This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Fenrir

[TUTO] Sécuriser les accès à son nas

Messages recommandés

il y a 36 minutes, camdel a dit :

[...] je n'ai pas accès à mon NAS depuis internet

  1. Est-ce que le port concerné (tcp/5001 ou tcp/443 si reverse proxy) est bien redirigé depuis le routeur vers le NAS ?
  2. Est-ce que le port est autorisé dans le pare-feu du NAS ?
  3. Est-ce que le port est bien vu comme ouvert depuis http://canyouseeme.org/ ? (Si oui, restreindre immédiatement la zone géographique qui a accès à ce port dans le pare-feu du NAS)
  4. Quelle adresse utilises-tu pour accéder à ton NAS depuis internet ? (donne-la en MP vu que c'est une information sensible)

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 15 heures, PiwiLAbruti a dit :

Est-ce que le port concerné (tcp/5001 ou tcp/443 si reverse proxy) est bien redirigé depuis le routeur vers le NAS ?

oui tcp/5001 sur IP interne du NAS (IP fournie par Synology Assistant pour être sûr)

Il y a 15 heures, PiwiLAbruti a dit :

Est-ce que le port est autorisé dans le pare-feu du NAS ?

Je pensais que oui mais il semblerait que je ne comprenne pas bien comment le faire. Je suis preneur d'un peu plus de détail/explication.

J'ai une règle qui est supposée faire cela : 5001/TCP/Belgique&France/Autoriser

Je reprécise à toutes fins utiles que même avant le tuto, sans pare feu donc, je n'arrivais pas à joindre le NAS depuis l'extérieur sauf par QuickConnect.

Il y a 15 heures, PiwiLAbruti a dit :

Est-ce que le port est bien vu comme ouvert depuis http://canyouseeme.org/ ? (Si oui, restreindre immédiatement la zone géographique qui a accès à ce port dans le pare-feu du NAS)

Non.
L''IP suggérée par canyouseeme.org est bien la même que je retrouve dans DDNS / adresse externe Ipv4 mais sur le port 5001 j'obtiens "I could not see your service on ADRE.SSE.EXT.ERNE on port (5001) Reason: Connection timed out"

Il y a 15 heures, PiwiLAbruti a dit :

Quelle adresse utilises-tu pour accéder à ton NAS depuis internet ? (donne-la en MP vu que c'est une information sensible)

MP

Partager ce message


Lien à poster
Partager sur d’autres sites

Vérifie que QuickConnect est bien désactivé.

il y a 6 minutes, camdel a dit :

L''IP suggérée par canyouseeme.org est bien la même que je retrouve dans DDNS / adresse externe Ipv4 mais sur le port 5001 j'obtiens "I could not see your service on ADRE.SSE.EXT.ERNE on port (5001) Reason: Connection timed out"

Rien ne sert d'aller plus loin tant que ce test n'est pas concluant. Il faut reprendre les points 1. et 2.

Est-ce que le routeur dispose d'un pare-feu ?

Est-ce que les règles sont bien configurées dans le contexte "Toutes les interfaces" du pare-feu du NAS ? (liste déroulante en haut à droite qui n'apparaît d'ailleurs pas dans ta précédente capture)

Poste à nouveau une capture d'écran des règles de translation (NAT/PAT) du routeur et des règles du pare-feu du NAS.

Partager ce message


Lien à poster
Partager sur d’autres sites

Merci pour le suivi @PiwiLAbruti

Il y a 5 heures, PiwiLAbruti a dit :

Est-ce que le routeur dispose d'un pare-feu ?

 

Oui

2101255076_Capturedecran2018-12-0415_34_46.thumb.png.0dae30aabe7bdf01d2b4c35f00c22598.png

  • Low: All connection attempts coming from the WAN or initiated from the LAN are permitted
  • Medium: All connection attempts coming from the WAN are rejected with the exception
    of those that have been authorized through port forwarding, DMZ or remote access configuration.
    All Services initiated from the LAN are permitted.
  • High: All connection attempts coming from the WAN are rejected with the exception of those
    that have been authorized through port forwarding, DMZ or remote access configuration.
    Services initiated from the LAN are restricted to the ones authorized via the rules set in the firewall 
    (common services are covered by default).
Il y a 5 heures, PiwiLAbruti a dit :

Est-ce que les règles sont bien configurées dans le contexte "Toutes les interfaces" du pare-feu du NAS ? (liste déroulante en haut à droite qui n'apparaît d'ailleurs pas dans ta précédente capture)

Oui

96315860_Capturedecran2018-12-0415_37_19.thumb.png.176cf305b3af362647cc934bbe99af47.png

Partager ce message


Lien à poster
Partager sur d’autres sites

Le profil de pare-feu du routeur est bon :

Medium: All connection attempts coming from the WAN are rejected with the exception
of those that have been authorized through port forwarding, DMZ or remote access configuration.

La configuration du pare-feu du NAS est bonne le temps de faire les tests, mais les ports restent inaccessibles.

Est-ce que l'adresse IP privée du NAS renseignée dans cette règle est bien la bonne ? Sinon, la règle de redirection de port serait erronée (poste une capture de cette règle).

Au passage, est-ce que l'adresse IP du NAS est fixée ou attribuée par DHCP ? Si elle este attribuée par DHCP, assure-toi de créer un bail de réservation pour qu'elle ne change pas.

Partager ce message


Lien à poster
Partager sur d’autres sites

Gaffe aussi que le soucis vienne pas du routeur si c'est celui intégré dans la box opérateur. J'ai récemment dépanner quelqu'un via Teamviewer et le soucis venait de sa Freebox qui ne voulait pas ouvrir les ports vers le NAS alors qu'il disait le contraire.

Après plusieurs redémarrage, c'était revenu à la normale.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir à tous,

Me revoilà. Ça avance dans le bon sens. J'ai réussi à obtenir le certificat que je n'arrivais pas à obtenir à cause de la non ouverture du port 80 sur la freebox.

En revérifiant la config de la box, j'ai vu qu'il y avait une règle obsolète sur le port 80 qui concernait une adresse ancienne Mac. J'ai l'impression que la box prenait d'abord l'ancienne règle qui se trouvait plus haut dans la liste. Je l'ai supprimé et le port 80 est maintenant ouvert. J'ai vérifié avec canyouseeme. C'est bon.

Je vous adresse les règles de mon parefeu nas pour vérifier si c'est correct ou pas.

241787728_reglesparefeudusyno8.jpg.94509bd2e1b4d2ba0e0d44ad8fba5b30.jpg

 

Demain, je vérifierai l'accès extérieur du nas avec mon smartphone. Je serai obligé de me rapprocher de l'émetteur. Je ferai donc cela en plein jour.

Un grand merci à tous qui m'ont aidé.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

[mention=75507]Pingouindunas[/mention]

Précises toutefois, pour qu’on ne te tombe pas dessus ;) que 5000 et 5001 sont activés le temps de mettre en place le VPN, et pour pouvoir tester dès demain, en plein jour ^^, si tout est bien accessible.

 

Qu’ensuite tu attaqueras le serveur VPN, qui dans ton cas, parait plus pertinent et plus urgent à mettre en place qu’un serveur DNS et du proxy inversé. Car pour rappel ^^ tu prepares un serveur pour de la sauvegarde délocalisée et via internet, de données d’une TPE.

 

Néanmoins, jettes un oeil sur la 3e régle en partant d’en bas. Tu dois avoir des cases cochées qui font double emploi avec ton avant dernière règle.

 

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour le parefeu du nas, j'ai décoché la 3ème ligne en partant du bas. Et ça fonctionne aussi. C'est vrai que cela était en double emploi avec l'avant dernière règle.

Je désactiverai l'avant dernière ligne quand j'aurai fait le test à l'extérieur, en attendant que le nas soit en prod.

Je vais maintenant me mettre au serveur VPN car effectivement, la sauvegarde à mettre en place concerne des données sensibles : commerciales, comptables, financières, etc ....

J'ai bien compris qu'il est impératif d'installer un serveur VPN pour plus de sécurité.

Cela va être un nouveau challenge que d'étudier le serveur vpn 😉

@Mic13710  m'avait conseillé le serveur dns. Je ne voulais pas trop m'y plonger mais tout compte fait, je me plonge dans le grand bain avec les serveurs vpn. Ce n'est sans doute pas aussi ardu que les dns. Mais je vais essayer.

J'aurai probablement l'occasion de vous retrouver dans les commentaires du tuto des serveurs vpn.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

J'ai balayé vos différents message et je suis content que ce post soit toujours autant actif 😁

Par contre je n'ai pas le temps ni le courage de tout lire en détails pour recoller les morceaux 🙄

Si vous avez encore des points de blocage, n'hésitez pas à faire un récapitulatif détaillé d'où vous en êtes et de ce qui ne fonctionne pas, ça permettra aux personnes de passage (moi inclus) de mieux cerner le problème mais surtout, ça vous permettra peut être de comprendre par vous même ce qui coince et comment avancer 😋

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à tous,

J'ai essayé l'accès au nas depuis internet.

Ça marche mais à une condition :

petit rappel : le sous domaine a été obtenu en créant un dynhost auprès d'ovh (dynDNS) merci à @Zeus qui me l'avait recommandé

si je tape : sous-domaine.ndd:5001, j'obtiens l'erreur suivante qui était affichée sur 3 lignes :

Citation

Réponse du navigateur  : Erreur en se connectant directement en 5001 :

400 Bad Request 

The plain http request was sent to https port.

nginx

Par contre, si je tape sous-domaine.ndd:5000, il me convertit l'url en sous--domaine.ndd:5001 et on arrive après 5 minutes environ à la page d'authentification du dsm. J'en ai profité pour me connecter pour vérifier si cela restait aussi lent. Ensuite, il a fallu 2 minutes environ (je m'attendais pas que ce soit aussi lent, je n'ai donc pas chronométré).

J'ai réussi à me logguer et j'arrive bien au tableau de bord du dsm.

Nota : ici, j'ai une bande passante adsl de 3 M environ. Je me suis connecté à la tpe pour lancer le test de l'accès du nas depuis internet. Ce qui explique aussi la lenteur de la connexion.

Question :

erreur en 5001 ?

Faut-il s'authentifier en 5000 pour qu'il puisse passer ensuite de lui-même en 5001 ?

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Es-tu bien certain d’avoir fait ta requette en https pour le port 5001 et non en http ?

Déjà ça. Après, concernant la lenteur, il conviendra de tester depuis des installations plus rapides. Si ton serveur est derrière une connexion lente, ça peut ne pas être surprenant.

(Edit : suppression du bégaiement)

 

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 55 minutes, 9re9os a dit :

Es-tu bien certain d’avoir fait ta requête en https pour le port 5001 et non en http ?

C'est-à-dire comment la formuler exactement en https ?

J'ai tapé dans la barre d'adresse : sous-domaine.ndd:5001 (voir erreur plus haut), et ensuite sous-domaine.ndd:5000

J'utilise Firefox et c'est lui, qui ajoute selon les cas, http ou https. C'est peut-être cela que  tu voulais que je précise ?

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Oui, que ce soit sur tel ou navigateur, il faut que tu retapes l’ensemble de ta requête en commeçant par https.
Du moins temps que tu n’auras pas installer un serveur web pour coller à la racine du dossier « web » créé, un fichier .php contenant un script de redirection http->https qui t’evites de le preciser.
Mais ça sera pour après ;) avec le reverse proxy ^^
Refais l’essai complet :
https://sousdomaine.ndd.fr:5001

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

mais les ports restent inaccessibles

@PiwiLAbruti C'est à dire ? Je ne comprends pas comment ils doivent être alors. Comme ça ?2004542970_Capturedecran2018-12-0619_21_37.thumb.png.e7479b69c194183f4bd499817285b45e.png

 

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

Est-ce que l'adresse IP privée du NAS renseignée dans cette règle est bien la bonne ?

A vous de me le dire. Je fais à la hauteur de ce que je comprends. Synology Assistant (utilitaire) me donne cette information et c'est aussi ce que me dit ma box.

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

poste une capture de cette règle

De quelle règle parle-tu ? de la 5ème ? Je ne comprends pas quel détail en plus je peux donner.
J'ai sélectionné

  • Sélectionner application intégrées -> 80, 443, 6690
  • IP Spécifique -> Hote -> IP.INTERNE.DU.NAS
Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

Au passage, est-ce que l'adresse IP du NAS est fixée ou attribuée par DHCP ?

C'est commence à devenir du chinois pour moi. Dans Panneau de configuration > Réseau > Interface réseau "Définir la configuration réseau  automatiquement (DHCP)" est coché comme indiqué dans le tuto de @Fenrir. "Définir comme valeur par défaut" est coché également (comme dans le tuto)

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

Si elle este attribuée par DHCP, assure-toi de créer un bail de réservation pour qu'elle ne change pas

Je ne comprends pas. Soit plus explicite stp, je suis novice 😊!

Le 04/12/2018 à 16:49, Zeus a dit :

Gaffe aussi que le soucis vienne pas du routeur si c'est celui intégré dans la box opérateur.

@Zeus Comment je vérifie cela ?

Pour info à chaque fois que je jette un oeil à la box les règles Upnp (je ne sais pas ce que sait mais visiblement à la lecture de ce fil ça a l'air d'être important) change toutes seules et repassent sur Yes au lieu de No

399738840_Capturedecran2018-12-0619_38_26.thumb.png.430df691514b489971166fbc0dbaaa8a.png 

Le 05/12/2018 à 00:28, Fenrir a dit :

n'hésitez pas à faire un récapitulatif détaillé d'où vous en êtes et de ce qui ne fonctionne pas,

@Fenrir j'en suis au même point que quand je suis arrivé sur ce forum 😭


Merci par avance de votre coup de main.

Modifié par camdel

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir à tous,

Je prends le train en marche pour @camdel

Je me permets de répondre  en tant que grand débutant comme toi.

Je viens de lire la fin de ton message. Mais j'ai remarqué à la fin de ton dernier post, tu dis ceci :

Citation

Pour info à chaque fois que je jette un oeil à la box les règles Upnp (je ne sais pas ce que sait mais visiblement à la lecture de ce fil ça a l'air d'être important) change toutes seules et repassent sur Yes au lieu de No

Ayant lu plusieurs fois le tuto, j'ai retenu qu'il fallait désactiver Upnp et DMZ. Or je vois que ta box est activée en Upnp. Donc, normal que tes valeurs changent tout le temps. Je pense  que les autres bien plus avisés que moi te confirmeront (j'espère ne pas me tromper du tuto).

Sur ma box, Upnp et DMZ sont désactivés et c'est presque un jeu d'enfant de paramétrer ce que l'on veut (du moment que l'on sait ce que l'on veut faire). ;-)

J'ai réussi à connecter mon nas depuis l'extérieur.

 

 

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 06/12/2018 à 21:45, Pingouindunas a dit :

Or je vois que ta box est activée en Upnp.

@PingouindunasJ'ai beau basculer "Yes" sur "No" des 2 lignes et enregistrer la modif, quand je reviens voir quelque temps après c'est repassé sur Yes tout seul. Je ne sais pas quoi d'autre faire sur ce point...

 

Le 06/12/2018 à 21:54, PiwiLAbruti a dit :

la règle PAT/NAT configurée sur le routeur/box

@PiwiLAbruti Comme postée précédemment depuis le debut de mes question sur le forum, je remets la capture ci-après

1302548769_Capturedecran2018-11-0814_22_19.thumb.png.40f8731828c8b8e0b2b3eb86e22f89bd.png

Le 06/12/2018 à 19:22, camdel a dit :

Si elle este attribuée par DHCP, assure-toi de créer un bail de réservation pour qu'elle ne change pas

Et sur cette question ? Je ne comprends pas. Tu me donne plus d'élément stp ?

Merci par avance de vos retours.

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 14 heures, camdel a dit :

J'ai beau basculer "Yes" sur "No" des 2 lignes et enregistrer la modif, quand je reviens voir quelque temps après c'est repassé sur Yes tout seul. Je ne sais pas quoi d'autre faire sur ce point..

Bonjour,

Tu dois avoir une option pour désactiver l'upnp et dmz dans les options générales ou avancé.

C'est quoi comme box à tout hasard ?

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 37 minutes, Pingouindunas a dit :

C'est quoi comme box à tout hasard ?

@PingouindunasIl y a bien une option pour désactiver Dmz mais pas Upnp. C'est une "b-box 3V+" fourni par le FAI dénommé Proximus (gros opérateur belge, puisque je suis en Belgique).

Après quelques recherche il apparait qu'il ne serait pas possible de désactiver l'Upnp sur cette box. Je ne sais pas vraiment ce que ça implique dans mon cas. Je veux bien une explication, svp.
Merci !

Modifié par camdel

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 25 minutes, camdel a dit :

C'est une "b-box 3V+" fourni par le FAI dénommé Proximus (gros opérateur belge, puisque je suis en Belgique).

Je n'ai pas d'idée.

Peut-être chercher de ce côté : forum du FAI.

ou celui-ci (concerne aussi proximus) : au autre forum sur Proximus

Modifié par Pingouindunas
ajout

Partager ce message


Lien à poster
Partager sur d’autres sites

@Pingouindunas merci, je suis déjà allé scruter ce terrain là et c'est là que j'ai appris qu'il ne serait pas possible de désactiver l'Upnp sur cette box (contrairement à la version précédente).
Par contre je n'ai toujours pas saisi quel impact ça a ? Saurais-tu m'expliquer ou me rediriger vers une ressource pour compréhensible pour novice ?

Merci par avance.

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant