Fonctionnement De Quickconnect

[jeremy_fr]

Bonjour à tous,

Malgré quelques visites sur des postes similaires, je n'arrive toujours pas à trouver la réponse à ma question.

Je m'interroge sur l'intérêt de mettre en service QuickConnect.

Pour accéder au NAS depuis un réseau externe, j'utilise un VPN (activé via le package VPN Server).

Quel est l'intérêt d'utiliser QuickConnect à la place du VPN ?

En termes de fonctionnement, qu'est-ce qui différencie l'ouverture/redirection de ports (c'est-à-dire une configuration manuelle permettant d'ouvrir le NAS de manière sécurisée à l'extérieur) de QuickConnect ?

Quelle est aussi la différence entre EZInternet et QuickConnect ?

Merci d'avance à tous pour vos réponses.

Bonne soirée

[CoolRaoul]

Quickconnect est justement destiné a ceux qui ne veulent (ou ne savent) pas se prendre la tête avec les redirections de ports.

Ça utilise des serveurs chez synology qui vont jouer le rôle de passerelle.

En pratique le NAS va maintenir une connexion *sortante* vers un des serveurs de Synology, les appli clientes se connectent sur ces serveurs qui vont faire passer le flux jusqu'au NAS via le "tuyau" pré établi.

On comprend tout de suite que ce n'est pas optimal en terme de traffic réseau et qu'on dépend d'une infrastructure tierce.

[jeremy_fr]

Merci CoolRaoul !

Ok, je vois le principe. mais j'imagine qu'il y a au minimum unport à ouvrir, pour maintenir la connexion sécurisée entre le NAS et la passerelle, non ?

Si je comprends bien, EZInternet est une autre solution, qui permet aussi d'ouvrir le NAS mais en guidant l'utilisateur dans les étapes à réaliser pour la configuration réseau, c'est bien ça ?

[CoolRaoul]

Ok, je vois le principe. mais j'imagine qu'il y a au minimum unport à ouvrir, pour maintenir la connexion sécurisée entre le NAS et la passerelle, non ?

Ben non: on ouvre les ports dans le cas de connexions *entrantes* alors qu'ici c'est le NAS qui se connecte à l'extérieur chez Syno, s'agit donc d'une connexion *sortante*.

Si je comprends bien, EZInternet est une autre solution, qui permet aussi d'ouvrir le NAS mais en guidant l'utilisateur dans les étapes à réaliser pour la configuration réseau, c'est bien ça ?

Oui c'est ça: EZinternet automatise l'ouverture (redirections plus exactement) des ports dans le routeur.

Mais ça n'est possible que dans la mesure ou il s'agit d'un routeur faisant partie de ceux qu'il connait (et il ne sont pas très nombreux).

A noter qu'il est aussi capable, dans le cas d'un routeur lui étant inconnu mais compatible, de le faire en utilisant le protocole upnp mais c'est un peu du bricolage, ce protocle est plus adapté à des redirections de ports éphémères (il est utilisé par exemple par les clients de messagerie instantanée).

[jeremy_fr]

Ok merci pour toutes ces explications !

Donc pour assurer de meilleures performances, mieux vaut passer par une configuration manuelle (ou à la limite via EZInternet) et éviter le QuickConnect.

[CoolRaoul]

Donc pour assurer de meilleures performances, mieux vaut passer par une configuration manuelle (ou à la limite via EZInternet) et éviter le QuickConnect.

Tout a fait, il me semble même avoir vu cette contrainte évoquée dans l'aide en ligne DSM d'ailleurs.

[jeremy_fr]

Bonsoir CoolRaoul,

Je me suis donc lancé dans une configuration manuelle. Je n'avais pas trop d'inquiétude pour parvenir à ouvrir mes différents servcies à l'extérieur mais plutôt pour la sécurité.

Je souhaite, de manière sécurisée :

- accéder à ma bibliothèque Audio Station (via l'application DS Audio ou via un navigateur)

- accéder à l'interface de configuration DSM, au cas où

- accéder à tout mon réseau via un serveur VPN, installé sur le NAS

Pour répondre à mes besoins, voici la configuration que j'ai mise en place

1. Sur le NAS

- activation du port HTTPS, avec une redirection automatique vers HTTPS si l'adresse est rentré via HTTP

- désactivation du compte admin par défaut et création d'un nouveau compte dans le groupe "administrateurs"

- authentification forte (vérification en 2 étapes) pour le nouveau compte administrateur

2. Sur le routeur :

- translation du port xxx (port choisi au hasard) vers le port 5001 du NAS

- translation des ports officiels pour L2TP vers le NAS (donc ouverture de 3 ports)

Que penses-tu de cette configuration en termes de sécurité ?

Y a-t-il des grosses failles de sécurité évidentes ?

Merci !

[CoolRaoul]

Que penses-tu de cette configuration en termes de sécurité ?

Y a-t-il des grosses failles de sécurité évidentes ?

Pas de failles mais un truc a priori inutile: la redirection automatique vers HTTPS. D'une part, comme tu n'a pas redirigé de ports http dans ton routeur il est impossible que le NAS voie arriver une connexion HTTP venant de l'extérieur.

Ensuite, de l'intérieur vaut mieux toujours se conserver une possibilité de connexion HTTP, on ne sait jamais.

Sinon j'aurais une question: quel client VPN utilises-tu (ou prévoie-tu d'utiliser) ? Je ne suis pas parvenu à me faire accepter la connexion L2TP sur le NAS par le client natif Androïd de mon smartphone. J'ai basculé en OpenVPN (pas natif sous Androïd mais j'ai trouvé une appli gratuite qui marche au poil).

[jeremy_fr]

Merci CoolRaoul !

En effet, le routeur ne redirige pas HTTP vers HTTPS. Je ne comprends pas en revanche pourquoi il faudrait éviter cette méthode sur le réseau local. Tu dis "on ne sait jamais" ; qu'est-ce qu'il pourrait arriver ? Je ne vois pas trop de risque, sachant que de toute façon je n'aurai pas de problème de certificat (il est auto-signé, je n'ai rien mis).

J'utilise le client VPN natif de Mac OS et d'iOS. Je n'ai pas encore testé sur une machine Windows.

[CoolRaoul]

En effet, le routeur ne redirige pas HTTP vers HTTPS. Je ne comprends pas en revanche pourquoi il faudrait éviter cette méthode sur le réseau local. Tu dis "on ne sait jamais" ; qu'est-ce qu'il pourrait arriver ? Je ne vois pas trop de risque, sachant que de toute façon je n'aurai pas de problème de certificat (il est auto-signé, je n'ai rien mis).

Je n'ai pas écrit "vaux mieux éviter": j'ai voulu faire comprendre qu'il était bon de ne pas se fermer à la possibilité de disposer d'une possibilité de session HTTP de *secours* (sans trop creuser le sujet j'avoue, me semble avoir vu passer des messages sur le forum de personnes se retrouvant bloquées en connexion HTTPS suite à une manip hasardeuse.)

En plus, la redirection forcée http->https s’adresse essentiellement aux utilisateurs tiers de ton NAS auxquels tu souhaiterais imposer un cryptage de leur communications. En ce qui te concerne, j'imagine que tu n'as pas besoin que le système te "prenne la main" pour forcer le SSL: si tu tiens a te connecter exclusivement en SSL, et bien, fait-le, tout simplement.

Et enfin crypter les comm sur le réseau local: quel intérêt? Si tu as peur que quelqu'un ait posé un sniffeur sur ton LAN pour t'espionner, dis-toi bien que pour cela il aura déjà du avoir un accès physique a ton domicile et tes équipements, et par suite aura pu mettre en place d'autres moyens de surveillance.

J'utilise le client VPN natif de Mac OS et d'iOS. Je n'ai pas encore testé sur une machine Windows.

S'agissait d'Androïd mais vu que tu semble être full Apple, tant pis pour moi.