Pingouindunas Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 Question subsidiaire : On va me prendre pour un éternel débutant mais tant pis, je pose ma question. 🙂 Afin de donner plus de clarté au fil de discussion, j'aimerai aussi citer la personne qui m'a répondu pour mettre son pseudo en surbrillance précédé du @. Quand on veut citer quelqu'un de particulier, apparaît dans un rectangle bleu le @suivi du pseudo. Cela se fait en automatique avec une manip précise ou vous le faites manuellement (si on peut le faire) ? Comment faites-vous ? Merci. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 (modifié) Tu tapes simplement @ suivi du pseudo sans espace ! En le faisant, tu auras en direct l'affichage des pseudos existants en fonction de ce que tu tapes 😉 Modifié le 1 décembre 2018 par Zeus 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Pingouindunas Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 Merci @Zeus 😁 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 (modifié) De rien 🙂 Modifié le 1 décembre 2018 par Zeus 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Pingouindunas Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 Me revoici : @9re9os dit : Citation Pour le certificat, tout le monde recommande de passé par lets encrypt. Il te faut, sur le firewall du nas, autoriser les 2 IP des serveurs lets encrypt sur le port 80. Tu rediriges également pour le faire, le port 80 de ton routeur vers l'adresse LAN de ton nas. Ne rediriges pas les ports 5000 et 5001 de ton routeur vers le nas. Soit tu changes ces ports par défauts puis tu refais ta redirection, soit tu peux rediriger un port différent, vers le port 5000. Ça peut faire des noeuds au cerveau mais ça reste basique (par exemple tu rediriges le port 2000 sur ton routeur (c'est un exemple) vers le port 5000 du nas. En LAN le dsm sera donc accessible depuis ton IP_LOCAL:5000 et en WAN, le dsm le sera depuis IP_PUBLIQUE:2000. avant de modifier les règles du parefeu du nas et de la box : s'il faut (si on doit ?) rediriger les ports 5000 et 5001 du nas vers la box, quels numéros de ports prendre ? Certains sont affectés à des protocoles existants ? Lesquels choisir ? Merci. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 (modifié) Là, tu as la liste des ports les plus fréquemment utilisés : https://fr.wikipedia.org/wiki/Liste_de_ports_logiciels Ensuite, chez Synology, tu as ceux là qui sont aussi utilisés : https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General/What_network_ports_are_used_by_Synology_services Cale toi sur eux pour appliquer un port 😉 Modifié le 1 décembre 2018 par Zeus 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 Ca n'a guère d'utilité de faire de la translation de ports. Gardez les ports d'origine. Vous ne serez ni plus ni moins protégé. C'est surtout le parefeu et des identifiants solides qui seront votre meilleure protection. Par contre, on ne mets pas les ports http (5000 par exemple) accessibles de l'extérieur. L'intérêt de la translation de ports c'est de pouvoir atteindre plusieurs appareils sur le réseau privé. Par exemple si vous avez 2 NAS, vous pouvez envoyer le 5001 vers le 5001 du NAS principal et le 5002 vers le 5001 du NAS secondaire. Mais le mieux c'est d'avoir un ndd jumelé au reverse proxy et de n'utiliser que le port https par défaut (443) et éventuellement les ports spécifiques aux applications (6690 par exemple pour CloudStation) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 Après, tu peux aussi activer le port 80 avec une redirection automatique en PHP par exemple vers le port 443. Pas d'accord Mic ? Car perso, mon port 80 est ouvert pour permettre cette redirection automatique. Sinon, ça force l'utilisateur à ajouter le https... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 Bien entendu. Comme je suis quasiment le seul utilisateur actif de mon NAS, cette redirection ne m'est pas utile. J'ai le port 80 ouvert mais uniquement pour les 2 adresses LE pour le renouvellement auto de mes certificats. A ce propos, je ne sais pas si la redirection 80 --> 443 permet tout de même le renouvellement. J'ai un doute là dessus. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 A l'époque quand je ne faisais pas une demande de certificat wildcard, ça fonctionnait bien même avec la redirection automatique ;) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
9re9os Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 @Pingouindunas, désolé de t'avoir envoyé vers une mauvaise direction, avec les translations de ports. Ayant atteint une config qui fonctionne, après 10 jours de galère, j'ai voulu renvoyer un peu la pareille histoire de soulager les initiés habituels du topic. Malgré mes bonnes intentions, je n'ai pas le niveau ^^ et devrai me garder de répondre avec hâte. Bon courage pour la suite, mais au stade où tu en es, tiens le coup, ça en vaut la peine. @Mic13710, merci pour ton intervention. J'ai pu modifier ces ports. Je les gardais ouverts par mauvaises pratiques de 5 années de nas. 5 années sans avoir le temps de prendre le temps de mettre en place un certificat me permettant d'enfin...profiter du HTTPS. Merci ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 Il arrive à tout le monde de se tromper même aux habitués du forum...😉 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Pingouindunas Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 Pour @Mic13710 Citation L'intérêt de la translation de ports c'est de pouvoir atteindre plusieurs appareils sur le réseau privé. Par exemple si vous avez 2 NAS, vous pouvez envoyer le 5001 vers le 5001 du NAS principal et le 5002 vers le 5001 du NAS secondaire. Comme je n'ai qu'un nas mais il doit être accessible depuis l'extérieur. Donc, je ne fais pas de redirections. De toute façon, vous êtes plusieurs (entre autres @Fenrir et @Mic13710 ) à déconseiller les redirections. Pour @9re9os Citation désolé de t'avoir envoyé vers une mauvaise direction, avec les translations de ports. Ce qui compte, c'est d'essayer d'aider les autres. pour tous : J'ai fait une synthèse de ce que je dois faire dans ce que vous me proposez : 1) enlever les ports 5000 et 5001 de la box : c'est fait. 2) @9re9osparefeu du nas : autoriser les ip publiques des serveurs Let's encrypt sur le port 80 3) autoriser les ports 80 de la box vers ip_nas 4) autoriser les ports 443 de la box vers ip_nas Est-ce bien cela qu'il faudrait faire même si ce ne sera pas encore terminé ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
9re9os Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 1) je l'ai fait enfin aussi ! 2) Voici les 2 IP public de LE pour le parefeu du NAS : 66.133.109.36 64.78.149.164 mais en plus du port 80, autorise le 443. Sauf erreur de ma part, je crois avoir lu quelque part ici ou sur un autre tuto que LE commençait la connexion en 80 et passait ensuite en 443. 3) Les sachants ^^ le déconseillent ; le strict minimum c'est d'au moins faire la redirection le temps des mises à jour du certif, tous les 2 (3?) mois. 4) oui 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Pingouindunas Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 (modifié) Dis, @9re9os Merci pour ta réponse si rapide. Merci pour les ips publiques de LE. 😁 Modifié le 1 décembre 2018 par Pingouindunas ajout 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 @9re9os la translation de port n'est pas un problème en soit. Simplement ça complique l'usage car comme vous le faite remarquer, il faut jongler avec des ports différents entre LAN et WAN. On peut aussi modifier les ports par défaut du NAS pour les faire correspondre aux ports exotiques utilisés. Dans ce cas, un reset du NAS rétablira les ports d'origine ce qui peut poser problème lorsqu'on est habitué à se connecter avec des ports différents. En aucun cas, la translation vous protègera des intrus. Si des hackers ne s'attaquent qu'aux ports par défaut, il n'y a rien à craindre car ce sont surtout des petits rigolos qui se feront bloquer par le parefeu et s'en iront voir ailleurs. Pour les autres, il mettront quelques secondes de plus pour trouver les ports ouverts. C'est surtout contre ceux là qu'il faut se prémunir avec des mdp forts et un parefeu très restrictif. L'avantage d'un ndd associé au serveur DNS et au serveur proxy c'est qu'on peut utiliser la même url que ce soit côté LAN ou côté WAN. Fenrir en parle dans ce tuto je crois. @Pingouindunas oui les redirections sont bonnes, mais elles ne peuvent fonctionner que si vous mettez en place le serveur DNS et le reverse proxy. Sans cela, vous ne pourrez pas utiliser le 443 pour vous connecter aux différentes applis du NAS. Allez faire un tour du côté du tuto de Fenrir sur le serveur DNS (attention, ce n'est pas simple à appréhender et à mettre en service) et si vous voulez voir le serveur proxy en application, rendez-vous sur mon intervention en page 2 de ce même tuto du serveur DNS. @9re9os pour le point 3, vous pouvez laisser le port 80 ouvert en permanence vers le NAS. C'est le parefeu qui ne laissera passer que les 2 adresses LE. Le reste sera bloqué. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Pingouindunas Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 Pour @Mic13710 Citation Allez faire un tour du côté du tuto de Fenrir sur le serveur DNS (attention, ce n'est pas simple à appréhender et à mettre en service) et si vous voulez voir le serveur proxy en application, rendez-vous sur mon intervention en page 2 de ce même tuto du serveur DNS. On est obligé de passer par serveur DNS (j'avais bien compris que c'est le top) ? mais déjà que mes neurones sont en surchauffe 😂 Pas de solution plus simple pour mon cerveau d'éternel débutant ? Je vais regarder jusqu'au moins la page 2 qui me concerne. Mon cerveau va faire des nœuds et surchauffer, c'est certain ! 😀 En tout cas, merci de vos conseils. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
9re9os Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 il y a 19 minutes, Mic13710 a dit : C'est surtout contre ceux là qu'il faut se prémunir avec des mdp forts et un parefeu très restrictif. oui, et en cela le tuto est très clair. Le parefeu est facile à appréhender, et les différents screen sur le fil permettent d'y aller à son rythme. Plus la bonne gestion des admin/utilisateurs Bon, j'avoue qu'avec mon mdp à plus de 72 caractères, je suis bon là . il y a 19 minutes, Mic13710 a dit : L'avantage d'un ndd associé au serveur DNS et au serveur proxy c'est qu'on peut utiliser la même url que ce soit côté LAN ou côté WAN. Fenrir en parle dans ce tuto je crois. C'est bien la raison qui m'ont fait suivre l'ensemble des tutos cohérents pour une bonne maîtrise de son matériel. Galère pour un néophyte du réseau, mais avec un peu de temps, c'est jouable. Et que du bonheur ensuite. Il y a juste eu, pour moi, un peu d'incomprehension de l'intérêt du reverse proxy (dans mon cas précis, puisque je n'accède aux appli que via mobile). Dès lors que mon accès au nas via appli mobile se fait en LAN ou WAN via le même ndd, je ne pigeais pas pourquoi et dans quel cas utiliser le reverse proxy. Mais ça y est... pour plus tard, c'est en place. Pour accès extérieur au appli via navigateur. Je précise que je suis utilisateur principal et presque unique de mes données. il y a 19 minutes, Mic13710 a dit : pour le point 3, vous pouvez laisser le port 80 ouvert en permanence vers le NAS. C'est le parefeu qui ne laissera passer que les 2 adresses LE. Le reste sera bloqué. Ok. J'avais pensé qu'il était préférable de n'activer les règles du parefeu et la redirection entre routeur et nas du 80 que lors des périodes de màj LE. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 @PingouindunasSi comme vous le dites vous n'êtes pas à l'aise avec votre NAS, je vous conseille pour le moment de le faire fonctionner de manière classique avec les ports par défaut (5001) car c'est le plus simple. C'est seulement qu'après avoir compris le fonctionnement général que vous pourrez allez plus loin. Ne brulez pas les étapes. Je vous ai parlé du serveur DNS pour vous dire qu'il y avait d'autres solutions, et je pensais aussi que vous aviez assez d'expérience pour vous lancer dans l'aventure. Comme ce n'est pas le cas, contentez vous de suivre le tuto de Fenrir et faite les paramétrages de base. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
9re9os Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 il y a 25 minutes, Mic13710 a dit : et si vous voulez voir le serveur proxy en application, rendez-vous sur mon intervention en page 2 de ce même tuto du serveur DNS. C'est bien à cause de vous (peut-on de tutoyer ? ;) ) et de votre intervention sur cette page-là que j'ai filé droit chez OVH et quitter mon ancien prestataire depuis 4 ans Bon ceci dit, je me suis gardé la partie DNS public pour plus tard... comme @Pingouindunas, j'attends un peu le refroidissement des neurones. D'autant que dans mon usage quotidien, ce n'est pas nécessaire. Oui, Pingouindunas, le serveur DNS n'est pas indispensable, mais au point où tu en es, c'est quand même dommage de passer à côté. C'est l'étape d'après. La pièce manquante du puzzle, combiné avec le serveur VPN. Vas-y par palier. Le tuto s'applique plutôt bien, dès lors que la base est mise en place : nom de domaine, certificats (prends le temps de lire l'ensemble des interventions pour t'éviter de refaire trop de fois la demande de certifications, si tu veux utiliser le reverse proxy), et dynDNS. Bon courage ! Profites d'un week-end de pluie 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Pingouindunas Posté(e) le 1 décembre 2018 Partager Posté(e) le 1 décembre 2018 @Mic13710 Merci du conseil. Mais je rame beaucoup. Je n'ai jamais pratiqué les nas. Mes cours réseau remontent à 2002, autant dire l'antiquité. De plus, je commence à prendre de l'âge et la mémoire patine. 😊 Je vais donc rester à une config plus classique. Je referai demain la synthèse de ce que je dois paramétrer (ce soir trop fatigué !). Merci de vos messages. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Pingouindunas Posté(e) le 2 décembre 2018 Partager Posté(e) le 2 décembre 2018 Bonjour à tous, Voici les règles que j'ai appliquées à la fois dans le parefeu du nas et dans celui de la box. parefeu du nas : ensuite, dans la box : j'ai ouvert les ports suivants vers le nas : 80, 443 et 6690. Est-ce suffisant ou au contraire open bar ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 2 décembre 2018 Partager Posté(e) le 2 décembre 2018 (modifié) Bonjour, Je comprend pas trop tes règles là. A quoi correspond cette adresse : 192.2.3.0 ? Pourquoi ouvrir le 5000 et 5001 si tu passes par un reverse proxy avec les ports 80 et 443 ? Pour le port 80, ok en ouverture mais si tu appliques une redirection automatique en php par exemple. Mais pas par l'option intégrée dans DSM ! Modifié le 2 décembre 2018 par Zeus 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Pingouindunas Posté(e) le 2 décembre 2018 Partager Posté(e) le 2 décembre 2018 @Zeus J'ai essayé de faire une config "simple". 192.2.3.0 : J'ai copié bêtement les règles de parefeu sur le tuto de Fenrir : oups ! pas bien apparemment. Pour l'instant, je n'ai pas activé le reverse proxy, car je n'ai pas le nom de domaine donné par syno. Et je n'ai pas encore le certificat LE. une ouverture du 80 en php, je ne sais pas faire. bref, j'ai encore beaucoup d'embûches devant moi ! Il faudrait commencer par avoir le certificat, puis après le ndd chez syno ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 2 décembre 2018 Partager Posté(e) le 2 décembre 2018 Je suis pas sûr qu'on puisse faire un reverse proxy avec le ndd de Quickconnect. Et je te déconseille ce ndd d'ailleurs même si gratuit. Je te recommande plutôt de passer par ton propre ndd acheté chez OVH par exemple qui gère les DynDNS si tu n'as pas d'IP fixe. Ca ne coute que quelques euros par an ! Et Fenrir montrait un exemple mais ce n'était pas forcément pour tout le monde. Pour la redirection php, il y a des sujets sur le forum 😉 Le certificat, fais le à la fin quand tu rencontreras un soucis sur ton navigateur, c'est pas l'urgence sans compter que tu ne peux pas le faire si tu n'as pas encore le nom de domaine ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.