This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Fenrir

[TUTO] Sécuriser les accès à son nas

Messages recommandés

il y a 19 minutes, Mic13710 a dit :

C'est surtout contre ceux là qu'il faut se prémunir avec des mdp forts et un parefeu très restrictif.

oui, et en cela le tuto est très clair. Le parefeu est facile à appréhender, et les différents screen sur le fil permettent d'y aller à son rythme. Plus la bonne gestion des admin/utilisateurs

Bon, j'avoue qu'avec mon mdp à plus de 72 caractères, je suis bon là :mrgreen:

il y a 19 minutes, Mic13710 a dit :

L'avantage d'un ndd associé au serveur DNS et au serveur proxy c'est qu'on peut utiliser la même url que ce soit côté LAN ou côté WAN. Fenrir en parle dans ce tuto je crois.

C'est bien la raison qui m'ont fait suivre l'ensemble des tutos cohérents pour une bonne maîtrise de son matériel. Galère pour un néophyte du réseau, mais avec un peu de temps, c'est jouable. Et que du bonheur ensuite. Il y a juste eu, pour moi, un peu d'incomprehension de l'intérêt du reverse proxy (dans mon cas précis, puisque je n'accède aux appli que via mobile). Dès lors que mon accès au nas via appli mobile se fait en LAN ou WAN via le même ndd, je ne pigeais pas pourquoi et dans quel cas utiliser le reverse proxy. Mais ça y est... pour plus tard, c'est en place. Pour accès extérieur au appli via navigateur. Je précise que je suis utilisateur principal et presque unique de mes données.

il y a 19 minutes, Mic13710 a dit :

pour le point 3, vous pouvez laisser le port 80 ouvert en permanence vers le NAS. C'est le parefeu qui ne laissera passer que les 2 adresses LE. Le reste sera bloqué.

Ok. J'avais pensé qu'il était préférable de n'activer les règles du parefeu et la redirection entre routeur et nas du 80 que lors des périodes de màj LE.

Partager ce message


Lien à poster
Partager sur d’autres sites

@PingouindunasSi comme vous le dites vous n'êtes pas à l'aise avec votre NAS, je vous conseille pour le moment de le faire fonctionner de manière classique avec les ports par défaut (5001) car c'est le plus simple. C'est seulement qu'après avoir compris le fonctionnement général que vous pourrez allez plus loin. Ne brulez pas les étapes. Je vous ai parlé du serveur DNS pour vous dire qu'il y avait d'autres solutions, et je pensais aussi que vous aviez assez d'expérience pour vous lancer dans l'aventure. Comme ce n'est pas le cas, contentez vous de suivre le tuto de Fenrir et faite les paramétrages de base.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 25 minutes, Mic13710 a dit :

et si vous voulez voir le serveur proxy en application, rendez-vous sur mon intervention en page 2 de ce même tuto du serveur DNS.

C'est bien à cause de vous (peut-on de tutoyer ? ;) ) et de votre intervention sur cette page-là que j'ai filé droit chez OVH et quitter mon ancien prestataire depuis 4 ans :lol:

Bon ceci dit, je me suis gardé la partie DNS public pour plus tard... comme @Pingouindunas, j'attends un peu le refroidissement des neurones. D'autant que dans mon usage quotidien, ce n'est pas nécessaire.

Oui, Pingouindunas, le serveur DNS n'est pas indispensable, mais au point où tu en es, c'est quand même dommage de passer à côté. C'est l'étape d'après. La pièce manquante du puzzle, combiné avec le serveur VPN. Vas-y par palier. Le tuto s'applique plutôt bien, dès lors que la base est mise en place : nom de domaine, certificats (prends le temps de lire l'ensemble des interventions pour t'éviter de refaire trop de fois la demande de certifications, si tu veux utiliser le reverse proxy), et dynDNS.

Bon courage ! Profites d'un week-end de pluie :mrgreen:

Partager ce message


Lien à poster
Partager sur d’autres sites

@Mic13710

Merci du conseil.

Mais je rame beaucoup. Je n'ai jamais pratiqué les nas. Mes cours réseau remontent à 2002, autant dire l'antiquité. De plus, je commence à prendre de l'âge et la mémoire patine. 😊

Je vais donc rester à une config plus classique.

Je referai demain la synthèse de ce que je dois paramétrer (ce soir trop fatigué !).

Merci de vos messages.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour,

Je comprend pas trop tes règles là.

A quoi correspond cette adresse : 192.2.3.0 ?

Pourquoi ouvrir le 5000 et 5001 si tu passes par un reverse proxy avec les ports 80 et 443 ?

Pour le port 80, ok en ouverture mais si tu appliques une redirection automatique en php par exemple. Mais pas par l'option intégrée dans DSM !

Modifié par Zeus

Partager ce message


Lien à poster
Partager sur d’autres sites

@Zeus

J'ai essayé de faire une config "simple".

192.2.3.0 : J'ai copié bêtement les règles de parefeu sur le tuto de Fenrir : oups ! pas bien apparemment.

Pour l'instant, je n'ai pas activé le reverse proxy, car je n'ai pas le nom de domaine donné par syno. Et je n'ai pas encore le certificat LE.

une ouverture du 80 en php, je ne sais pas faire.

bref, j'ai encore beaucoup d'embûches devant moi !

Il faudrait commencer par avoir le certificat, puis après le ndd chez syno ?

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Je suis pas sûr qu'on puisse faire un reverse proxy avec le ndd de Quickconnect. Et je te déconseille ce ndd d'ailleurs même si gratuit.

Je te recommande plutôt de passer par ton propre ndd acheté chez OVH par exemple qui gère les DynDNS si tu n'as pas d'IP fixe. Ca ne coute que quelques euros par an !

Et Fenrir montrait un exemple mais ce n'était pas forcément pour tout le monde.

Pour la redirection php, il y a des sujets sur le forum 😉

Le certificat, fais le à la fin quand tu rencontreras un soucis sur ton navigateur, c'est pas l'urgence sans compter que tu ne peux pas le faire si tu n'as pas encore le nom de domaine !

Partager ce message


Lien à poster
Partager sur d’autres sites

Actuellement, j'ai bien un ndd acheté chez ovh mais  il héberge un site web.

Si un jour, je passe le site en https, j'aurai besoin du certificat attenant au ndd.

Donc, en premier :

Acheter un autre ndd chez ovh ou il faut seulement aller sur ovh cocher une option ?

Voici ce que je peux trouver dans le compte du ndd che zovh : il y a différents onglets dont  Zone DNS et Serveurs DNS, Redirection, Dynhost,

Dans Zone DNS, on peut cliquer sur Ajouter une entrée, réinitialiser ma zone DNS, modifier le ttl par défaut, modifier en mode contextuel, et supprimer la zone DNS.

Dans Serveurs DNS, il y a activer anycast et modifier les dns

Dans Redirection, il y a ajouter une redirection et exporter en csv.

Dans Dynhost, il y a pas grand'chose. voir copie d'écran ci-dessous.

Dynhost.thumb.jpg.4ee55ed5e0d85d905e02467dfd3b7506.jpg

Je ne vois pas DDNS dans les onglets ou options.

Que dois-je faire pour les DDNS puisque l'on n'a pas d'IP fixe ?

Merci.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Je viens de trouver certainement la piste des ddns chez ovh.

Il faut se créer un dynhost.

Pour en créer un, (je vais attendre confirmation : je ne vais pas faire n'importe quoi quand même), je vais donc sur création.

2 questions me viennent à l'esprit :

il faut indiquer un sous-domaine  au ndd actuel : je peux indiquer par exemple syno.ndd_actuel_ovh ?

il faut indiquer l'ip actuelle de la destination, c'est quoi et c'est où ?

417392186_creationdynhostchezovh.jpg.e9d70bdeda22b4d133cd8393112f6cec.jpg

Je suis largué, là !

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

l'Ip actuelle est ton IP publique.

un coup de IPCONFIG -all ou via une recherche sur internet (cherches "IP"... ça va être simple)

Oui tu peux indiquer syno.ndd_actuel etc

Après, une fois fait, il te faudra créer un identifiant de connexion. Regardes sur la droite dans l'onglet DynHost sur la page OVH.

 

Pour ton parefeu, vires la ligne 5000-5001. Ainsi que la ligne 80,443 ->192.0.2.3

Ensuite reviens par ici.

Partager ce message


Lien à poster
Partager sur d’autres sites

Heu, je connaissais la réponse mais je n'y pensais plus. Désolé 😞

Sinon, l'ip publique serait laquelle car il y en a 3 en jeu. Je m'explique :

Dans un premier temps, le nas est chez moi et je règle la sécurité du nas aux petits oignons grâce à vous 😀

Ensuite, quand il sera prêt, je vais l'emmener au bureau pour copier le dossier partagé en local.

Et enfin, j'irai emmener le syno chez la personne de confiance (ici, je n'ai pas beaucoup de bande passante) pour installer définitivement le syno.

Cela me donne 3 IP publiques. Laquelle prendre ? Logiquement, ce serait celle où est stocké le dossier partagé : j'ai bon ou pas ?

Quelle ip publique renseigner sur le compte ovh pour créer un dynhost ?

 

Partager ce message


Lien à poster
Partager sur d’autres sites

@Mic13710 Bonjour,

Si le nas n'autorise que la connexion via ports 80 et 443, et que l'on accède à l'ensemble des applications par reverse proxy ;

Si le nas, donc, n'autorise plus le 5000 et 5001 autrement que par connexion VPN,

comment procèdet-t-on à un partage ponctuel de fichier via le clic droit sur filestation ?

Je cherchais à comprendre pourquoi j'en étais arrivé à conserver mes ports 5000 et 5001 ouverts, et pourquoi je faisais de la translation (= translation pour l'esthétique :mrgreen: du lien de partage).

Parce que si j'ai bien tout compris, en n'autorisant 5000 et 5001 qu'en LAN, et en ne faisant plus de redirection routeur -> nas, plus d'accès possible par un lien. 

 

@Pingouindunas

il y a 8 minutes, Pingouindunas a dit :

Quelle ip publique renseigner sur le compte ovh pour créer un dynhost ?

J'aurai tendance à te dire de faire la config sur la base de ton IP Publique actuelle, ça te permet de tout mettre en place.

Puis quand tu seras sur prêt à copier le dossier partagé en local, tu n'auras besoin de faire de paramètres sécu.

Enfin, bien plus au clair des config, lors de l'installation en lieu et place définitive, tu rechercheras l'IP publique finale et modifieras le DynDNS en conséquence.

Sauf si tu veux passer tes nuits chez la personne de confiance pour mettre en place DynDNS et certif à la fin (perso j'ai commencé par là, alors ça me semble assez bizarre de finir par là).

L'IP publique ne sera pas celle de ton syno, mais bien celle de la internetBox chez la personne de confiance. L'adresse donc, fournie par le FAI.

Modifié par 9re9os

Partager ce message


Lien à poster
Partager sur d’autres sites

J’insiste pour comprendre et donc je reformule :

-Utiliser le reverse proxy permet de limiter drastiquement le nombre de ports ouverts donc de tout faire transiter par le 443 pour être ré adressé correctement ensuite.

-Par ailleurs si on veut pouvoir faire ponctuellement du partage de fichiers par un lien, on doit tout de même autoriser l’accès (translation ou pas) par le 5001.
Sauf que dans ce cas, le reverse proxy n’est plus pertinent puisque il est plus court de rentrer ndd.fr:5001 (dans toutes les appli mobiles) plutôt que file.ndd.fr:443 ou audio.ndd.fr:443 etc... suivant les appli utilisées.

Quelque chose m’échappe.
Peut-être le process serait-il de fermer le 5001 de façon générale (j’ai un reverse proxy aussi pour l’accès DSM = dsm.ndd.fr:443 qui redirige vers le localhost:5001 - ou j’ai toujours le choix d’y accéder par VPN) et de ne l’ouvrir que lors des partages de liens. Mais ça me semble inconfortable et laborieux, comme méthode.

Si une bonne âme peut m’éclairer j’en serai bien reconnaissant ^^

Partager ce message


Lien à poster
Partager sur d’autres sites
Citation

-Par ailleurs si on veut pouvoir faire ponctuellement du partage de fichiers par un lien, on doit tout de même autoriser l’accès (translation ou pas) par le 5001.
Sauf que dans ce cas, le reverse proxy n’est plus pertinent puisque il est plus court de rentrer ndd.fr:5001 (dans toutes les appli mobiles) plutôt que file.ndd.fr:443 ou audio.ndd.fr:443 etc... suivant les appli utilisées.

Absolument pas. Le partage de fichiers chez moi fonctionne via le reverse proxy et donc par le port 443 !

Le lien ressemble à : https://file.ndd.tld/xxxx

Modifié par Zeus

Partager ce message


Lien à poster
Partager sur d’autres sites

Les adresses des liens sont fonction des paramètres que vous avez indiqué dans les accès externes.

Pour utiliser les ports 80 et 443 avec votre nom de domaine, vous modifiez les options avancées comme suit :

Nom d'hôte ou IP statique : votre ndd pour accéder à File Station (pour moi c'est file.monndd)

DSM (http) : 80

DSM(https) : 443

Avec ces paramètres, si vous vous connectez au NAS en https, les liens générés seront sous la forme :

https://votre ndd pour accéder à File Station/sharing/et le numéro du lien

Vous n'utilisez plus le port 5000 ou 5001 😊

il y a 5 minutes, Zeus a dit :

Le partage de fichiers chez moi fonctionne via le reverse proxy et donc par le port 443 !

A condition d'avoir fait ce que j'indique ici !

Partager ce message


Lien à poster
Partager sur d’autres sites

Parce que tu as indiqué file.ndd.tld et le port 443 pour le https (je me rappelle même que c'est moi qui t'ai donné la soluce). Sinon, tes liens seraient avec l'adresse par défaut pour atteindre le NAS et le port par défaut (5001), même avec le reverse proxy.

Partager ce message


Lien à poster
Partager sur d’autres sites
Le 27/11/2018 à 04:37, Fenrir a dit :

@camdel : dans ton FW, aucune règle n'autorise la connexion au port 5001 depuis Internet (ta règle 5 autorise le nas à se connecter à lui même).

@Fenrir J'ai donc retiré le port 5001 de la ligne 5. J'ai ajouté tout en haut des règles, en première ligne donc, une nouvelle règle autorisant le port 5001 pour "Tous". Cf. screenshot ci-dessous. Mais ça ne fonctionne toujours pas. Qu'est ce que j'ai pu faire de travers ?

390506561_Capturedecran2018-12-0223_29_27.thumb.png.0f219f55889625464425072d55bd6456.png

Merci par avance de tes réponses.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour @Fenrir,

Voici deux petites choses qui ont changées ou été ajoutées sur DSM par rapport à ton tuto si tu veux le modifier 😉

Partie MAJ de DSM (changement minime).

Il n'y a plus l'option pour télécharger automatiquement une nouvelle MAJ et ne pas l'installer.

181203114202523413.png

Sécurité et accès à un domaine :

On peut depuis DSM 6.2.1 limiter un peu plus l'accès à un domaine en particulier uniquement en local et/ou par VPN par exemple sans forcément tout bloquer.

Pour se faire, il faut aller dans "Panneau de configuration > Portail des applications > Profil de contrôle d'accès".

Là, on peut créer un profil comme ci-dessous :

181203114452626790.png

 

Puis on va dans notre proxy inversé, on choisit le domaine souhaité comme ci-dessous et on valide l'option.

181203114804275112.png

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à tous,

J'arrive à me connecter depuis l'extérieur sur mon nas. Mais les règles du parefeu nas et (ou) box m'empêchent d'obtenir un certificat (message erreur).

Voici les règles du parefeu nas :

1283848826_reglesparefeudusyno4.jpg.70462b1c993f93798f44abbe6bea9510.jpg

Celles de la box :

847618203_reglesparefeudebox3.thumb.jpg.4a84527a27ac560ffc307ae840e2ee34.jpg

Le message d'erreur LE :

262525399_erreurobtentioncertificatLE.jpg.adeb9123abbb61e0d3d69eeac131681d.jpg

Qu'est-ce qui cloche pour empêcher le certificat chez let's Encrypt ?

Merci.

 

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 4 heures, PiwiLAbruti a dit :

@camdel : Les deux premières règles sont inutiles puisque les 3 règles suivantes (réseaux privés) répondent déjà à ce besoin.

@PiwiLAbruti Ok, je note et retire. Alors comment dois-je procéder pour accéder à mon NAS depuis internet ? Quelle règle dois-je écrire ?

A toutes fins utiles, je reprécise que même en désactivant le pare-feu je n'ai pas accès à mon NAS depuis internet.

Modifié par camdel

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

Chargement