorsque je créé un lien de partage via DS file, qui est du type https://XXXX.synology.me/sharing/aze12rt34yu, je n'arrive pas à y accéder. Cela ne passe pas par le port 443 ? Ou bien j'ai raté quelque chose ?
0 -
La configuration du routeur est bien vide sur DSM :
Selon la définition donnée par le routeur :
"Le déclenchement de port est une fonctionnalité avancée qui vous permet d'activer le transfert de port dynamique pour certaines applications. La passerelle surveille le trafic sortant sur les ports spécifiés par l'intervalle de déclenchement (Trigger Range). Quand elle détecte de l'activité sur ces ports, elle se « rappelle » l'adresse IP de l'ordinateur qui a envoyé les données et route le trafic sortant sur des ports faisant partie de l'intervalle cible vers cette adresse IP sur le réseau local.
Pour chaque déclenchement de port à activer il faut donc saisir le port de début et le port du fin de l'intervalle de déclenchements. Il s'agit des ports qui seront surveillés pour le déclenchement de la règle de transfert du port entrant. Ensuite saisir le port de début et le port du fin de l'intervalle cible. Il s'agit des ports entrants qui s'ouvriront lors du déclenchement. Puis sélectionnez le protocole des ports : TCP, UDP ou Les deux et cochez la case Activer pour activer le déclenchement de port."
En l’occurrence, je n'ai pas de règle de déclenchement de port de définie.
0 -
il y a 31 minutes, Thierry94 a dit :
Aucun intérêt à utiliser dans le reverse proxy les ports https des applications plutot que les ports http.
C'est noté !
Ceci n'explique toujours pas pourquoi j'arrive à accéder à mes applications sur le NAS alors que je n'ai pas fait de redirection du port 443...
0 -
il y a 1 minute, Thierry94 a dit :
Bonjour,
Comme tu as mis en place le reverse proxy les accès aux applications se font via le port 443 de la box puis du nas et sont dispatchées vers l'application demandée sur son port http. Les ports https que tu as mis dans applications ne sont donc pas utilisés.
Merci pour ton retour @Thierry94.
Je comprends mieux ce point-là. Donc il est inutile de saisir des ports https dans le portail des applications ? Ou est-il plus sécurisé de rediriger les accès aux applications sur leur port https ?
il y a 2 minutes, Thierry94 a dit :Es tu vraiment sûr que tu n'as pas de routage du 443 de la box vers le 443 du nas ?
N'aurais tu pas mis ton nas dans la dmz de la box ?
Je n'ai pas redirigé le port 443 sur ma box, la seule redirection que j'ai est sur un autre port :
De plus, mon NAS n'est pas non plus dans la DMZ de la box :
il y a 2 minutes, PiwiLAbruti a dit :S'il n'y a aucun port d'ouvert dans les règles NAT/PAT, je ne vois que deux possibilités :
S'il y a une option UPnP sur la box SFR, désactive-la. Ce service permet à n'importe quelle application (programmes malveillants inclus) d'ouvrir automatiquement les ports dont elle a besoin sur le routeur. Les ports éventuellement ouverts par DSM apparaissent dans Panneau de configuration > Accès externe > Configuration du routeur (que tu sembles déjà avoir désactivé dans DSM, c'est une bonne chose).
S'il y a une option DMZ sur la box SFR, vérifie qu'elle est bien désactivée (aucune destination). Si l'adresse IP du NAS y est renseignée, tous les ports (de 1 à 65535) sont redirigés vers lui.
En complément de la réponse ci-dessus, j'avais déjà bien désactivité l'UPnP :
0 -
Bonjour à tous,
Je suis en train de paramétrer mon NAS, et je souhaite pouvoir accéder depuis l'extérieur à certaines applications (DS Audio, DS Video, DS Note, etc). Cela fonctionne, mais j'ai du mal à comprendre pourquoi 😁.
Je me suis basé sur le tutoriel de @Fenrir
Voici ma configuration :
- QuickConnect est désactivé
-
Dans les options 'Accès externe' :
- J'ai un DDNS en XXXX.synology.me
- Routeur désactivé
- Avancé : j'ai comme nom d'hôte mon XXXX.synology.me et les ports http et https sont vides
- Au niveau du pare-feu, j'ai les règles suivantes :
- J'utilise le portail des applications pour accéder à mes appli , avec des numéro de port personnalisés :
- J'utilise également un reverse proxy :
-
Au niveau de mon routeur (SFR RED) :
- J'ai un réservation d'adresse locale pour mon NAS via son adresse MAC :
-
- Mon pare-feu est réglé sur le mode 'élevé' :
-
- Je n'ai aucune règle dans les redirections de port de mon routeur.
J'arrive à accéder à DS Audio, DS Photo, etc. depuis mon réseau local en saisissant le nom de domaine suivant : dsaudio.XXXX.synology.me:443. J'arrive également à y accéder depuis l'extérieur avec la même adresse. Or, je n'ai créé aucune règle dans mon routeur pour rediriger le port 443 vers l'adresse IP de mon NAS, je n'ai pas non plus de règle dans le pare-feu du NAS ou dans celui du routeur qui autorise les ports que j'ai saisi dans le portail des applications (7083 et 7043 pour DS Audio par exemple).
Au final, j'arrive au résultat escompté (accéder à ces applis depuis l'extérieur), mais je ne comprends pas comment c'est possible. Du coup, je crains que mon NAS ne soit ouvert aux quatre vents. Est-ce que quelqu'un pourrait m'aiguiller en m'indiquant où j'ai pu faire erreur ?
En vous remerciant par avance !
Ragnarou
0 -
Merci pour l'accueil ! Il semble qu'effectivement, je vais passer de longues heures sur le forum à découvrir plein de choses !
Ragnarou.
0 -
Bonjour à tous !
J'ai franchi le pas, et je me suis décidé à m'inscrire sur le forum !
Je suis Ragnarou, la trentaine, et je suis le monde des NAS (et des Synology en particulier) avec un regard assez lointain depuis plusieurs années, sans jamais me décider à franchir le pas malgré l'intérêt que j'ai pour ces petits bijoux de technologie. C'était sans compter que je suis passé à la fibre* de SFR RED (du FTTLA avec terminaison coaxiale pour les curieux 😉) m'offrant dorénavant un débit montant de 60 Mbps, ce qui m'a laissé rêvé à accéder à un hypothétique NAS depuis l'extérieur, et à ouvrir la boîte de Pandore... En rajoutant la sortie récente du DS220+, il n'en fallait pas plus pour me convaincre !
Me voici donc primo-accédant d'un DS220+ équipé de 2 disques Seagate Ironwolf 4 To (d'ailleurs avec la polémique sur les technologies CMR/SMR, quelle tannée de trouver un disque dur !😁).
J'ai bien évidemment lu plusieurs excellents tutoriels du forum, notamment :
Présentement, mon NAS est installé, la gestion des utilisateurs me semble correcte, et j'ai quelques applications de base configurées : DS audio, video, photo, Download station, Note. J'arrive à faire fonctionner tout ceci sur mon réseau local depuis mes divers appareils. A terme, j'aimerais, en plus des usages multimédias déjà fonctionnels, mettre en place les fonctionnalités suivantes :
- Accéder à certaines applications NAS depuis l'extérieur en conservant un niveau de sécurité élevé ;
- Stocker ma BDD Keepass et pouvoir y accéder depuis l'extérieur avec mon smartphone android + un PC Windows ;
- Stocker mon agenda pour m'affranchir de Google ;
- Stocker mes contacts pour m'affranchir de Google ;
- Stocker des données météos depuis une station météo (achat à venir) et pouvoir faire des belles courbes ;
- etc.
Mais avant de m'emballer dans toutes ces possibilités, je vais essayer de blinder l'installation "de base" du NAS sur les aspects sécurité, chiffrement et sauvegarde. J'ai une certaine base en informatique, donc je ne me lance pas dans l'inconnu, mais les aspects réseaux risquent de me poser des problèmes (configuration du pare-feu, portail des applications, reverse proxy, VPN). Donc je risque de quémander de l'aide sur ces sujets là !
0
[TUTO] Acceder, via les applications KeePass, à une BDD Keepass stockée sur votre NAS (WebDav)
dans Tutoriels
Posté(e)
@oracle7
C'était effectivement la solution vers laquelle je me serais tournée naturellement (et c'est celle que j'utilise actuellement avec ma bdd KeePass stockée sur mon Google Drive). L'idée était à la fois de tester cette nouvelle solution, de voir le fonctionnement de WebDav (que j'utiliserai dans un futur proche pour stocker mon agenda et mes contacts), et puis par curiosité 😁
Mais si je n'arrive pas à me dépatouiller à paramétrer Keepass avec Webdav, je me tournerai vers Synology Drive, qui a le mérite de fonctionner 'tout seul'.