This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Fenrir

[TUTO] Sécuriser les accès à son nas

Messages recommandés

Il y a 21 heures, Mic13710 a dit :

Pouvez-vous nous expliquer ce que vous comptez faire avec ça ?

Sans explications, on ne peut guère vous aider.

Si ce sont des IP simples (ce qui semble être le cas), vous n'utilisez pas de masque de sous réseau.

Partager ce message


Lien à poster
Partager sur d’autres sites
Bonjour,
Je fait parti des 5% évoqués par @Fenrir au debut de son tuto et de surcroit je suis tout à fait novice en réseau.
J'ai suivi le tuto plus de 3 fois et lu les 18 pages de commentaires sans trouver la solution à tous mes problèmes rencontrés.
 
Mon souhait : créer un environnement sécurisé pour mon activité professionnelle (je suis photographe et vidéaste)
Mes besoins : pouvoir partager mes productions (essentiellement partage de dossiers), permettre l'upload de fichiers à des profils restreint (via comptes utilisateurs présent au Middle East, Asie, USA, Europe), stocker le contenu de manière sécurisé (backup avec Backblaze), pouvoir me connecter en local ou distance (mon métier me fait voyager régulièrement).
 
Note : Le monde du réseau m'est obscur. J'en saisi quelques briques mais je ne souhaite plus y passer davantage de temps pour un besoin aussi basique. Ce n'est ni mon métier, ni un centre d'intérêt actuel. Je peux sûrement révolutionner ma manière de travailler mais ma priorité actuelle est que ces fonctionnalités de base soient opérationnelles, un intérêt peut être peut-être suivra.
 
Le tuto a été scrupuleusement suivi, mais que cela soit avec ou sans le pare-feu, je n'arrive pas à accéder à nomdhote.synology.me et n'est aucune idée d'où ça peut venir, ça fait déjà plus de très longues heures que je suis sur le sujet...
 
Je pense que ça vient principalement des points suivants et souhaite votre expertise :
 
1. Nom d'hôte VS Domaine : Si il y a 2 nom il s'agit sûrement de 2 chose différentes... J'ai un ndd pour mon site, hébergé chez OVH. Je ne sais pas si je peux avoir le même nom de domaine à la fois pour le NAS et mon site web, tout en conservant l'hébergement chez OVH (plus simple pour moi) et ainsi bénéficier de la même adresse, plus simple notamment aux yeux de mes clients. Si c'est possible, je ferai peut être cela dans un second temps mais il me faut filer un lien vers un tuto très détaillé.
Dans l'immédiat  pouvez-vous me confirmer que Domaine et Nom d'hôte peuvent être identique ?
155109369_Capturedecran2018-11-0219_33_56.thumb.png.0ea5a37efff9c6cfae2c0fec85340307.png940689906_Capturedecran2018-11-0221_54_54.thumb.png.f1682a794c920b2d4668051d3d6fcaaf.png
 
2. Certificat SSL était expiré (+de 3 mois), je l'ai renouvelé, avec peine (erreur port 80), mais au final je ne sais comment il me semble désormais valide (cf. image ci-dessus).
 
3. Sécurité/Pare-feu : J'ai un énorme questionnement que la partie pare-feu avec l'IP renseignée en ligne 4. J'ai renseigné la même chose que @Fenrir mais n'ai pas saisi si il s'agit d'un exemple ou s'il faut que je renseigne une autre IP. Si oui laquelle ?
J'ai désactivé le VPN pour le moment, en attendant de résoudre déjà cela.
1136430109_Capturedecran2018-11-0219_38_25.thumb.png.17123489f0896b1b31cfd59e57da544e.png
 
4. Https : J'ai toujours la page "Votre connexion n'est pas privé , Malveillant etc." Comment virer cette page d'erreur et arriver directement sur la page de login?1988493627_Capturedecran2018-11-0219_34_06.thumb.png.b01e2634baeff9629a94ada5ff75f02f.png
 
5. Je ne sais pas ce qu'il faut écrire dans la box 
Citation

si votre NAS est derrière une Box, il faudra aussi transférer (forward) les ports sur cette dernière

1331445366_Capturedecran2018-11-0221_22_11.thumb.png.a6be053fef404c96543d067cc4f4d4ba.png
 
6. Upnp :  Cherchant des solutions, en lisant les commentaires je suis allé dans ma config de ma box et ai regardé si Upnp était désactivé. Je n'ai aucune idée de ce que 'est ni à quoi ça sert. Mais du coup j'ai suivi ce qui était conseillé et désactivé ces lignes. J'ai bien fait ou je dois remettre "Yes" ?
728877208_Capturedecran2018-11-0221_23_22.thumb.png.1505a0d0aebc44fb99d79480224d441b.png
 

7. Conseiller de sécurité : j'ai décoché ce qui était en rouge comme l'a fait @Ric67, désormais tout est vert : c'est une manière un peu bizarre de résoudre des alertes. Anyway, vous savez mieux que moi.28347478_Capturedecran2018-11-0220_35_47.thumb.png.58739e52f9f5c1ddfd3d4ec9643989e8.png

 

Merci beaucoup par avance de vos réponses.

Modifié par camdel

Partager ce message


Lien à poster
Partager sur d’autres sites

1-si tu as une IP internet fixe, configure un enregistrement DNS de type A sur ton interface OVH qui pointe sur ton adresse IP, si ton ip est dynamique, il te faut une système de mise à jour automatique (je crois que les syno savent le faire pour OVH) ou tu peux faire un alias (type CNAME) qui pointe sur un truc en synology.me

2-tu dois accéder à ton nas avec le même nom que celui présent dans le certificat, si ton certificat est valide pour toto.synology.me, tu dois accéder à ton nas avec l'adresse toto.synology.me

3-la ligne 4 est une ligne d'exemple, elle n'est pas obligatoire, heureusement pour toi cette adresse ne sert que dans les documentations

4-cf point 2, pour que ça fonctionne aussi en local (chez toi), il faudra suivre le tuto DNS

5-pour rendre le nas accessible sur ton port 5001 (par exemple), tu dois remplir comme suit (de gauche à droite) : Enable/None/TCP/5001/5001/5001/ip privée du nas/rien/un commentaire

6-il vaut mieux couper l'upnp, c'est dangereux (j'explique pourquoi dans le tuto)

7-il ne faut pas tout décocher, seulement les alertes qui sont normales par rapport aux réglages (dans mon tuto je ne change pas les ports par défaut, donc c'est voulu, mais ici il y a d'autres alertes qu'il faut évaluer)

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci @Fenrir pour tes réponses.

Dans l'état actuel, j'en suis au même stade et ne peux toujours pas accéder à mon NAS depuis l'extérieur 😭.

Je vais simplifier.
Je mets donc mettre de côté l'utilisation de mon ndd. Cela rajoute une couche de complexité pour moi à ce stade, car il semble que j'ai une IP dynamique (elle a changé après avoir éteint--rallumé la box). Je regarderai cela une fois que j'aurai réussi à avoir accès avec une simple adresse synology de type : toto.synology.me

J'ai revérifié une ultime fois : tout semble conforme au tuto.

J'ai ouvert le port 5001 qui si je comprend bien est sensé me permettre d'accéder à l'interface de gestion.
J'ai bien renseigné l'ip du NAS (adresse confirmée par l'utilitaire Synology Assistant). Et j'ai bien définit les 2 lignes Upnp sur "No".

Mais je n'arrive cependant toujours pas à accéder à toto.synology.me (j'obtiens un "ERR_CONNECTION_TIMED_OUT") et n'en trouve pas la raison.

Pour tester j'ai désactivé le pare-feu pour vois si ça vient de là et ... ça marche pas non plus, impossible de me charger toto.synology.me j'obtiens le même message d'erreur.

Vous avez une suggestion ?

Remarque : je vois que ma box a une adresse IPv6 et prefix IPv6. Et aussi PPP "enable". Est-ce que ça pourrait venir de là ?

 

Modifié par camdel

Partager ce message


Lien à poster
Partager sur d’autres sites

Tu as bien coupé l'IPv6 sur le NAS ?

Si oui, vas sur ce site https://ipv4.fenrir.fr/ et relève l'ip indiquée (Source IPv4 address: xxx.xxx.xxx.xxx)

Puis sur ton poste, entre la commande suivante : nslookup toto.synology.me 80.67.169.1

Et compare l'ip retournée dans la réponse avec celle relevée avant

=>si ce n'est pas la même, c'est probablement ta configuration DDNS qui ne fonctionne pas correctement

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à toutes et tous,

Après 6 ans d'utilisation de mon NAS en mode débutant, j'ai fini par prendre mon courage à deux mains...

Ce n'était pas facile, et ce n'est finalement pas un tuto pour grand débutant, mais pour débutant acharné motivé et qui veut en découdre avec la sécu !

Bon, là, je finis tout juste les 18 pages de commentaires qui, comme tout bon forum, m'ont évité de poser encore et encore les mêmes questions que mes ptits copains et d'entamer un peu plus la lassitude de ceux qui savent et pour qui c'est quand même bien plus simple ^^

Donc merci à vous tous de m'avoir appris plein de trucs, et grand merci à toi Fenrir pour ta patience et le partage de tutos. (J'ai épinglé dans un coin pas loin, le lien pour les 30 heures de formation).

J'ai bien galéré quand même, et maintenant ça marche comme il faut (A part quelques trucs, mais surtout liés à la config des permissions sur Photo Station, malgré le tuto de InfoYann, ça ne marche pas dans ma config).

Ce matin j'ai commencé à entrer le mot de passe de mon compte Admin spécial super pouvoirs, je passais juste une tête ici pour faire une pause. Allez, c'est pas tout ça mais j'y retourne ; me reste encore 132 caractères à entrer pour accéder au bureau du DSM :mrgreen:, à moins que ça ne soit 133 ? rhaaa mince, je suis bon pour recommencer la saisie depuis le début ! 😅

Plus sérieusement, j'attaque dès lundi le tuto sur les DNS, puis ensuite celui sur le serveur VPN. A moins que l'inverse soit plus judicieux ? A voir... 

Ca fait plus de 20 ans que j'ai une bécanne sous les doigts, mais le domaine des réseaux est toujours resté nébuleux pour moi. Je bidouillais jusqu'à ce que ça fonctionne. Et ça finissait par fonctionner. Pareil ici avec ce tuto. Mais pour une fois, à force de lecture et relecture du tuto et des interventions, ce n'était plus des bidouilles à l'aveugle ou simplement mimétiques, mais un début de compréhension 😉 Non seulement j'vais me coucher moins con, mais pas peu fier, et bien reconnaissant.

Néanmoins, juste une question, mais sans grand rapport, juste un constat/surprise suite à mon changement de statut de compte admin, vers un compte user pour mon usage de tous les jours :

un utilisateur simple ne peut-il pas utiliser la fonction "partager" un fichier depuis DS File, pour créer un lien de partage à communiquer à un proche ?

ça ne me servait pas régulièrement, mais quand même. Un peu embêté de devoir accéder à mon super administrateur qu'à plein d'pouvoirs mais avec un pass à rallonge qui me demande près de 1 min de saisie 😂 (voire 3 quand je pense à autre chose en même temps et qu'il faut tout recommencer par crainte de se refaire bloquer IP et compte comme ça m'est déjà arrivé 3 fois aujourd'hui !) juste pour aller créer un partage fichier. Ou bien je n'arrive pas à cocher la bonne case ?

Bref, pas ultra bloquant comme question mais si, à tout hasard c'était juste une mauvaise manip de ma part, je suis preneur d'un coup de main.

Merci encore.

Partager ce message


Lien à poster
Partager sur d’autres sites

Je n'ai pas essayé à partir de DSFile, mais pour qu'un utilisateur simple puisse créer des liens partagés, il faut lui donner les droits.

A partir du compte admin, File Station, paramètres, liens partagés, dans Partager les liens de fichier, valider "Tous les utilisateurs" ou "Utilisateur/Groupe spécial" selon que vous voulez donner les droits à tout ou partie de vos utilisateurs , OK. Ca devrait résoudre votre demande.

Et pour vos mdp (pas seulement celui de votre NAS), je vous conseille d'utiliser un gestionnaire de mdp comme par exemple Keepass qui est excellent. Associé à Kee, il fait l'auto-remplissage de vos identifiants sur vos pages de connexion.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour Mic13710, c'était bien cela. Génial. Merci.

Ah oui, et pour keepass, oui, je l'utilise sur mon tel, mais plus sur mon poste fixe depuis un bon moment. Le copier-coller est dès lors plus compliqué. Mais c'était une pointe d'humour pour dire que j'avais bien compris qu'il fallait avant tout un super pswd.

Bon dimanche.

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 09/11/2018 à 22:06, Fenrir a dit :

nslookup toto.synology.me 80.67.169.1

l'IPV6 est bien désactivé sur le NAS
@Fenrir nslookup m'a bien renvoyé l'IP indiqué sur le lien que tu m'as donné.

Que me conseilles tu de regarder ensuite ?

Modifié par camdel

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant