Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Actuellement, j'ai bien un ndd acheté chez ovh mais  il héberge un site web.

Si un jour, je passe le site en https, j'aurai besoin du certificat attenant au ndd.

Donc, en premier :

Acheter un autre ndd chez ovh ou il faut seulement aller sur ovh cocher une option ?

Voici ce que je peux trouver dans le compte du ndd che zovh : il y a différents onglets dont  Zone DNS et Serveurs DNS, Redirection, Dynhost,

Dans Zone DNS, on peut cliquer sur Ajouter une entrée, réinitialiser ma zone DNS, modifier le ttl par défaut, modifier en mode contextuel, et supprimer la zone DNS.

Dans Serveurs DNS, il y a activer anycast et modifier les dns

Dans Redirection, il y a ajouter une redirection et exporter en csv.

Dans Dynhost, il y a pas grand'chose. voir copie d'écran ci-dessous.

Dynhost.thumb.jpg.4ee55ed5e0d85d905e02467dfd3b7506.jpg

Je ne vois pas DDNS dans les onglets ou options.

Que dois-je faire pour les DDNS puisque l'on n'a pas d'IP fixe ?

Merci.

 

Lien vers le commentaire
Partager sur d’autres sites

Je viens de trouver certainement la piste des ddns chez ovh.

Il faut se créer un dynhost.

Pour en créer un, (je vais attendre confirmation : je ne vais pas faire n'importe quoi quand même), je vais donc sur création.

2 questions me viennent à l'esprit :

il faut indiquer un sous-domaine  au ndd actuel : je peux indiquer par exemple syno.ndd_actuel_ovh ?

il faut indiquer l'ip actuelle de la destination, c'est quoi et c'est où ?

417392186_creationdynhostchezovh.jpg.e9d70bdeda22b4d133cd8393112f6cec.jpg

Je suis largué, là !

 

 

Lien vers le commentaire
Partager sur d’autres sites

l'Ip actuelle est ton IP publique.

un coup de IPCONFIG -all ou via une recherche sur internet (cherches "IP"... ça va être simple)

Oui tu peux indiquer syno.ndd_actuel etc

Après, une fois fait, il te faudra créer un identifiant de connexion. Regardes sur la droite dans l'onglet DynHost sur la page OVH.

 

Pour ton parefeu, vires la ligne 5000-5001. Ainsi que la ligne 80,443 ->192.0.2.3

Ensuite reviens par ici.

Lien vers le commentaire
Partager sur d’autres sites

Heu, je connaissais la réponse mais je n'y pensais plus. Désolé 😞

Sinon, l'ip publique serait laquelle car il y en a 3 en jeu. Je m'explique :

Dans un premier temps, le nas est chez moi et je règle la sécurité du nas aux petits oignons grâce à vous 😀

Ensuite, quand il sera prêt, je vais l'emmener au bureau pour copier le dossier partagé en local.

Et enfin, j'irai emmener le syno chez la personne de confiance (ici, je n'ai pas beaucoup de bande passante) pour installer définitivement le syno.

Cela me donne 3 IP publiques. Laquelle prendre ? Logiquement, ce serait celle où est stocké le dossier partagé : j'ai bon ou pas ?

Quelle ip publique renseigner sur le compte ovh pour créer un dynhost ?

 

Lien vers le commentaire
Partager sur d’autres sites

@Mic13710 Bonjour,

Si le nas n'autorise que la connexion via ports 80 et 443, et que l'on accède à l'ensemble des applications par reverse proxy ;

Si le nas, donc, n'autorise plus le 5000 et 5001 autrement que par connexion VPN,

comment procèdet-t-on à un partage ponctuel de fichier via le clic droit sur filestation ?

Je cherchais à comprendre pourquoi j'en étais arrivé à conserver mes ports 5000 et 5001 ouverts, et pourquoi je faisais de la translation (= translation pour l'esthétique :mrgreen: du lien de partage).

Parce que si j'ai bien tout compris, en n'autorisant 5000 et 5001 qu'en LAN, et en ne faisant plus de redirection routeur -> nas, plus d'accès possible par un lien. 

 

@Pingouindunas

il y a 8 minutes, Pingouindunas a dit :

Quelle ip publique renseigner sur le compte ovh pour créer un dynhost ?

J'aurai tendance à te dire de faire la config sur la base de ton IP Publique actuelle, ça te permet de tout mettre en place.

Puis quand tu seras sur prêt à copier le dossier partagé en local, tu n'auras besoin de faire de paramètres sécu.

Enfin, bien plus au clair des config, lors de l'installation en lieu et place définitive, tu rechercheras l'IP publique finale et modifieras le DynDNS en conséquence.

Sauf si tu veux passer tes nuits chez la personne de confiance pour mettre en place DynDNS et certif à la fin (perso j'ai commencé par là, alors ça me semble assez bizarre de finir par là).

L'IP publique ne sera pas celle de ton syno, mais bien celle de la internetBox chez la personne de confiance. L'adresse donc, fournie par le FAI.

Modifié par 9re9os
Lien vers le commentaire
Partager sur d’autres sites

J’insiste pour comprendre et donc je reformule :

-Utiliser le reverse proxy permet de limiter drastiquement le nombre de ports ouverts donc de tout faire transiter par le 443 pour être ré adressé correctement ensuite.

-Par ailleurs si on veut pouvoir faire ponctuellement du partage de fichiers par un lien, on doit tout de même autoriser l’accès (translation ou pas) par le 5001.
Sauf que dans ce cas, le reverse proxy n’est plus pertinent puisque il est plus court de rentrer ndd.fr:5001 (dans toutes les appli mobiles) plutôt que file.ndd.fr:443 ou audio.ndd.fr:443 etc... suivant les appli utilisées.

Quelque chose m’échappe.
Peut-être le process serait-il de fermer le 5001 de façon générale (j’ai un reverse proxy aussi pour l’accès DSM = dsm.ndd.fr:443 qui redirige vers le localhost:5001 - ou j’ai toujours le choix d’y accéder par VPN) et de ne l’ouvrir que lors des partages de liens. Mais ça me semble inconfortable et laborieux, comme méthode.

Si une bonne âme peut m’éclairer j’en serai bien reconnaissant ^^

Lien vers le commentaire
Partager sur d’autres sites

Citation

-Par ailleurs si on veut pouvoir faire ponctuellement du partage de fichiers par un lien, on doit tout de même autoriser l’accès (translation ou pas) par le 5001.
Sauf que dans ce cas, le reverse proxy n’est plus pertinent puisque il est plus court de rentrer ndd.fr:5001 (dans toutes les appli mobiles) plutôt que file.ndd.fr:443 ou audio.ndd.fr:443 etc... suivant les appli utilisées.

Absolument pas. Le partage de fichiers chez moi fonctionne via le reverse proxy et donc par le port 443 !

Le lien ressemble à : https://file.ndd.tld/xxxx

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

Les adresses des liens sont fonction des paramètres que vous avez indiqué dans les accès externes.

Pour utiliser les ports 80 et 443 avec votre nom de domaine, vous modifiez les options avancées comme suit :

Nom d'hôte ou IP statique : votre ndd pour accéder à File Station (pour moi c'est file.monndd)

DSM (http) : 80

DSM(https) : 443

Avec ces paramètres, si vous vous connectez au NAS en https, les liens générés seront sous la forme :

https://votre ndd pour accéder à File Station/sharing/et le numéro du lien

Vous n'utilisez plus le port 5000 ou 5001 😊

il y a 5 minutes, Zeus a dit :

Le partage de fichiers chez moi fonctionne via le reverse proxy et donc par le port 443 !

A condition d'avoir fait ce que j'indique ici !

Lien vers le commentaire
Partager sur d’autres sites

Le 27/11/2018 à 04:37, Fenrir a dit :

@camdel : dans ton FW, aucune règle n'autorise la connexion au port 5001 depuis Internet (ta règle 5 autorise le nas à se connecter à lui même).

@Fenrir J'ai donc retiré le port 5001 de la ligne 5. J'ai ajouté tout en haut des règles, en première ligne donc, une nouvelle règle autorisant le port 5001 pour "Tous". Cf. screenshot ci-dessous. Mais ça ne fonctionne toujours pas. Qu'est ce que j'ai pu faire de travers ?

390506561_Capturedecran2018-12-0223_29_27.thumb.png.0f219f55889625464425072d55bd6456.png

Merci par avance de tes réponses.

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @Fenrir,

Voici deux petites choses qui ont changées ou été ajoutées sur DSM par rapport à ton tuto si tu veux le modifier 😉

Partie MAJ de DSM (changement minime).

Il n'y a plus l'option pour télécharger automatiquement une nouvelle MAJ et ne pas l'installer.

181203114202523413.png

Sécurité et accès à un domaine :

On peut depuis DSM 6.2.1 limiter un peu plus l'accès à un domaine en particulier uniquement en local et/ou par VPN par exemple sans forcément tout bloquer.

Pour se faire, il faut aller dans "Panneau de configuration > Portail des applications > Profil de contrôle d'accès".

Là, on peut créer un profil comme ci-dessous :

181203114452626790.png

 

Puis on va dans notre proxy inversé, on choisit le domaine souhaité comme ci-dessous et on valide l'option.

181203114804275112.png

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

J'arrive à me connecter depuis l'extérieur sur mon nas. Mais les règles du parefeu nas et (ou) box m'empêchent d'obtenir un certificat (message erreur).

Voici les règles du parefeu nas :

1283848826_reglesparefeudusyno4.jpg.70462b1c993f93798f44abbe6bea9510.jpg

Celles de la box :

847618203_reglesparefeudebox3.thumb.jpg.4a84527a27ac560ffc307ae840e2ee34.jpg

Le message d'erreur LE :

262525399_erreurobtentioncertificatLE.jpg.adeb9123abbb61e0d3d69eeac131681d.jpg

Qu'est-ce qui cloche pour empêcher le certificat chez let's Encrypt ?

Merci.

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, PiwiLAbruti a dit :

@camdel : Les deux premières règles sont inutiles puisque les 3 règles suivantes (réseaux privés) répondent déjà à ce besoin.

@PiwiLAbruti Ok, je note et retire. Alors comment dois-je procéder pour accéder à mon NAS depuis internet ? Quelle règle dois-je écrire ?

A toutes fins utiles, je reprécise que même en désactivant le pare-feu je n'ai pas accès à mon NAS depuis internet.

Modifié par camdel
Lien vers le commentaire
Partager sur d’autres sites

il y a 36 minutes, camdel a dit :

[...] je n'ai pas accès à mon NAS depuis internet

  1. Est-ce que le port concerné (tcp/5001 ou tcp/443 si reverse proxy) est bien redirigé depuis le routeur vers le NAS ?
  2. Est-ce que le port est autorisé dans le pare-feu du NAS ?
  3. Est-ce que le port est bien vu comme ouvert depuis http://canyouseeme.org/ ? (Si oui, restreindre immédiatement la zone géographique qui a accès à ce port dans le pare-feu du NAS)
  4. Quelle adresse utilises-tu pour accéder à ton NAS depuis internet ? (donne-la en MP vu que c'est une information sensible)
Lien vers le commentaire
Partager sur d’autres sites

Il y a 15 heures, PiwiLAbruti a dit :

Est-ce que le port concerné (tcp/5001 ou tcp/443 si reverse proxy) est bien redirigé depuis le routeur vers le NAS ?

oui tcp/5001 sur IP interne du NAS (IP fournie par Synology Assistant pour être sûr)

Il y a 15 heures, PiwiLAbruti a dit :

Est-ce que le port est autorisé dans le pare-feu du NAS ?

Je pensais que oui mais il semblerait que je ne comprenne pas bien comment le faire. Je suis preneur d'un peu plus de détail/explication.

J'ai une règle qui est supposée faire cela : 5001/TCP/Belgique&France/Autoriser

Je reprécise à toutes fins utiles que même avant le tuto, sans pare feu donc, je n'arrivais pas à joindre le NAS depuis l'extérieur sauf par QuickConnect.

Il y a 15 heures, PiwiLAbruti a dit :

Est-ce que le port est bien vu comme ouvert depuis http://canyouseeme.org/ ? (Si oui, restreindre immédiatement la zone géographique qui a accès à ce port dans le pare-feu du NAS)

Non.
L''IP suggérée par canyouseeme.org est bien la même que je retrouve dans DDNS / adresse externe Ipv4 mais sur le port 5001 j'obtiens "I could not see your service on ADRE.SSE.EXT.ERNE on port (5001) Reason: Connection timed out"

Il y a 15 heures, PiwiLAbruti a dit :

Quelle adresse utilises-tu pour accéder à ton NAS depuis internet ? (donne-la en MP vu que c'est une information sensible)

MP

Lien vers le commentaire
Partager sur d’autres sites

Vérifie que QuickConnect est bien désactivé.

il y a 6 minutes, camdel a dit :

L''IP suggérée par canyouseeme.org est bien la même que je retrouve dans DDNS / adresse externe Ipv4 mais sur le port 5001 j'obtiens "I could not see your service on ADRE.SSE.EXT.ERNE on port (5001) Reason: Connection timed out"

Rien ne sert d'aller plus loin tant que ce test n'est pas concluant. Il faut reprendre les points 1. et 2.

Est-ce que le routeur dispose d'un pare-feu ?

Est-ce que les règles sont bien configurées dans le contexte "Toutes les interfaces" du pare-feu du NAS ? (liste déroulante en haut à droite qui n'apparaît d'ailleurs pas dans ta précédente capture)

Poste à nouveau une capture d'écran des règles de translation (NAT/PAT) du routeur et des règles du pare-feu du NAS.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour le suivi @PiwiLAbruti

Il y a 5 heures, PiwiLAbruti a dit :

Est-ce que le routeur dispose d'un pare-feu ?

 

Oui

2101255076_Capturedecran2018-12-0415_34_46.thumb.png.0dae30aabe7bdf01d2b4c35f00c22598.png

  • Low: All connection attempts coming from the WAN or initiated from the LAN are permitted
  • Medium: All connection attempts coming from the WAN are rejected with the exception
    of those that have been authorized through port forwarding, DMZ or remote access configuration.
    All Services initiated from the LAN are permitted.
  • High: All connection attempts coming from the WAN are rejected with the exception of those
    that have been authorized through port forwarding, DMZ or remote access configuration.
    Services initiated from the LAN are restricted to the ones authorized via the rules set in the firewall 
    (common services are covered by default).
Il y a 5 heures, PiwiLAbruti a dit :

Est-ce que les règles sont bien configurées dans le contexte "Toutes les interfaces" du pare-feu du NAS ? (liste déroulante en haut à droite qui n'apparaît d'ailleurs pas dans ta précédente capture)

Oui

96315860_Capturedecran2018-12-0415_37_19.thumb.png.176cf305b3af362647cc934bbe99af47.png

Lien vers le commentaire
Partager sur d’autres sites

Le profil de pare-feu du routeur est bon :

Medium: All connection attempts coming from the WAN are rejected with the exception
of those that have been authorized through port forwarding, DMZ or remote access configuration.

La configuration du pare-feu du NAS est bonne le temps de faire les tests, mais les ports restent inaccessibles.

Est-ce que l'adresse IP privée du NAS renseignée dans cette règle est bien la bonne ? Sinon, la règle de redirection de port serait erronée (poste une capture de cette règle).

Au passage, est-ce que l'adresse IP du NAS est fixée ou attribuée par DHCP ? Si elle este attribuée par DHCP, assure-toi de créer un bail de réservation pour qu'elle ne change pas.

Lien vers le commentaire
Partager sur d’autres sites

Gaffe aussi que le soucis vienne pas du routeur si c'est celui intégré dans la box opérateur. J'ai récemment dépanner quelqu'un via Teamviewer et le soucis venait de sa Freebox qui ne voulait pas ouvrir les ports vers le NAS alors qu'il disait le contraire.

Après plusieurs redémarrage, c'était revenu à la normale.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir à tous,

Me revoilà. Ça avance dans le bon sens. J'ai réussi à obtenir le certificat que je n'arrivais pas à obtenir à cause de la non ouverture du port 80 sur la freebox.

En revérifiant la config de la box, j'ai vu qu'il y avait une règle obsolète sur le port 80 qui concernait une adresse ancienne Mac. J'ai l'impression que la box prenait d'abord l'ancienne règle qui se trouvait plus haut dans la liste. Je l'ai supprimé et le port 80 est maintenant ouvert. J'ai vérifié avec canyouseeme. C'est bon.

Je vous adresse les règles de mon parefeu nas pour vérifier si c'est correct ou pas.

241787728_reglesparefeudusyno8.jpg.94509bd2e1b4d2ba0e0d44ad8fba5b30.jpg

 

Demain, je vérifierai l'accès extérieur du nas avec mon smartphone. Je serai obligé de me rapprocher de l'émetteur. Je ferai donc cela en plein jour.

Un grand merci à tous qui m'ont aidé.

 

Lien vers le commentaire
Partager sur d’autres sites

[mention=75507]Pingouindunas[/mention]

Précises toutefois, pour qu’on ne te tombe pas dessus ;) que 5000 et 5001 sont activés le temps de mettre en place le VPN, et pour pouvoir tester dès demain, en plein jour ^^, si tout est bien accessible.

 

Qu’ensuite tu attaqueras le serveur VPN, qui dans ton cas, parait plus pertinent et plus urgent à mettre en place qu’un serveur DNS et du proxy inversé. Car pour rappel ^^ tu prepares un serveur pour de la sauvegarde délocalisée et via internet, de données d’une TPE.

 

Néanmoins, jettes un oeil sur la 3e régle en partant d’en bas. Tu dois avoir des cases cochées qui font double emploi avec ton avant dernière règle.

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.