Configuration accès externe

[lauber972]

Bonjour,

 

Je suis un nouveau propriétaire d'une SYNOLOGY DS218.

Le but de mon achat est de me "dégoogliser", en gros, je souhaite me servir de mon NAS à distance pour sauvegarder automatiquement et accéder à toutes mes photos depuis mon téléphone et plus tard étendre avec médias et pourquoi pas documents...

Je souhaite donc pouvoir accéder à distance à celui-ci ; Je suis conscient de prendre un risque en exposant mes données avec un accès depuis le NET mais tout est déjà sur un serveur GOOGLE actuellement (Je vais tout de même filtrer au maximum avec les pare-feus et ai déjà activé la double authentification)

Donc mon souci :

- J'ai lu sur beaucoup de site qu'il est déconseillé d'utiliser quickconnect de synology car eux-même et les sous-traitant utilisés peuvent intercepter les données.

- J'ai donc voulu accéder depuis un DDNS, j'ai bien réussi en utilisant celui fourni par synology qui utilise LET's ENCRYPT mais les connexions ne sont pas sécurisées SSL

 

Mes questions :

1) Si mes connexions qui passe par ce DDNS ne sont pas certifiées SSL, sont-elles au moins cryptées pour augmenter la sécurité des données ?

2) Je suppose que la réponse à ma 1ère question est "non" et donc peut-on obtenir un certificat gratuitement et valable ?

3) Etant chez free, j'ai cru lire que je possédais une IP publique fixe, si je passe directement dessus, est-ce plus sécurisé ? Mes transferts seront-ils cryptés ? Et si je souhaite utilisé cet accès direct, comment paramétrer les applications sur mon smartphone ? (J'ai réussi avec le DDNS mais pas en direct...)

 

Merci d'avance pour vos réponses

[dd5992]

Bonjour @lauber972 ,

Comme tu as une IP fixe, il n'est pas indispensable d'utiliser un DDNS dont le but initial est d'avoir un nom de domaine quand on a une IP variable.

Tu peux acquérir pour très peu d'argent un nom de domaine personnalisé (par ex chez OVH). Tu peux aussi utiliser un DDNS, mais alors ton nom de domaine sera moins personnalisé (par ex chez Syno tu pourras avoir xxx.synology.me).

Pour ce qui est de sécuriser l'accès extérieur à ton NAS, le mieux est de suivre ce tuto :

 

Si tu débutes avec les NAS Synology, tu as aussi ce tuto :

 

Si, après avoir appliqué ces conseils, tu as d'autres questions, n'hésites pas à les poser ici.

Note : Une présentation dans la section https://www.nas-forum.com/forum/forum/16-présentation/
nous aiderait à mieux te conseiller.

Modifié le 3 juillet 2019 par dd5992

[Mic13710]

Il y a 15 heures, lauber972 a dit :

synology qui utilise LET's ENCRYPT mais les connexions ne sont pas sécurisées SSL

Ah bon ? Et depuis quand ? Si le certificat que vous avez obtenu de LE (qui n'est pas celui par défaut du NAS) a été créé sur votre ndd, alors il n'y a pas de souci.

Par ailleurs le certificat n'est pas un moyen de cryptage mais seulement une authentification de la connexion qui permet de garantir au client qui se connecte sur votre domaine que l'url appartient bien au dit domaine et n'est pas usurpé.

C'est la connexion https qui assure le cryptage. Donc même si vous n'avez pas de certificat, la connexion est tout de même sécurisée. Il suffit alors de faire une exception, bien que cette manière de faire ne soit pas correcte car on ne sait pas si le serveur est réellement celui qu'il prétend être.

Et comme l'a dit dd5992, on aime bien que les nouveaux arrivants passent par le forum des présentations avant de poster.

[lauber972]

Merci @dd5992pour ces liens, je vais jeter un coup d’œil mais j'avais déjà regarder le 1er lien pour sécuriser au max son NAS !

Cependant, en activant le forçage du HTPP vers HTTPS, pour accéder au NAS, il m'est précisé que mon certificat n'a pas été "authentifié", d'où ma question de savoir si la connexion est tout de même cryptée ? Et surtout qu'étant donné que mon IP publique est fixe, je n'en ai pas besoin, donc comment sécuriser ma connexion au maximum ainsi @Mic13710

Je vais jeter un oeil aux liens, n'hésitez pas à revenir vers moi si vous avez des infos !

 

Sinon, j'ai créé ma présentation 😉

 

[dd5992]

Certes ta connexion est toujours cryptée, mais comme dit @Mic13710, le certificat sert pour assurer les utilisateurs externes qu'ils se connectent bien à ton site et non à un "pirate" c'est donc utile!

Regarde sur ton Syno dans "Panneau de configuration/sécurité/certificats" si tu as un ou plusieurs certificats et si c'est bien celui fourni par Let's Encrypt qui est utilisé. sinon corrige ça!

[lauber972]

il y a 18 minutes, dd5992 a dit :

Certes ta connexion est toujours cryptée, mais comme dit @Mic13710, le certificat sert pour assurer les utilisateurs externes qu'ils se connectent bien à ton site et non à un "pirate" c'est donc utile!

Regarde sur ton Syno dans "Panneau de configuration/sécurité/certificats" si tu as un ou plusieurs certificats et si c'est bien celui fourni par Let's Encrypt qui est utilisé. sinon corrige ça!

Merci beaucoup pour vos réponses et de vous intéresser à mes interrogations.

J'aimerais reprendre le début, pour vous, ai-je besoin d'un DDNS étant donné que j'ai une IP publique fixe donc actuellement j'accède à mon NAS en direct.

Est-ce sécurisé ainsi ? Est-ce crypté ?

 

Au début, j'utilisais un DDNS let's encrypt et j'avais bien le certificat let's encrypt dans la liste valable jusqu'à fin septembre et par défaut mais malgré cela, j'avais le message que ma connexion n'était pas sécurisée car pas en HTTPS.

Je pensais que c'était parce qu'il fallait authentifier le certificat ? J'ai vu que cerbot permettait de le faire gratuitement mais je n'ai pas réussi à comprendre leur site.

Serait-ce plus sécurisé avec un DDNS d'après vous ?

 

Merci encore

[dd5992]

Un certificat certifie un nom de domaine (par ex www.toto.com), donc ton site doit être accessible avec un nom, soit issu d'un DDNS, soit d'un nom de domaine acheté. Tu as donc besoin de l'un des deux. Si ton certificat est déjà créé, utilise le nom qui va avec (tu peux le voir en ouvrant l'info du certificat à l'endroit que je t'ai indiqué tout à l'heure).

Let's Encrypt ne fournit pas de DDNS à ma connaissance. Tu as dû utiliser l'encapsulation faite pas le syno. C'est suffisant. Si tu vois le certificat dans ton syno, c'est que ça s'est bien passé. 

Le cryptage se produit quand tu utilises pour te connecter une adresse du type https://xxx.toto.com. Si tu respecte ça, tu es en HTTPS. 

Le navigateur vérifie alors que le certificat de ton site (le syno) matche bien avec l' adresse que tu as faite. 

Il n'y a rien de plus à faire pour rendre le certificat authentique.

Bien sûr, si tu joins ton syno avec un autre nom (ex: autre.nom.fr) le navigateur échouera dans sa vérification et émettra un message, même s'il accède à ton syno. 

[lauber972]

Il y a 14 heures, dd5992 a dit :

Le cryptage se produit quand tu utilises pour te connecter une adresse du type https://xxx.toto.com. Si tu respecte ça, tu es en HTTPS. 

Merci beaucoup @dd5992 , en fait je me connectais toujours avec mon adresse ip et non l'adresse fournie par let's encrypt ! Du coup maintenant plus de message d'erreur et même sur les applis android ça ne me met plus aucun message d'erreur ! TOP merci encore !

 

J'ai donc configurer mon pare-feu, en gros j'ai 3 règles :

- 1 qui autorise toute IP française 

- 1 qui autorise mon PC en local (car si je ne la crée pas, mon explorateur windows ne peut accéder au nas sans passer par le navigateur web)

- 1 qui refuse toutes les autres

Est-ce bien à votre avis ?

En fait, l'idéal aurait été de n'autoriser que les IP de mon smartphone et celui de ma femme mais comme ce sont des IP dynamique.... Existe-t-il une solution à tout hasard ?

Modifié le 4 juillet 2019 par lauber972

[.Shad.]

Pour cela, il te faut utiliser ton serveur VPN.
Tu choisis le protocole, OpenVPN ou L2TP/IPsec, il te suffit de suivre le tutoriel suivant :

Avec les règles suivantes (tirées du tutoriel sur la sécurisation des NAS), tu autorises l'accès VPN depuis la France, tout en local, et le reste est bloqué :

A toi de voir si tu préfères utiliser OpenVPN ou L2TP/IPsec, à titre personnel je préfère ce dernier (moins de paramétrage à réaliser, le protocole est inclus de base sur Android, pas d'application à installer).

Modifié le 4 juillet 2019 par shadowking

[lauber972]

Merci @shadowking !

 

Bon alors si je résume :

-> Création DDNS OK via synology via let's encrypt avec forçage en mode HTTPS (d'ailleurs, je n'ai ouvert que le port 5001 sur routeur NAS et redirigé uniquement le 5001 de ma box vers mon NAS)

-> Utilisation de VPN server avec protocole L2TP/IPsec avec :

1) Clef pré-partagée

2) Ouvert les ports 1701/500 et 4500 sur routeur du NAS

3) Redirection des ports 500 et 4500 sur ma box vers mon NAS 

-> Pour mon pare-feu :

1) J'ai créé les 2 premières règles du tuto qui autorise l'accès depuis le VPN et en local

2) Je n'ai pas créé la 3ème qui autorise les IP 172.16.0.0 car je ne vois pas l'intérêt ?

3)  J'ai créé les règles pour le L2TP mais pas l'OPENVPN comme pas utilisé !

 

En faisant cela, je n'ai pus accès à mon NAS de l'extérieur  notamment depuis mon android, j'ai tenté d'utiliser le paramètre VPN et d'indiquer l'adresse DDNS de ma box mais IDEM !?

 

[anybodesign]

bonjour,

je m'incruste sur ce sujet en espérant ne pas trop déranger.
voilà, j'utilisais la fonction accès externe par défaut, c'est à dire avec une adresse de type xxx.synology.me et un utilisateur ayant accès à un répertoire FTP (stockage de sauvegardes)
ça fonctionnait très bien.
j'ai déménagé cette semaine et je n'arrive pas à refaire fonctionner l'accès externe 😞 avant j'étais chez Free (freebox revolution) et je suis maintenant chez bouygues (bbox)…
dans le panneau de configuration du NAS on me demande de revoir la configuration du routeur (c'est bien la box ?) mais du coup je en sais pas quoi renseigner… je ne me souviens pas avoir fait ça avec la freebox.
pourtant dans l'onglet DDNS le status est "normal"

est-ce que c'est un problème au niveau de la bbox ?
quelle serait la méthode la plus sécurisée sachant que j'ai uniquement besoin d'ouvrir un accès FTP (ou SFTP) à un utilisateur pour envoyer des sauvegardes ?

merci !

[lauber972]

Salut !

Je ne suis pas expert en NAS mais si ça peut t'aider :

As tu pensé à redirigé les ports utilisés pour le FTP (soit TCP 21 et 55536  à 55539) sur ta Bbox ? Peut-être l'avais tu fait sur la freebox et non la Bbox ?

Et le message a l'air d’être dans DSM directement ? Peut-être faut il obligatoirement avoir la box UPnP ?

 

@+

 

 

Autrement pour mon sujet, souci résolu !

J'accède au NAS soit en local, soit que via le VPN !

Impossible d'y accéder depuis le port 5005 !

 

Seul bémol : Sur mon smartphone, j'active le VPN et j'ai accès au NAS mais du coup, plus aucun accès à internet vu que le VPN ne me donne accès qu'au NAS !

C'est embêtant car l'idéal aurait été un accès constant au NAS depuis l'extérieur via le NAS tout en gardant mon accès à internet à côté !

 

Est-ce paramétrable sur ANDROID ?

 

Merci

[dd5992]

il y a 17 minutes, lauber972 a dit :

As tu pensé à redirigé les ports utilisés pour le FTP (soit TCP 21 et 55536  à 55539) sur ta Bbox ? Peut-être l'avais tu fait sur la freebox et non la Bbox ?

Et le message a l'air d’être dans DSM directement ? Peut-être faut il obligatoirement avoir la box UPnP ?

C'est en effet nécessaire.

Le message de DSM "Aucun routeur uPnP n'a été trouvé" signifie que le syno n'est pas en mesure de programmer le routeur lui même (Il ne peut pas le faire pour la Freebox non plus).

Il faut se connecter à l'interface de la Bbox (apparemment sur l'IP 192.168.1.254) à partir de ton réseau local et configurer les redirections de ports comme indiqué par @lauber972.

[anybodesign]

merci beaucoup je vais essayer tout ça

je suis en train de lire les tutos débuter avec un NAS et Sécuriser les accès à son NAS… du coup j'ai désactivé Quickconnect pour suivre les recommandations.
est-ce que l'accès externe fonctionnera sans ?

[dd5992]

Oui, mais il faudra gérer toi même les redirections de ports, comme indiqué précédemment.

Quickconnect fonctionne en utilisant un site de Synology en intermédiaire, d'où les réticences de sécurité. Il vaut mieux gérer soi même les accès (et donc les redirections de ports) et les réduire au strict minimum.

[anybodesign]

ok merci 🙂

sur la bbox je vois bien une section redirection de ports, mais je ne peux pas en ajouter dans la partie UPnP… juste dans la partie NAT et PAT

je vais continuer à chercher…

je vois que dans NAT et PAT j'ai port interne et port externe… 😁

Modifié le 9 juillet 2019 par anybodesign
complément

[anybodesign]

je viens de faire ça dans NAT & PAT :

je ne sais pas si c'est ça, mai j'arrive maintenant à me connecter en FTP !

par contre en paramètre de serveur j'ai toujours xxx.synology.com
je croyais que c'était désactivé avec quickconnect ? ou alors c'est pas la même chose ?

[.Shad.]

Le protocole UPNP permet à un périphérique de ton réseau de transmettre directement au routeur l'ouverture des ports dont il a besoin pour une application donnée.
C'est donc normal que tu ne puisses rien y mettre, c'est prévu pour un fonctionnement automatisé.

[anybodesign]

il y a 3 minutes, shadowking a dit :

Le protocole UPNP permet à un périphérique de ton réseau de transmettre directement au routeur l'ouverture des ports dont il a besoin pour une application donnée.
C'est donc normal que tu ne puisses rien y mettre, c'est prévu pour un fonctionnement automatisé.

ah merci pour l'info 🙂

[lauber972]

Bon,

 

Pour ma part, je pense être arrivé à configurer mon NAS comme conseillé pour un max de sécurité, pouvez-vous me donner votre avis svp ?

1) Mon routeur sur le NAS : 

- 5001 pour accès à DMS depuis mon PC via le navigateur

- 6690 pour l'application cloud sur mon smartphone qui sert à synchroniser mes dossiers

- 1701/500/4500 pour le VPN

- 443 que je vais très sûrement supprimer, je l'avais mis car j'ai vu que l'appli VPN plus de synology l'utilisait mais ANDROID le gère nativement, à voir avec l'IOS de ma femme ?

 

2) Mon pare-feu sur le NAS :

- 10.x.x.x. pour toutes connexion via mon VPN depuis l'extérieur

- 192.168.x.x pour toutes connexion via mon réseau local

- 500/1701/4500 pour toutes connexions au VPN ???

- Refus de toutes autres connexions !

(La connexion TOUS/TOUS/FRANCE est désactivée, elle me servait le temps de la mise en place de tout ça !)

 

Sur ma box :

- J'ai redirigé les ports suivants sur mon syno : 6690(cloud)/5001(Accès DSM depuis navigateur)/500+4500(VPN)

 

 

Merci d'avance pour vos avis !

[Thierry94]

ne surtout pas faire de routage pour le port 500 du VPN

[lauber972]

il y a 24 minutes, Thierry94 a dit :

ne surtout pas faire de routage pour le port 500 du VPN

Ah bon ?

Pourtant que le topic, il est précisé de mettre sur le nas les 3 ports VPN (1701/500/4500) mais sur la box ne mettre que 500 et 4500 !?

Ils expliquent que le 1701 est utilisé pour le L2TP qui lui n'est pas crypté donc pas conseillé.

Mais le 500, personnes n'en parle !? Pourquoi ne conseille tu pas de l'ouvrir ?

[Thierry94]

Désolé je me suis trompé de port ...
Oui tu as raison c'est bien le port 1701 qu'il ne faut pas router !

Modifié le 9 juillet 2019 par Thierry94

[dd5992]

Si tu gères toi même tes redirections de port dans ta Bbox, il n'est pas utile de renseigner la "Configuration du routeur" dans le panneau de configuration de ton syno (sur le mien, cette page est vide). Tu peux toutes les faire sur ta Bbox.

Si tu es connecté de l'extérieur via un VPN,  est-il utile d'autoriser par ailleurs (via une redirection de port) l'accès à DSM via le port 5001? quand tu es connecté avec ton VPN, tout se passe comme si tu étais sur ton réseau local, donc tu peux te connecter directement sur ton syno avec le port 5000 ou 5001, les redirections de port ne servent pas. De plus, c'est plus sécurisé!

[Mic13710]

Il y a 2 heures, lauber972 a dit :

Pour ma part, je pense être arrivé à configurer mon NAS comme conseillé pour un max de sécurité, pouvez-vous me donner votre avis svp ?

Pas bon. La configuration du routeur à partir du NAS est très fortement déconseillée. Il serait judicieux de lire et mettre en pratique le tuto de Fenrir sur la sécurité. Surtout quand je vois le port 1701 ouvert sur le routeur via l'onglet configuration du routeur, c'est très exactement ce qu'il ne faut pas faire.