Configuration accès externe

[lauber972]

Le 09/07/2019 à 16:13, Mic13710 a dit :

Pas bon. La configuration du routeur à partir du NAS est très fortement déconseillée. Il serait judicieux de lire et mettre en pratique le tuto de Fenrir sur la sécurité. Surtout quand je vois le port 1701 ouvert sur le routeur via l'onglet configuration du routeur, c'est très exactement ce qu'il ne faut pas faire.

Désolé pour le retard de ma réponse.

Merci @Mic13710 beaucoup pour ta réponse, c'est pour cela que je me suis inscrit sur ce forum 😉 

Ce que je ne comprend pas c'est que dans le tuto "VPN" il est indiqué de configurer le routeur du NAS et le pare-feu du NAS comme je les ai fait !

 

Mes questions du coup :

1) Il est spécifié dans le tuto "VPN" d'ouvrir ces ports dans le NAS et le 1701 en moins sur le routeur BOX de façon à redirigé et accepter les connexions via ces ports si j'ai bien compris.

Si je ne créée aucune règles via mon routeur NAS, les ports seront ils bien ouverts pour permettre les accès à distance via le VPN ? Dois-je

2) Dois-je laisser mon pare-feu configuré ainsi du coup ? Les ports "500,1701 et 4500" sont autorisés pour la france (Tuto "VPN")

3) La fonction UPNP permet au DSM de configurer le routeur de la box directement si j'ai bien compris ?

Me conseillez-vous de l e désactiver ? Si c'est faisable bien sûr !

4) Vous m'avez conseillé d'activer le VPN pour accéder à mon NAS depuis l'extérieur, depuis mon smartphone android c'est bon mais j'ai l'impression que la connexion VPN me coupe mes datas à côté !?

5) Dois-je totalement refuser le port 5001 ? Si je souhaite accéder à DSM depuis l'extérieur (supposition car je n'en vois pas l'utilité tout de suite) ou depuis le réseau local du coup je suis obligé de rentrer l'IP dans ce cas est-ce sécurisé ?

 

Merci d'avance pour vos réponses, les paramétrages sont de plus en plus clairs pour moi même s'il reste des zones d'ombre 😉 !

[Mic13710]

Vous confondez 2 choses, le parefeu du NAS qui filtre les accès au NAS et les règles de routage qui elles concernent le routeur (votre BOX). Comme il est dit dans le tuto, on doit autoriser le 1701 dans le parefeu du NAS mais on ne le transfère pas au niveau du routeur.

Or, avec les règles que vous avez mis en place dans la configuration du routeur (qui n'a rien à voir avec le parefeu, on est bien d'accord), vous faite très exactement le contraire puisque vous indiquez au routeur de rediriger le 1701 vers le NAS. Il faut supprimer de votre liste la règle pour le 1701.

Au delà de ce problème, il n'est pas recommandé de laisser le NAS gérer les ouvertures et redirections des ports du routeur. C'est très clairement expliqué dans le tuto sur la sécurisation de nos NAS. Tout ce qui concerne les réglages du routeur doit exclusivement être fait au niveau du routeur. On ne laisse pas le soin à des équipements tiers (le NAS dans le cas présent), faire de paramétrages sans contrôle.

Je vous recommande de désactiver la configuration du routeur du NAS, de désactiver par la même occasion l'Upnp du routeur pour bloquer les tentatives de réglages externes et de faire vos translations et redirections de ports directement dans l'interface du routeur. C'est plus propre, plus sécuritaire, et c'est vous qui en gardez le contrôle.

Le port 5001 sert à se connecter au DSM pour principalement y faire des paramétrages. Sauf cas particuliers, il n'est généralement pas nécessaire ni conseillé de le faire à distance. Ce type d'action est plutôt réalisé en local pour d'abord pouvoir intervenir en cas de problème, et ensuite, bien que la liaison soit en https, elle n'est pas garantie sécurisée à 100%. Si vous utilisez le VPN pour rejoindre votre réseau local et qu'il est bien entendu fonctionnel, vous n'avez pas besoin d'ouvrir le 5001 vers l'extérieur. Moins il y a de ports ouverts, mieux c'est.

[lauber972]

Merci beaucoup pour cette réponse qui me paraît claire !

J'essaie ça dès que possible et reviens vers vous pour voir si j'ai réellement bien tout saisi 😉

 

Merci encore 👍

[lauber972]

Re,

 

1) Alors, j'ai supprimé toutes les règles de la page "ROUTEUR" du NAS et désactivé le UPNP de ma BOX : Si j'ai bien compris, ainsi ce sera uniquement ma box qui gérera mes redirections de ports.

2) J'ai supprimé la redirection de mon port 1701 et 5001 de ma box sur mon NAS

3) Ma configuration pare-feu du NAS est restée telle que je vous l'avais présenté !

 

Je pense avoir bien fait du coup ?

 

Une chose m'échappe cependant :

- Depuis mon réseau local, je ne peux accéder à DSM qu'en rentrant l'adresse IP local dans le navigateur (Du coup pas de HTTPs) ; Si je rentre mon DDNS, il m'est impossible d'y accéder !

A quoi sert alors la règle de mon pare-feu qui autorise toutes connexions en 192.168.1.0 sous le masque réseau 255.255.255.0 ?

Modifié le 12 juillet 2019 par lauber972

[Mic13710]

Ok pour la suppression de l'upnp et de la configuration du routeur à partir du NAS, mais avez-vous créé les règles de redirections dans le routeur ?

Pour répondre à votre question, pour pouvoir utiliser votre ddns à partir de votre réseau local, il faudrait que votre box soit capable de faire du loopback c'est à dire pouvoir retourner vers le LAN une demande WAN faite à partir du LAN, ce qui n'est probablement pas le cas.

Par contre, vous pouvez parfaitement accéder au DSM en local via le https en utilisant l'url https://192.168.x.x:5001. Mais bon, du https lorsque vous faite un lien de chez vous à chez vous, à moins de n'avoir aucune confiance dans les personnes qui utilisent votre réseau, ça n'a guère d'intérêt, surtout qu'il faut alors recourir à des exceptions puisqu'il n'y a pas de certificat couvrant l'IP du NAS.

Il faut comprendre qu'un ddns et un nom de domaine ne fonctionnent qu'à partir de l'extérieur. Lorsque vous êtes sur votre réseau privé, ils ne fonctionnent plus puisqu'il n'y a pas d'origine de serveur DNS sur votre propre réseau capable de résoudre ces adresses. Pour que ça fonctionne, il faut donc mettre en place un serveur DNS. Ca tombe bien puisque DSM propose cette fonctionnalité. Il y a un tuto très bien fait sur le forum, mais il faut pour cela que vous ayez un ndd.

[lauber972]

Oui j'ai bien créé les règles dans mon routeur, j'ai redirigé les ports 6690/500/4500 vers mon NAS.

Merci pour ces explications, mai sj'ai essayé d'utiliser l'adresse https://192.168.x.x:5001 mais ça ne fonctionne pas, je reste en HTTP uniquement mais après comme tu dis, vu que ça reste du local sans passer par le net je réduis considérablement le risque !

Par contre, avec mon smartphone, je n'ai pas accès à mon NAS via l'application DS files qui me permet de naviguer dans mes dossiers partagés ! J'ai alors trouvé ce site : https://www.synology.com/en-global/knowledgebase/DSM/tutorial/Network/What_network_ports_are_used_by_Synology_services

Il est indiqué que l'application DS file utilise les ports 5000 et 5001. Or, vous m'avez déconseillé de redirigé le port 5001 vers mon NAS. Quelles sont alors mes possibilités ? Quels risques en redirigeant le 5001 ?

 

Merci encore @Mic13710

EDIT : Et je n'ai pas encore réussi à comprendre pourquoi la règle du pare-feu autorisant les IP 192.168.1.0 ? Car avec mon smartphone en WIFI donc adresse IP locale, je n'arrive pas à utiliser DS cloud, je suis obligé d’utiliser le VPN !?

EDIT 2 : Je crois avoir compris mon interrogation ci-dessus, malgré que je sois en local, mon adresse reste mon DDNS et non l'IP donc obligé de passer par mon VPN ? Est-ce cela ?

[Mic13710]

Les ports par défaut de DSFile c'est 7000 et 7001. DSCloud quand à lui utilise le port 6690., mais là n'est pas le propos.

Tous les ports utilisés par Synology sont ici : https://www.synology.com/fr-fr/knowledgebase/SRM/tutorial/Service_Application/What_network_ports_are_used_by_SRM_services

Si vous voulez ne plus utiliser les ports dédiés pour les applications classiques, il faut passer par le reverse proxy. Vous trouverez d'excellents tutos dans la partie tutoriels.

Et si vous voulez utiliser le même ndd côté LAN et côté WAN, il faut mettre en oeuvre le serveur DNS. Là aussi vous avez un excellent tuto sur sa mise en oeuvre dans la partie tutoriels. Je vous conseille d'aller aussi faire un tour en page 2 du même tuto. Vous y trouverez mon retour dans lequel je fais une utilisation du serveur DNS, du reverse proxy et de la mise en place du ou des certificats.