Aller au contenu

Questions sur notions de base: IP locale fixe, ouverture de port, certifs, IPv6, UPnP


Messages recommandés

Bonjour à tous

Comme je l'ai dit dans ma présentation, c'est la mise en place de mon propre serveur de messagerie qui m'a amené à acquérir un Nas Syno. Pour plus de précisions, je dirais que c'est ce tuto qui m'a fortement influencé et, du fait qu'il semblait simple, que j'ai appliqué à la lettre, lors de la mise en route de mon Nas.

Pensant avoir du "clé en main", je ne me suis pas trop préoccupé de tous les paramètres du panneau de config (enfin ... un petit peu, quand même). Puis, lorsque j'ai voulu m'intéresser aux autres paquets (pour savoir comment les choisir/utiliser), c'est en allant à la pêche aux infos que j'ai trouvé ce forum. Et c'est alors que j'ai vraiment pris la mesure des difficultés qui m'attendaient (il m'a paru clair que je n'avais pas du "clé en main").

J'ai vite compris que la première des choses à faire était de sécuriser les accès et j'ai appliqué (non sans mal, vu mon niveau) le tuto de @Fenrir.

Désormais, je m'intéresse à d'autres tutos (DNS Server, VPN Server, Certificat TLS/SSL, Proxi et Reverse-Proxi, d'autres ...) mais, avant de me lancer, je dois clarifier quelques notions de base (je rappelle que mon niveau est proche de zéro).


@Zeus m'a dit : "N'hésite pas à poser tes questions dans les sujets qui t'intéressent ou en créer un par toi même :wink: "
Ce sous-forum me semblant approprié, j'y crée mon topic pour y regrouper mes questions.
Remarque : Afin de simplifier les échanges, je voulais faire un message par question ... mais mes messages se fusionnent ...

 

####################################################

 

1- DHCP et Adresses locales :

Lorsque, pour la première fois, j'ai mis en route mon Nas, le DHCP de ma box lui a affecté une adresse.
Etant tenu, pour Mail-Server, d'affecter une adresse locale fixe, je suis allé dans Réseau > Interface réseau > LAN > Modifier et me suis contenté (comme mon tuto me l'indiquait) de cocher "Utiliser la config manuelle" ainsi que "Définir comme valeur par défaut". (Je n'ai pas modifié les valeurs pré-affichées).

Or, j'ai lu (sur ce forum) que si on forçait l'adresse du Nas, il fallait la sortir de la plage DHCP.
Donc tant que je ne modifie rien, je dois être vigilant à ce qu'aucun autre appareil ne se connecte à cette adresse pendant un arrêt du Nas.

Questions :
Comment choisir une adresse locale ? (comment savoir si une adresse locale est déjà utilisée ?)
Existe-t-il un tableau qui recense l'usage courant des adresses locales (ou des plages d'adresses) ?


De plus, sur cette même page (celle de la modif du LAN), il est indiqué l'adresse de la Passerelle ainsi que celle du serveur DNS.
Ces deux adresses sont identiques (192.168.0.254). Est-ce normal ?


Par ailleurs, je n'ai pas encore compris l'intérêt d'activer le DHCP du Nas ...
Peut-on me l'expliquer (juste en quelques mots)

 

####################################################


2- Ouverture et transfert de port :

Sur le tuto VPN-Server, Fenrir a écrit : "Il est important de ne pas ouvrir ni transférer le L2TP (UDP 1701) sur votre routeur".

Lorsque j'ai mis en place mon Mail-Server, j'ai eu à transférer des ports (25, 110, 143, ...). je vois donc très bien ce qu'est un transfert de port.
Mais je n'ai fait aucune manip relative à l'ouverture de port ... et pourtant mon Mail-Server fonctionne.

Questions :
Que signifie donc "ouvrir un port" ?
Est-ce que la mise en place d'un transfert de port provoque l'ouverture du port correspondant ?

(peut-être est-ce lié à ma box (Freebox Revolution) et, peut-être, serait-ce différent avec une autre box)


####################################################


3- Certificats :

Je n'ai pas encore créé de certificat Let's Encrypt "Wildcard" ... alors que j'ai déjà activé, dans mon Mail-Server, les protocoles SSL/TLS.

Questions :
Est-ce un problème ? ... Le certificat par défaut (Synology) est-il suffisant (pour mon Mail-Server) ?
Dois-je désactiver, dans mon Mail-Server, ces protocoles SSL/TLS (et supprimer les redirections de port correspondantes) en attendant d'avoir installé un certificat correct ?


####################################################


4- IPv6 :

Fenrir a suggéré de désactiver l'IPv6 (du moins, temporairement ... le temps de comprendre ce que ça implique).
J'ai lu que l'un d'entre vous (je ne sais plus qui) se passe complètement de l'IPv6. J'envisage donc de m'en passer aussi.

Questions :
Quand on dit de désactiver l'IPv6, Est-ce dans le Nas ? dans la Box ? dans les deux ?
Si je désactive IPv6 dans ma box, ne vais-je pas avoir des effets induits (sur Freebox Player, par exemple, ou autre ...) ?


####################################################


5- UPnP :

Dans le tuto VPN-Server, Fenrir a dit "(pré-requis) Configuration de la box correcte (pas de DMZ ni d'UPnP autorisé)"
Si je veux installer VPN Server je vais devoir désactiver l'UPnP dans la Box

Question :
Quid de la connexion des consoles de jeux qui utilisent ce protocole ? (si ça ne marche plus, je vais me l'entendre dire)


####################################################


6- Domaines/Sous-domaines/Multi-domaines :

Fenrir a dit que la notion de sous-domaine n'existait pas et Zeus m'a parlé de Multi-domaine.
Or mon provider (1&1) me parle de sous-domaine ... et, qui plus est, il semble que je ne puisse pas créer de sous-domaine générique (*.ndd.tld)

Questions :
Vais-je devoir créer autant de "sous-domaines" chez mon provider que de domaines chez moi ?
La notion de domaine générique ne concerne-t-elle QUE les certificats ?

####################################################

Voilà pour ma première série de questions ...
J'aurai aussi besoin de vos conseils quant aux priorités à observer dans la mise en œuvre des paquets/fonctionnalités (et le paramétrage qui leur est lié)  ... afin de ne pas avoir à refaire certaines choses (parce que mal faites). Ces questions viendront par la suite.

Merci donc à tous pour votre attention ... et pour l'aide que vous pourrez m'apporter.
Angel

PS : J'utilise le mot "vous" pour m'adresser à tout le monde (cf. ma signature)

 

Modifié par D34 Angel
Edit du titre (plus parlant)
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je vais essayer de te répondre rapidement vu l'heure qu'il est 😂

Citation

1- DHCP et Adresses locales :

Ne te prend pas la tête et laisse tout en automatique sur le NAS. Tu vas ensuite sur ton routeur et tu mets une ip fixe à ton NAS.

https://www.astuces-pratiques.fr/informatique/freebox-revolution-dhcp-assigner-une-ip-fixe

C'est d'ailleurs dans ce dernier que tu verras toutes les IP attribuées à tes appareils connectés. Tu peux bien entendu choisir toi même l'IP que tu souhaites. Il te faudra certainement redémarrer le NAS si tu lui donnes une autre IP que celle qu'il avait déjà.

Citation

2- Ouverture et transfert de port :

Lorsque j'ai mis en place mon Mail-Server, j'ai eu à transférer des ports (25, 110, 143, ...). je vois donc très bien ce qu'est un transfert de port.

Que signifie donc "ouvrir un port" ?
Est-ce que la mise en place d'un transfert de port provoque l'ouverture du port correspondant ?

Ohhhh. Pas bien. Pour ton serveur mail, tu ne devrais avoir que trois ports ouverts à savoir en version sécurisée les ports 25 et 587 pour le serveur SMTP et le port 993 pour la partie IMAP !

Pour Mail Server, tu peux te baser sur mon tuto présent sur le forum. Voici le lien :

 

Le faite d'ouvrir un port veut dire que tu autorises une porte à rester ouverte en permanence ! Ce qui jouera ensuite sera l'authentification derrière cette porte. Imagine un immeuble, tu laisses en permanence la porte d'entrée au RDC ouverte et bien tu as ouvert un port. Maintenant, la personne est devant ta porte d'appartement et bien la clé de ta serrure, c'est l'authentification pour ton NAS par exemple. Tu comprends mieux ?

Citation

3- Certificats :

Questions :
Est-ce un problème ? ... Le certificat par défaut (Synology) est-il suffisant (pour mon Mail-Server) ?
Dois-je désactiver, dans mon Mail-Server, ces protocoles SSL/TLS (et supprimer les redirections de port correspondantes) en attendant d'avoir installé un certificat correct ?

Non, le certificat par défaut n'est pas suffisant. Et NON, tu ne dois pas enlever les sécurités de ton serveur mail à moins que tu veuilles que tout ceux qui captent tes données puissent les lire tranquillement car elles ne seront pas chiffrées.

Citation

4- IPv6 :

Questions :
Quand on dit de désactiver l'IPv6, Est-ce dans le Nas ? dans la Box ? dans les deux ?
Si je désactive IPv6 dans ma box, ne vais-je pas avoir des effets induits (sur Freebox Player, par exemple, ou autre ...) ?

Pour désactiver l'IPV6 chez Free, je crois qu'il faut passer par l'interface du site ou l'interface de mafreebox.

Et oui, tu peux aussi le désactiver sur ton NAS. Au moins, il ne cherchera pas à attribuer une IPV6.

Et non, tu ne verras pas de changements voir certains freenautes ont même constatés de meilleurs débits avec leurs connexions internet.

Je l'avais personnellement désactivé aussi.

Citation

5- UPnP :

Question :
Quid de la connexion des consoles de jeux qui utilisent ce protocole ? (si ça ne marche plus, je vais me l'entendre dire)

Tu devrais déjà tout de suite désactiver UPNP ! En gros, ça sert à n'importe quel appareil ou application à ouvrir les ports à ta place. Alors c'est bien sympa tout ça mais le jour ou ça sera un programme malicieux qui le fera, ça le sera déjà moins !

Et si certains appareils ou services fonctionnent mal par la suite, alors il suffira d'ouvrir ce qu'il faut sur la box dans la partie routeur. Ex avec les jeux vidéo qui ont besoin pour certains d'avoir des ouvertures de ports pour éviter le NAT strict.

Citation

6- Domaines/Sous-domaines/Multi-domaines :

Questions :
Vais-je devoir créer autant de "sous-domaines" chez mon provider que de domaines chez moi ?
La notion de domaine générique ne concerne-t-elle QUE les certificats ?

Alors en effet, je parle de multi domaines mais j'aurai pu écrire sous domaine comme certains le font (je le fais aussi de temps en temps).

Fenrir a son avis de "pro" et il considère que mail.google.com est un domaine à part entière par rapport au domaine google.com

D'autres te diront que mail.google.com est un sous domaine de google.com

A toi de te faire ta propre idée je dirais.

Si 1&1 n'autorise pas l'entrée *.ndd.tld alors oui tu devras enregistrer tous tes domaines un par un.

Tu devras aussi le faire dans ton serveur DNS (sur ton NAS) si tu décides d'en installer un.

Et enfin, il faudra aussi que tu configures tous ces domaines dans ton virtual host (Web Station) ou dans le proxy inversé du panneau de configuration de DSM selon le type de service.

La notion de domaines génériques selon tes propos ne concerne pas uniquement le certificat SSL. Ça concerne plusieurs autres services comme ton serveur DNS, ton proxy inversé, ton virtual host etc...

Ça parait compliqué dit comme ça mais en réalité, ça ne l'est pas tant que ça et il y a tout sur le forum en tuto pour que tu t'en sortes. L'important est d'essayer de comprendre ce que l'on fait même si on ne maitrise pas à 100% le sujet.

Après tout, nous ne sommes pas tous administrateur de systèmes en réseau...😋

Voilà, je pense ne rien avoir oublié.

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

Grand merci @Zeus pour ces réponses que je vais creuser.

Il y a 9 heures, Zeus a dit :

Je vais essayer de te répondre rapidement vu l'heure qu'il est 😂

Je ne suis pas si exigeant en terme de rapidité de réponse.
La seule chose importante, pour moi, est le fonctionnement de mon Mail-Server (car adresses-mail déjà diffusées).
Pour tout le reste, j'ai tout mon temps ; je le prends comme un loisir ; je préfère apprendre et comprendre ce que je fais.
 

Il y a 9 heures, Zeus a dit :

Voilà, je pense ne rien avoir oublié.

Si je voulais poser mes questions dans des messages séparés, c'était, justement, pour ne pas "obliger" quelqu'un à répondre à toutes les questions.
Question relative au fonctionnement du forum (je pose la question ici car je n'ai pas de bouton "créer un nouveau sujet" dans le support technique du forum et je n'y ai rien vu relativement au flood) :
Dois-je attendre un certain temps, entre deux posts, pour que mes messages ne se fusionnent pas ?
 

Il y a 10 heures, Zeus a dit :

Après tout, nous ne sommes pas tous administrateur de systèmes en réseau...😋

Il y a, tout de même, quelques cadors sur ce forum qui, avec mes questions si bêtes (pour ne pas dire autre chose), doivent se dire "avec lui, c'est pas gagné".
Merci encore pour ton aide.

Angel

Lien vers le commentaire
Partager sur d’autres sites

Citation

Il y a, tout de même, quelques cadors sur ce forum qui, avec mes questions si bêtes (pour ne pas dire autre chose), doivent se dire "avec lui, c'est pas gagné".

Détrompe toi, les personnes ici sont des passionnées et bénévoles et ne sont pas là pour juger mais pour aider.

Le truc le plus chiant étant les membres ne faisant même pas l'effort  de chercher sur le forum. Certains postent des demandes qui ont été traitées quelques jours auparavant pour d'autres membres dans le besoin...

Citation

Dois-je attendre un certain temps, entre deux posts, pour que mes messages ne se fusionnent pas ?

Tu dois simplement éditer ton post si personne n'a répondu entre temps. Ça allège aussi la base de donnée du forum.

Citation

Question relative au fonctionnement du forum (je pose la question ici car je n'ai pas de bouton "créer un nouveau sujet" dans le support technique du forum et je n'y ai rien vu relativement au flood) :

Ça, je ne sais pas mais peut-être que c'est limité. Contacte un admin en privé qui saura te répondre 😉

 

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

Hello Zeus
J'ai creusé tes réponses et voici ce qu'il en est :

1- DHCP et Adresses locales :
Suis allé voir le lien que tu m'as indiqué. J'ai suivi tes conseils et tout est ok.
Concernant : Existe-t-il un tableau qui recense l'usage courant des adresses locales (ou des plages d'adresses) ?
Ma question allait plus loin que le simple fait de connaître les IP de mes autres appareils connectés (cf. Tuto "Sécu" de Fenrir/plages d'adresses locales autorisées)  ... mais j'y reviendrai plus tard (lorsque j'en aurai besoin). Peut-être, même, aurai-je compris tout seul, d'ici-là.
 

2- Ouverture et transfert de port :
Merci pour l'analogie avec l'immeuble et l'appart. C'est très parlant.
Concernant les ports utilisés par Mail Server :

Le 01/02/2019 à 13:26, D34 Angel a dit :

Lorsque j'ai mis en place mon Mail-Server, j'ai eu à transférer des ports (25, 110, 143, ...).

Le 02/02/2019 à 04:17, Zeus a dit :

Ohhhh. Pas bien. Pour ton serveur mail, tu ne devrais avoir que trois ports ouverts à savoir en version sécurisée les ports 25 et 587 pour le serveur SMTP et le port 993 pour la partie IMAP ! 

Le tuto que j'avais suivi initialement me demandait de transférer, vers le Nas, les ports 25 (SMTP) et 993 (IMAP chiffré).
Lorsque je suis allé dans le pare-feu et que j'ai vu les différents ports utilisés par le serveur Mail
et du fait que j'avais activé  SMTP, SMTP-SSL, SMTP-TLS, POP3, IMAP, POP3-SSL/TLS et IMAP-SSL/TLS,
=> j'en ai déduit que je devais aussi ouvrir les ports 465 (smtp-ssl), 587 (smtp-tls), 110 (pop3), 143 (imap), 995 (pop-ssl/tls).

Si je comprends bien ce que tu me dis, je dois me limiter aux protocoles chiffrés ...

  • Je dois fermer les ports 110 (pop3) et 143 (imap)
  • Je laisse ouvert le 995 si je compte utiliser Pop3-ssl/tls. C'est bien ça ?

Cependant,

  • Le port 25 n'est pas chiffré (???)   Je me trompe ?
  • Quid du port 465 ?
    Dois-je désactiver smtp-ssl ?

Voilà pour les ports, j'aurai, peut-être, besoin de plus d'infos sur le port 80 pour les certificats (mais je dois, d'abord relire le tuto)
 

3- Certificats :
Je vois la nécessité (et l'urgence) de la mise en place du certificat. Je vais m'en occuper.
 

4- IPv6 :
C'est désactivé - OK
 

5- UPnP :
C'est désactivé - J'ai compris ce que j'avais à faire pour les consoles de jeux
 

6- Domaines/sous-domaines :
Les choses commencent à s'éclaircir (j'ai pas fini de creuser)


A+

Angel

Modifié par D34 Angel
Lien vers le commentaire
Partager sur d’autres sites

Citation

Je laisse ouvert le 995 si je compte utiliser Pop3-ssl/tls. C'est bien ça ?

Pourquoi vouloir utiliser POP3 en 2019 🙄

Citation

Le port 25 n'est pas chiffré (???)   Je me trompe ?

Si car ça passera par le port 587 mais il faut quand même ouvrir le port 25.

 

Citation

Quid du port 465 ?

A fermer.

 

Lien vers le commentaire
Partager sur d’autres sites

OK, j'ai fermé les ports indiqués et j'ai ajusté les params dans mon Mail Server.
J'ai aussi ajusté les règles relatives à ces ports dans le pare-feu.
 

il y a une heure, Zeus a dit :

Pourquoi vouloir utiliser POP3 en 2019 🙄

J'avais cru comprendre (à tort, peut-être) que Imap correspondait à un usage de type webmail alors que Pop sert à télécharger les mails sur son ordi (à l'aide d'un logiciel de messagerie - comme Mail que j'utilise sur Mac-OS).
Il me semblait que ça pourrait être utile.
D'ailleurs, je n'ai pas encore fermé le port 995 (pop-ssl/tls).

Lien vers le commentaire
Partager sur d’autres sites

Salut Zeus.

Concernant les ports 465 (smtp-ssl) et 587 (smtp-tls) ...
J'ai fini par comprendre que TLS est une évolution de SSL (je croyais que c'était 2 protocoles concurrents ou complémentaires) ... et, donc, qu'il n'est nul besoin d'utiliser les deux.
C'est désormais clair dans ma tête.


Concernant le certificat, je me suis penché sur ton [TUTO] Certificat TLS/SSL - Let's Encrypt "Wildcard".
Je ne te cache pas que la lecture du topic a été assez difficile ... notamment la (très longue) partie "automatisation du renouvellement". Ce n'est pas à ma portée.
Suivre juste le tuto (la partie "sans automatisation") me parait bien plus accessible ... mais j'aurai, tout de même, quelques questions que je poserai en temps voulu.

Pour l'heure, l'urgence étant de "certifier" mon Mail-Server, et, du fait que je n'ai encore aucun sous-domaine (donc, pas besoin de Wildcard), j'ai choisi la solution de facilité. J'ai créé le certificat avec LE via DSM (port 80 ouvert pour les 2 ip de LE et le tour a été joué en quelques minutes).

Je reviendrai vers ton tuto (dont j'ai bien compris l'intérêt) lorsque je créerai des sous-domaines.

 

Pour la suite ... , et pour honorer le titre de mon topic ("Débutant ... ayant mal débuté"), je dois me repencher sur l'organisation de mes disques (Raid, SHR) et sur les sauvegardes (encore inexistantes ... du fait qu'il n'y avait rien à sauvegarder).

Je commence à regarder de mon coté et si j'ai des questions (il y en aura très probablement), je reviendrai t’interpeller sur ce topic. :wink:

A+
Angel

PS : Ce message n'attend pas de réponse/commentaire (... sauf si j'ai dit une connerie :lol: ).

Lien vers le commentaire
Partager sur d’autres sites

Citation

C'est désormais clair dans ma tête.

Je pensais l'avoir été mais apparemment pas 🤣

Citation

Concernant le certificat, je me suis penché sur ton [TUTO] Certificat TLS/SSL - Let's Encrypt "Wildcard".

En effet, je ne recommande pour le moment pas de passer par là ou je passe sauf pour les plus aguerris ou ceux qui n'ont pas peur de faire une bêtise. Surtout que c'est pas fonctionnel à 100% puisqu'il y a un bug sur le redémarrage de paquets. Autant s'en tenir à la version SSLFORFREE pour ceux qui veulent un certificat wildcard.

 

Citation

je dois me repencher sur l'organisation de mes disques (Raid, SHR) et sur les sauvegardes (encore inexistantes ... du fait qu'il n'y avait rien à sauvegarder)

Hésite pas à ouvrir un nouveau topic puisque tout est résolu sur ce dernier. Ca facilitera aussi la compréhension des utilisateurs qui chercheraient une solution sur les même soucis que toi.

Et puis ça donnera plus de lisibilité générale.

Lien vers le commentaire
Partager sur d’autres sites

Citation

Je pensais l'avoir été mais apparemment pas 🤣

Tu avais été clair quant aux ports à ouvrir et ceux à ne pas ouvrir.
Ce qui m'intriguait (et qui a motivé mes recherches supplémentaires), c'est que les certificats parlent de SSL ...  et je ne comprenais pas pourquoi je ne devais pas activer le Smtp-ssl (ni ouvrir le port correspondant).

Citation

Hésite pas à ouvrir un nouveau topic (...)

OK :wink:

Pour conclure ce topic, je dirais simplement : Merci pour ton aide

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.