DS Cam connexion extérieur 4g

[gaetan39190]

bonsoir,

J'aurais souhaité accédé à DS Cam depuis l'extérieur en 4g, si j'ai bien compris il faut activé le port HTTPS sur la livebox ? y'a t il une autre alternative car je n'ai pas envie d'exposé mon nas sur internet ?

 

En vous remerciant d'avance

[.Shad.]

L' autre solution c'est le VPN dans ce cas :

 

Modifié le 15 décembre 2019 par shadowking

[gaetan39190]

d'accord merci mais un truc que je ne comprends pas, pourquoi je peux utilisé DS Photo sur mon téléphone en 4g alors que le port HTTPS est désactivé ?

[Jeff777]

Bonjour,

Je crois que la réponse est que Photostation est une application web. 

Qu'est-ce qu'il y a dans photostation en paramètre/général/port de routeur ?

[BruceFeuillette]

Il y a 2 heures, shadowking a dit :

L' autre solution c'est le VPN dans ce cas :

 

A noter que la Livebox (dans le cas de l'auteur du sujet) est tout a fait capable de gérer la partie VPN. On peut donc lui déléguer cette tâche là sans souci. Ce qui évite bien des paramétrages sur le NAS. 🙂
https://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/le-parametrage-avance-reseau-nat-pat-ip/creer-un-reseau-vpn

[gaetan39190]

Il y a 3 heures, Jeff777 a dit :

Bonjour,

Je crois que la réponse est que Photostation est une application web. 

Qu'est-ce qu'il y a dans photostation en paramètre/général/port de routeur ?

rien de particulier niveau paramètre, juste ouvert le port 80 et 443 sur mon routeur.(je peux donc accéder à DS Photo sans exposer mon nas sur internet)

 

Pour Ds Cam je pensais qu'il fallait simplement ouvrir le port 9900 et 9901 mais hélas, je me suis trompé, car quand j'active le port 5001 cela fonctionne bien.

 

J'ai suivi le tuto de  Fenrir pour la sécurisation du nas, vous pensez que si je laisse activé le port 5001 je risque quelque chose ?

 

Il y a 3 heures, BruceFeuillette a dit :

A noter que la Livebox (dans le cas de l'auteur du sujet) est tout a fait capable de gérer la partie VPN. On peut donc lui déléguer cette tâche là sans souci. Ce qui évite bien des paramétrages sur le NAS. 🙂
https://assistance.orange.fr/livebox-modem/toutes-les-livebox-et-modems/installer-et-utiliser/piloter-et-parametrer-votre-materiel/le-parametrage-avance-reseau-nat-pat-ip/creer-un-reseau-vpn

J'ai l'impression que c est valable que pour les box pro.

[Jeff777]

il y a 3 minutes, gaetan39190 a dit :

rien de particulier niveau paramètre, juste ouvert le port 80 et 443 sur mon routeur

Je parle des paramètres de Photostation.pas ceux du routeur.

 

il y a 8 minutes, gaetan39190 a dit :

vous pensez que si je laisse activé le port 5001 je risque quelque chose ?

C'est effectivement déconseillé. Mais personnellement je ne sais pas pourquoi c'est plus risqué qu'un reverse proxy. De toutes façons il faut les identifiants pour l'accès au DSM.

Un autre membre pourra peut-être nous dire.

[Mic13710]

Ce n'est pas le port 5001 en soit qui pose problème, c'est simplement d'accéder à DSM depuis l'extérieur, que ce soit par le 5001 ou tout autre port ou par le reverse proxy (ce qui ne change rien).

Si on doit accéder à DSM depuis l'extérieur, mieux vaut le faire par le VPN.

[BruceFeuillette]

Il y a 1 heure, gaetan39190 a dit :

J'ai l'impression que c est valable que pour les box pro.

Ouh là, oui !
Désolé. Vu qu'on a que ça au boulot et qu'elles se ressemblent toutes comme deux gouttes d'eau. Au temps pour moi. Bonne chance pour la résolution du problème.

[Jeff777]

Merci Mic c'est donc une connexion non cryptée qui constitue le risque. Mais dans le cas du port 5001 on se connecte en SSL. Le VPN est plus sécurisé que du SS ?  Je suis perdu.

Excuse mon ignorance...🙄

[Mic13710]

Les deux protocoles sont cryptés, mais n'ont pas la même finalité. Le VPN crée un tunnel protégé entre deux réseaux. Je ne parle pas ici de VPN externe dont la sécurité est très questionnable car ceux qui pensent être protégés ne se rendent pas compte que tout transite en clair chez leur prestataire qui peut récolter des informations et en faire ce que bon lui semble.

Est-ce que HTTPS et VPN se valent du point de vue sécurité ? Plus ou moins si le ssl est continu. Le problème du https c'est qu'il peut être compromis s'il n'est pas maintenu de bout en bout ce qui le rend vulnérable aux attaques MITM. C'est le cas lorsqu'une adresse est résolue en passant par https --> http --> http --> https. Alors qu'avec le VPN on est sûr du cryptage sur tout le chemin entre le serveur et le client. De plus, on peut choisir le niveau de cryptage (256, 512) alors que sur l'https on est tributaire du niveau proposé par le site de connexion. Enfin on entend souvent dire chez les professionnels du réseau que le VPN est un peu plus sécurisé que le HTTPS. Et ici sur ce forum en tout cas c'est ce que Fenrir nous a toujours dit, à condition bien entendu que la sécurisation du NAS ait été correctement faite car établir une liaison VPN sur un NAS qui est une vraie passoire n'a pas de sens si tout ce qui se passe en local peut être intercepté à partir d'une connexion malveillante.

L'avantage décisif du VPN (celui de nos NAS) par rapport à l'HTTPS c'est de pouvoir accéder au réseau local distant et d'utiliser ses ressources (si bien entendu on l'a autorisé dans les paramètres du serveur). Dans mon cas par exemple, je peux accéder à mon NAS, mon routeur, ma borne wifi, mes caméras ou bien lancer une impression à distance exactement comme si j'étais chez moi.

Pour moi, lorsqu'il s'agit de me connecter à des équipements sensibles de mon réseau (DSM, routeur ou autre), il ne fait aucun doute que le VPN est une bien meilleure méthode de connexion que l'HTTPS. J'ai donc banni le port 5001 de mes ports externes et je passe par le 443 et le reverse proxy pour atteindre les paquets en tant qu'utilisateur.

[gaetan39190]

Il y a 2 heures, BruceFeuillette a dit :

Ouh là, oui !
Désolé. Vu qu'on a que ça au boulot et qu'elles se ressemblent toutes comme deux gouttes d'eau. Au temps pour moi. Bonne chance pour la résolution du problème.

pas de soucis 🙂

il y a 14 minutes, Mic13710 a dit :

Les deux protocoles sont cryptés, mais n'ont pas la même finalité. Le VPN crée un tunnel protégé entre deux réseaux. Je ne parle pas ici de VPN externe dont la sécurité est très questionnable car ceux qui pensent être protégés ne se rendent pas compte que tout transite en clair chez leur prestataire qui peut récolter des informations et en faire ce que bon lui semble.

Est-ce que HTTPS et VPN se valent du point de vue sécurité ? Plus ou moins si le ssl est continu. Le problème du https c'est qu'il peut être compromis s'il n'est pas maintenu de bout en bout ce qui le rend vulnérable aux attaques MITM. C'est le cas lorsqu'une adresse est résolue en passant par https --> http --> http --> https. Alors qu'avec le VPN on est sûr du cryptage sur tout le chemin entre le serveur et le client. De plus, on peut choisir le niveau de cryptage (256, 512) alors que sur l'https on est tributaire du niveau proposé par le site de connexion. Enfin on entend souvent dire chez les professionnels du réseau que le VPN est un peu plus sécurisé que le HTTPS. Et ici sur ce forum en tout cas c'est ce que Fenrir nous a toujours dit, à condition bien entendu que la sécurisation du NAS ait été correctement faite car établir une liaison VPN sur un NAS qui est une vraie passoire n'a pas de sens si tout ce qui se passe en local peut être intercepté à partir d'une connexion malveillante.

L'avantage décisif du VPN (celui de nos NAS) par rapport à l'HTTPS c'est de pouvoir accéder au réseau local distant et d'utiliser ses ressources (si bien entendu on l'a autorisé dans les paramètres du serveur). Dans mon cas par exemple, je peux accéder à mon NAS, mon routeur, ma borne wifi, mes caméras ou bien lancer une impression à distance exactement comme si j'étais chez moi.

Pour moi, lorsqu'il s'agit de me connecter à des équipements sensibles de mon réseau (DSM, routeur ou autre), il ne fait aucun doute que le VPN est une bien meilleure méthode de connexion que l'HTTPS. J'ai donc banni le port 5001 de mes ports externes et je passe par le 443 et le reverse proxy pour atteindre les paquets en tant qu'utilisateur.

Compliqué tout cela 🙂 il va falloir que j'essaye de configuré le VPN, je ne comprends pas pourquoi synology ne sécurise pas ces nas en usine. Pour des utilisateurs novices, on trime heureusement qu'on trouve des tutos.(merci au passage)

c'est payant par contre ?

[Jeff777]

@Mic13710

Je te mettrai bien un upvote et une coupe mais apparemment je ne peux pas (modestie ou statut Modo ?).

Jusqu'à présent j'utilisais le VPN du Syno que si j'avais besoin d'être dans mon réseau local, le reste du temps je faisais confiance au https. Je vais revoir ma copie, ça ne coûte qu'un clic de plus .

Encore merci pour ces explication détaillées ( même si je n'ai pas tout compris ).

Ah dernier point concernant la sécurité. Je n'ai pas de tel 4G et le seul moyen que j'ai trouvé pour faire des tests avec un accès extérieur est d'utiliser un proxy et le VPN du Syno. Est-ce que cela te semble suffisamment sécurisé (j'évite d'y rester longtemps).

[Mic13710]

il y a une heure, gaetan39190 a dit :

je ne comprends pas pourquoi synology ne sécurise pas ces nas en usine

Les PC sont pas ou peu sécurisés en usine. Chaque cas étant particulier, ce qui conviendrait à quelqu'un ne serait pas la règle pour les autres. Et avec l'IPV6 c'est encore différent. Tout dépend en fait du degré de sécurité qu'on souhaite avoir. Certains aiment vivre dangereusement et font de l'open bar là ou d'autre vont tout barricader et bloquer tous les accès par crainte des hackers et des virus.

il y a une heure, gaetan39190 a dit :

c'est payant par contre ?

Vous voulez dire le serveur VPN du Syno ? Non, c'est gratuit. C'est un paquet à installer qu'on trouve dans le centre des paquets.

il y a une heure, Jeff777 a dit :

apparemment je ne peux pas (modestie ou statut Modo ?)

C'est mon status de modo. Je suis bloqué à 69 (joli chiffre non ?) obtenus avant que je devienne modo.

il y a une heure, Jeff777 a dit :

un proxy et le VPN du Syno. Est-ce que cela te semble suffisamment sécurisé

Je ne sais pas, je n'utilise pas de proxy. Je dirais qu'on retombe dans les travers de l'HTTPS dont je parlais plus haut à savoir qu'il y a un intermédiaire et que si cet intermédiaire est faiblement sécurisé, le VPN le sera aussi. Mais en règle générale, les serveurs proxy sont assez bien fournis niveau sécurité.

[Jeff777]

il y a 6 minutes, Mic13710 a dit :

Mais en règle générale, les serveurs proxy sont assez bien fournis niveau sécurité.

Ben j'utilise des gratuits sur ce site http://freeproxylists.com/ alors je ne sais pas trop.

En tout cas merci de tes explications et bonne fin de soirée.

PS:

il y a 8 minutes, Mic13710 a dit :

69 (joli chiffre non ?)

Le Rhône, tu ne préfères pas le 13 des Bouches du Rhône ?

[gaetan39190]

Il y a 1 heure, Mic13710 a dit :

Les PC sont pas ou peu sécurisés en usine. Chaque cas étant particulier, ce qui conviendrait à quelqu'un ne serait pas la règle pour les autres. Et avec l'IPV6 c'est encore différent. Tout dépend en fait du degré de sécurité qu'on souhaite avoir. Certains aiment vivre dangereusement et font de l'open bar là ou d'autre vont tout barricader et bloquer tous les accès par crainte des hackers et des virus.

Vous voulez dire le serveur VPN du Syno ? Non, c'est gratuit. C'est un paquet à installer qu'on trouve dans le centre des paquets.

Ce n'est pas faux, j'aime pas trop prendre de risque 😄

Quand j'aurais un peu plus le temps je vais regardé cela sa ne doit pas être sorcier à faire ^^

Une petite question vous utilisé qu'elle type de VPN, open VPN ou serveur L2TP/IPSEC ?

 

Modifié le 15 décembre 2019 par gaetan39190

[.Shad.]

OpenVPN personnellement, mais les deux font le job.

[Jeff777]

Moi aussi openVPN  (j'ai jamais pu configurer L2TP/IPSEC)

[gaetan39190]

D'accord merci, vous vous connecté avec une application depuis votre Mobil et vous n'utilisez pas la 4g si je comprends bien ?

[Jeff777]

J'ai pas de mobil....(et oui !) je ne téléphone qu"avec un fixe.

Je me connecte en WIFI avec une tablette Androïd et j'utilise l'application client OpenVPN connect à configurer avec le fichier de config exporté de VPNServeur.