Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

Pour le parefeu du nas, j'ai décoché la 3ème ligne en partant du bas. Et ça fonctionne aussi. C'est vrai que cela était en double emploi avec l'avant dernière règle.

Je désactiverai l'avant dernière ligne quand j'aurai fait le test à l'extérieur, en attendant que le nas soit en prod.

Je vais maintenant me mettre au serveur VPN car effectivement, la sauvegarde à mettre en place concerne des données sensibles : commerciales, comptables, financières, etc ....

J'ai bien compris qu'il est impératif d'installer un serveur VPN pour plus de sécurité.

Cela va être un nouveau challenge que d'étudier le serveur vpn 😉

@Mic13710  m'avait conseillé le serveur dns. Je ne voulais pas trop m'y plonger mais tout compte fait, je me plonge dans le grand bain avec les serveurs vpn. Ce n'est sans doute pas aussi ardu que les dns. Mais je vais essayer.

J'aurai probablement l'occasion de vous retrouver dans les commentaires du tuto des serveurs vpn.

 

Lien vers le commentaire
Partager sur d’autres sites

J'ai balayé vos différents message et je suis content que ce post soit toujours autant actif 😁

Par contre je n'ai pas le temps ni le courage de tout lire en détails pour recoller les morceaux 🙄

Si vous avez encore des points de blocage, n'hésitez pas à faire un récapitulatif détaillé d'où vous en êtes et de ce qui ne fonctionne pas, ça permettra aux personnes de passage (moi inclus) de mieux cerner le problème mais surtout, ça vous permettra peut être de comprendre par vous même ce qui coince et comment avancer 😋

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

J'ai essayé l'accès au nas depuis internet.

Ça marche mais à une condition :

petit rappel : le sous domaine a été obtenu en créant un dynhost auprès d'ovh (dynDNS) merci à @Zeus qui me l'avait recommandé

si je tape : sous-domaine.ndd:5001, j'obtiens l'erreur suivante qui était affichée sur 3 lignes :

Citation

Réponse du navigateur  : Erreur en se connectant directement en 5001 :

400 Bad Request 

The plain http request was sent to https port.

nginx

Par contre, si je tape sous-domaine.ndd:5000, il me convertit l'url en sous--domaine.ndd:5001 et on arrive après 5 minutes environ à la page d'authentification du dsm. J'en ai profité pour me connecter pour vérifier si cela restait aussi lent. Ensuite, il a fallu 2 minutes environ (je m'attendais pas que ce soit aussi lent, je n'ai donc pas chronométré).

J'ai réussi à me logguer et j'arrive bien au tableau de bord du dsm.

Nota : ici, j'ai une bande passante adsl de 3 M environ. Je me suis connecté à la tpe pour lancer le test de l'accès du nas depuis internet. Ce qui explique aussi la lenteur de la connexion.

Question :

erreur en 5001 ?

Faut-il s'authentifier en 5000 pour qu'il puisse passer ensuite de lui-même en 5001 ?

 

Lien vers le commentaire
Partager sur d’autres sites

Es-tu bien certain d’avoir fait ta requette en https pour le port 5001 et non en http ?

Déjà ça. Après, concernant la lenteur, il conviendra de tester depuis des installations plus rapides. Si ton serveur est derrière une connexion lente, ça peut ne pas être surprenant.

(Edit : suppression du bégaiement)

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 55 minutes, 9re9os a dit :

Es-tu bien certain d’avoir fait ta requête en https pour le port 5001 et non en http ?

C'est-à-dire comment la formuler exactement en https ?

J'ai tapé dans la barre d'adresse : sous-domaine.ndd:5001 (voir erreur plus haut), et ensuite sous-domaine.ndd:5000

J'utilise Firefox et c'est lui, qui ajoute selon les cas, http ou https. C'est peut-être cela que  tu voulais que je précise ?

 

Lien vers le commentaire
Partager sur d’autres sites

Oui, que ce soit sur tel ou navigateur, il faut que tu retapes l’ensemble de ta requête en commeçant par https.
Du moins temps que tu n’auras pas installer un serveur web pour coller à la racine du dossier « web » créé, un fichier .php contenant un script de redirection http->https qui t’evites de le preciser.
Mais ça sera pour après ;) avec le reverse proxy ^^
Refais l’essai complet :
https://sousdomaine.ndd.fr:5001

Lien vers le commentaire
Partager sur d’autres sites

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

mais les ports restent inaccessibles

@PiwiLAbruti C'est à dire ? Je ne comprends pas comment ils doivent être alors. Comme ça ?2004542970_Capturedecran2018-12-0619_21_37.thumb.png.e7479b69c194183f4bd499817285b45e.png

 

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

Est-ce que l'adresse IP privée du NAS renseignée dans cette règle est bien la bonne ?

A vous de me le dire. Je fais à la hauteur de ce que je comprends. Synology Assistant (utilitaire) me donne cette information et c'est aussi ce que me dit ma box.

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

poste une capture de cette règle

De quelle règle parle-tu ? de la 5ème ? Je ne comprends pas quel détail en plus je peux donner.
J'ai sélectionné

  • Sélectionner application intégrées -> 80, 443, 6690
  • IP Spécifique -> Hote -> IP.INTERNE.DU.NAS
Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

Au passage, est-ce que l'adresse IP du NAS est fixée ou attribuée par DHCP ?

C'est commence à devenir du chinois pour moi. Dans Panneau de configuration > Réseau > Interface réseau "Définir la configuration réseau  automatiquement (DHCP)" est coché comme indiqué dans le tuto de @Fenrir. "Définir comme valeur par défaut" est coché également (comme dans le tuto)

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

Si elle este attribuée par DHCP, assure-toi de créer un bail de réservation pour qu'elle ne change pas

Je ne comprends pas. Soit plus explicite stp, je suis novice 😊!

Le 04/12/2018 à 16:49, Zeus a dit :

Gaffe aussi que le soucis vienne pas du routeur si c'est celui intégré dans la box opérateur.

@Zeus Comment je vérifie cela ?

Pour info à chaque fois que je jette un oeil à la box les règles Upnp (je ne sais pas ce que sait mais visiblement à la lecture de ce fil ça a l'air d'être important) change toutes seules et repassent sur Yes au lieu de No

399738840_Capturedecran2018-12-0619_38_26.thumb.png.430df691514b489971166fbc0dbaaa8a.png 

Le 05/12/2018 à 00:28, Fenrir a dit :

n'hésitez pas à faire un récapitulatif détaillé d'où vous en êtes et de ce qui ne fonctionne pas,

@Fenrir j'en suis au même point que quand je suis arrivé sur ce forum 😭


Merci par avance de votre coup de main.

Modifié par camdel
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir à tous,

Je prends le train en marche pour @camdel

Je me permets de répondre  en tant que grand débutant comme toi.

Je viens de lire la fin de ton message. Mais j'ai remarqué à la fin de ton dernier post, tu dis ceci :

Citation

Pour info à chaque fois que je jette un oeil à la box les règles Upnp (je ne sais pas ce que sait mais visiblement à la lecture de ce fil ça a l'air d'être important) change toutes seules et repassent sur Yes au lieu de No

Ayant lu plusieurs fois le tuto, j'ai retenu qu'il fallait désactiver Upnp et DMZ. Or je vois que ta box est activée en Upnp. Donc, normal que tes valeurs changent tout le temps. Je pense  que les autres bien plus avisés que moi te confirmeront (j'espère ne pas me tromper du tuto).

Sur ma box, Upnp et DMZ sont désactivés et c'est presque un jeu d'enfant de paramétrer ce que l'on veut (du moment que l'on sait ce que l'on veut faire). ;-)

J'ai réussi à connecter mon nas depuis l'extérieur.

 

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Le 06/12/2018 à 21:45, Pingouindunas a dit :

Or je vois que ta box est activée en Upnp.

@PingouindunasJ'ai beau basculer "Yes" sur "No" des 2 lignes et enregistrer la modif, quand je reviens voir quelque temps après c'est repassé sur Yes tout seul. Je ne sais pas quoi d'autre faire sur ce point...

 

Le 06/12/2018 à 21:54, PiwiLAbruti a dit :

la règle PAT/NAT configurée sur le routeur/box

@PiwiLAbruti Comme postée précédemment depuis le debut de mes question sur le forum, je remets la capture ci-après

1302548769_Capturedecran2018-11-0814_22_19.thumb.png.40f8731828c8b8e0b2b3eb86e22f89bd.png

Le 06/12/2018 à 19:22, camdel a dit :

Si elle este attribuée par DHCP, assure-toi de créer un bail de réservation pour qu'elle ne change pas

Et sur cette question ? Je ne comprends pas. Tu me donne plus d'élément stp ?

Merci par avance de vos retours.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, camdel a dit :

J'ai beau basculer "Yes" sur "No" des 2 lignes et enregistrer la modif, quand je reviens voir quelque temps après c'est repassé sur Yes tout seul. Je ne sais pas quoi d'autre faire sur ce point..

Bonjour,

Tu dois avoir une option pour désactiver l'upnp et dmz dans les options générales ou avancé.

C'est quoi comme box à tout hasard ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 37 minutes, Pingouindunas a dit :

C'est quoi comme box à tout hasard ?

@PingouindunasIl y a bien une option pour désactiver Dmz mais pas Upnp. C'est une "b-box 3V+" fourni par le FAI dénommé Proximus (gros opérateur belge, puisque je suis en Belgique).

Après quelques recherche il apparait qu'il ne serait pas possible de désactiver l'Upnp sur cette box. Je ne sais pas vraiment ce que ça implique dans mon cas. Je veux bien une explication, svp.
Merci !

Modifié par camdel
Lien vers le commentaire
Partager sur d’autres sites

il y a 25 minutes, camdel a dit :

C'est une "b-box 3V+" fourni par le FAI dénommé Proximus (gros opérateur belge, puisque je suis en Belgique).

Je n'ai pas d'idée.

Peut-être chercher de ce côté : forum du FAI.

ou celui-ci (concerne aussi proximus) : au autre forum sur Proximus

Modifié par Pingouindunas
ajout
Lien vers le commentaire
Partager sur d’autres sites

@Pingouindunas merci, je suis déjà allé scruter ce terrain là et c'est là que j'ai appris qu'il ne serait pas possible de désactiver l'Upnp sur cette box (contrairement à la version précédente).
Par contre je n'ai toujours pas saisi quel impact ça a ? Saurais-tu m'expliquer ou me rediriger vers une ressource pour compréhensible pour novice ?

Merci par avance.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 4 heures, camdel a dit :

Par contre je n'ai toujours pas saisi quel impact ça a ? Saurais-tu m'expliquer ou me rediriger vers une ressource pour compréhensible pour novice ?

Je ne sais pas trop mais cela expliquerait sans doute tes problèmes de configuration (j'avais vu dans le tuto qu'il fallait désactiver upnp et dmz).

Après, je suis un éternel débutant.  Je laisse le soin aux plus experts de te répondre.

Par contre, je n'ai pas d'autres ressources à te proposer.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

Je dois configurer un routeur Orange (Flybox 4G) de la même manière que pour une Livebox avec ses règles NAT/PAT

Est-ce que certains d'entre vous disposez de ce matériel car je n'arrive pas à trouver les menus nécessaires (sécurité, Parefeu) pour configurer ses règles dans la console d'administration. Je n'ai trouvé aucune doc technique sérieuse chez Orange.

Des copies d'écran seraient un must.

Merci d'avance.

Lien vers le commentaire
Partager sur d’autres sites

Pas d’ouverture de port possible, il n’y a que Bouygues qui permet cela à ce jour, si tu veux y accéder à distance, il faudra passé par quickconnect.

Il est plus intéressant de passé par une puce Free greffée sur le compte de quelqu’un pour avoir l’illimité niveau data, la 200Go... c’est Peu...

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonjour à tous,

Tout d'abord un grand merci à Fenrir pour ce tuto, et à tous ceux qui ont apporté leurs précieux conseils dans les messages suivants.

Je suis intéressé par la mise en place du certificat et la redirection automatique vers https car je souhaite fournir un accès sur internet à mon NAS. J'essaye de suivre les étapes mais il semble que mon certificat ne soit pas pris en compte. Je dispose de la version DSM 6.2.1-23824 Update 4 sur un modèle DS218play. Et je fais les manip depuis Chrome sur un macbook (mais ça je pense que ça ne change rien).

Etant fortement incompétent en réseau, je n'ai pas la certitude d'avoir effectué les étapes correctement :

Redirection des ports 80 et 443 : mon routeur est ma bbox, voici les règles que j'ai implémentées (l'adresse masquée est l'adresse privée du nas et j'ai laissé les ports 5000 et 5001 par défaut) :

 50779452_Capturedecran2019-01-03a11_28_23.thumb.png.9b302c4e1e9d75e33fe4169bc83ebb5c.png

 

Ensuite sur le pare-feu du nas j'ai ouvert les ports 5000 et 5001 (et dans le doute les ports 80 et 443 également) pour tout le monde :

1926265239_Capturedecran2019-01-03a11_19_39.thumb.png.f2f07c625a0fc3d60867d375f4173719.png

 

J'ai également activé le domaine personnalisé (le même que j'avais déclaré dans quickconnect, mais j'ai désactivé quickconnect) :

325172822_Capturedecran2019-01-03a11_32_36.png.b720bed54ac81a55e40f516fc23bcb07.png

 

Et dans la config DDNS j'ai respecté le même nom de domaine et j'ai mis l'adresse externe de ma bbox :

1031862035_Capturedecran2019-01-03a11_33_52.thumb.png.89b50093d3e6faf23b0ccefa146d9511.png

 

Ensuite j'ai ajouté un certificat Let's encrypt pour remplacer le certificat par défaut. J'ai renseigné le nom de domaine défini en nom d'hôte DDNS (toto.synology.me), et la même adresse email. J'ai laissé "autre nom de l'objet" vide.

Quand je lance la génération du certificat, il redémarre le serveur web et ensuite j'ai le message suivant :

1470213832_Capturedecran2019-01-03a11_39_05.thumb.png.9b44b40e8aa2f58a688b6217bed83ffa.png

 

J'en déduis (à tort ?) que le certificat ne s'est pas correctement installé, sinon il me mettrait automatiquement en https non ?

Et quand j'essaye en 4G depuis un téléphone portable (via l'adresse https://toto.synology.me) j'ai un message d'erreur synology disant qu'ils ne trouvent pas la page.

 

Quelqu'un a une idée de mon (ou mes) erreur(s) ?

Merci d'avance pour votre aide.

Modifié par dadap94
Lien vers le commentaire
Partager sur d’autres sites

Pour pouvoir mettre en place votre certificat LE, il faut que le port 80 soit ouvert ET redirigé vers le NAS.

Là, vous avez redirigé le 80 vers le 5000, ce qui à l'évidence ne peut pas convenir.

Ensuite, très grosse erreur, votre NAS est ouvert aux quatre vents ! Supprimez la règle du parefeu qui autorise les ports 80, 5000 et 443 pour tout le monde (ou limitez son empreinte géographique) et n'ouvrez pas le port 5000 (DSM) vers l'extérieur.

Pour le port 80, inutile de l'ouvrir pour toutes les adresses mais uniquement pour les deux adresses IP de LE.

Allez faire un tour sur le tuto du serveur DNS et sur mon retour en page 2 du dit tuto où vous trouverez des infos sur le certificat et le reverse proxy.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.