Config "accès extérieur"

[Polo67]

Bonsoir

En suivant le tuto de Fenrir j'en arrive à définir les ports dans l'Onglet Sécurité/Pare feu/Modifie le profil de Tuto

Il indique IP source en choisissant "sous-réseau" 10.0.0.0/255.0.0.0

Or je n'arrive pas à mettre le slach / 

Comment dois je faire?

Merci

Modifié le 18 octobre 2020 par Polo67

[Polo67]

Ok je suis aller trop vite, j'ai trouvé mais "bien choisir sous-réseau" m'a induit en erreur

En revanche, quels ports ouvrir pour communiquer de la France, vers les DOM/TOM (Guadeloupe)?

[oracle7]

@Polo67

Bonjour,

Dans un premier temps je t'invites à te contenter de suivre la recommandation (en rouge dans son TUTO) de @Fenrir et ne rentres que les 4 règles de base.

Seulement plus tard, en fonction des applications que tu mettras en œuvre, tu viendras si c'est nécessaire ajouter (AVANT la présente dernière qui refuse tout) une règle pour autoriser un port qui lui sera associé et seulement à ce moment là tu pourras restreindre sa portée géographique en sélectionnant un ou plusieurs emplacements.

Par exemple pour un VPN avec le protocole OpenVPN il faut autoriser le port 1194 et pour l'IP source dans Emplacement tu pourras sélectionner "France" et "Guadeloupe".

Mais saches bien que le(s) port(s) à ouvrir dépendent uniquement de l'application que l'on souhaite utiliser et pas de la communication à établir vers tel ou tel pays.

Cordialement

oracle7😉

[Polo67]

il y a 31 minutes, Polo67 a dit :

Ok je suis aller trop vite, j'ai trouvé mais "bien choisir sous-réseau" m'a induit en erreur

En revanche, quels ports ouvrir pour communiquer de la France, vers les DOM/TOM (Guadeloupe)?

Je ne trouve pas non plus dans la version DSM v6, le Conseiller de sécurité

Comment l'activer?

 

 

[oracle7]

@Polo67

Bonjour,

C'est là :

COrdialement

oracle7😉

Modifié le 5 juillet 2021 par oracle7

[Polo67]

@oracle7

Merci pour tes conseils.

Maintenant je vais faire un test de connexion de puis la Guadeloupe avec mon petit fils.

Que dois je lui donner comme renseignements pour le faire.

J'aimerais qu'il puisse avoir accès à VS

Dois je lui affecter un id + pwd?

 

 

[oracle7]

@Polo67

Bonjour,

Cela me paraît préférable voire même indispensable. N'oublies de lui donner les bons droits sur l'application et les dossiers que tu veux lui partager.

Cordialement

oracle7😉

[Polo67]

@oracle7

En copie écran par ordre alphabétique je ne trouve pas ni le logo ni le Conseiller de Sécurité

[oracle7]

@Polo67

Bonjour,

Évidemment, tu risques pas de le trouver là, tu as ouvert le centre des paquets. C'est balo ...🤪

Cliques en haut à gauche dans la barre sur l'icone

Cordialement

oracle7😉

[Polo67]

@oracle7

Lolll ça prouve au moins que je suis un vrai newbee

Merci

[oracle7]

@Polo67

Bonjour,

Rassures-toi, on est tous passé par là à un moment ou un autre ...🤪

Bonne continuation.

Cordialement

oracle7😉

[oracle7]

@Polo67

Bonjour,

Je crois que la description du problème est claire : tu as un mot de passe d'un utilisateur qui ne répond pas complètement aux règles que tu as fixées dans : "Panneau de configuration / Utilisateur / Avancé". Vérifies la concordance de ce MdP avec les cases que tu as cochées. Je ne peux te dire mieux.

il y a une heure, Polo67 a dit :

et est ce normal que sous Firefox sur le pc de ma femme (qui à les droits de lecture) un message de sécurité disant que l'accès est dangereux se répète deux fois de suite en cliquant sur suivant?

Tu peux préciser le type de message exact.

C'est une alerte de sécurité liée à l'accès à un site en particulier (ou une application du NAS) ? Elle te propose quand même de passer outre ?

Si c'est cela, c'est que tu veux accéder à un site (ou une application du NAS) avec en URL un nom de domaine ou une @IP qui n'est pas géré par ton certificat.

Dis-en plus pour lever le doute ...

Cordialement

oracle7😉

[Polo67]

@oracle7

Voila les copies écrans sur le pc de ma femme

J'ai pourtant suivi à la lettre les explications du tuto

lorsque l'exception est levée la connexion avec mot de passe fonctionne bien

Autre chose

Ma fille en Guadeloupe n'a pas avoir accès en tapant 192.168.1.55 dans son navigateur

 

@oracle7

Autre question qui me viens

De l'extérieur, depuis mon pc portable, celui de ma femme ou ceux de mes enfants comment doit on se connecter au nas?

En utilisant 192.168.1.55 dans la barre de recherche ou par un autre moyen?

[oracle7]

@Polo67

Bonjour,

Cette alerte de sécurité est tout à fait normale dans la mesure où ton URL de connexion est basée sur l'@IP de ton NAS.

Par ailleurs tu as dû définir/créer un certificat pour ton NAS (ou encore tu utilises le certificat par défaut Synology) qui est basé sur un nom de domaine du type "ndd.tld" ou "xxxx.ndd.tld". En conséquence, ton certificat ne prend pas en compte (et ne peux pas prendre en compte) une @IP, même celle du NAS. C'est donc pourquoi tu as cette alerte de sécurité.

Si tu veux que ta fille puisse se connecter depuis la Guadeloupe, il faut lui donner un domaine (par ex "nas.ndd.tld") qu'elle saisira comme URL dans son navigateur plus un Id/MdP pour se connecter au NAS.

Maintenant, il faut aussi que ce domaine pointe sur ton @IP externe.

Dans un premier temps, tu peux faire cela en définissant un DDNS dans DSM avec un domaine du type "nas.synology.me".

Mais  pour plus de souplesse et rester surtout indépendant de Synology (tout ton trafic passe alors par leurs serveurs, donc pour la confidentialité c'est pas top !), je t'invite donc à acquérir ton propre domaine personnalisé (pour moins de 10€ par an chez OVH par exemple).

Regardes le TUTO "Pourquoi et comment utiliser un nom de domaine ?" qui est bien fait et t'expliquera toute la démarche. Rien de bien compliqué mais encore de nouvelles notions qu'il va te falloir assimiler.

Cordialement

oracle7😉

[Polo67]

@oracle7

Bonjour

J'ai jété l'éponge (en fonction de mes connaissances) et j'ai installé quickConnect

Une fois que j'aurais mieux compris le monde "NAS" je me lancerai peut être dans l'obtention d'un nom de domaine et paramétrer les DNS.

Merci Oracle et les autres

[oracle7]

@Polo67

C'est bien dommage. En tout cas, même si l'usage de Quickconnect peut résoudre le problème dans un premier temps, saches que utiliser ce service Synology est une très mauvaise idée. En effet, il n'est pas du tout recommandé d'un point de vue sécurité et surtout confidentialité (voir le TUTO sur la sécurisation des accès au NAS). Tout ton trafic passe alors par les serveurs de Synology qui voient donc tout. Donc à toi de voir selon la confiance que tu peux/veux accorder à Synology à ce niveau...

Je ne peux que te conseiller de prendre ton temps pour acquérir les quelques connaissances qui te manquent et de revoir ta décision. Essaies au moins en utilisant un domaine xxxxx.synology.me comme DDNS dans DSM. Au moins ce sera toujours mieux que Quickconnect et reviens poser tes éventuelles questions sur le forum.

Cordialement

oracle7😉

[Polo67]

@oracle7

Je ne suis pas du tout réfractaire à utiliser ta solution......le seul soucis c'est que je ne la comprends pas

En clair je ne sais pas comment faire avec le domaine etc

Si un tuto, explication ou autre est faite je la suivrais

Comme tu as dû t'en rendre compte j'ai quelques connaissance en informatique mais aucune en réseau

Donc ok pour sortir de Quick Connect, mais avec une aide comme tu l'a fait pour VS

Merci

[oracle7]

@Polo67

Bonjour, je vais donc essayer de t'expliquer la démarche en espérant ne rien oublier sachant je j'ai fais cela il y a un bail... :

1. Aller dans DSM "Panneau de configuration / Accès externe / DDNS"
2. Cliquer sur "Ajouter"
3. Sélectionner "Synology" pour "Fournisseur de service"
4. Saisir "UnNomFacile" pour "Nom d'hôte" et sélectionner "synology.me" dans le popup
5. Cliquer sur "Test de connexion"
6. Si tu as déjà un compte Synology (normalement oui) ton @mail doit s'afficher en face de "Courrier électronique"
7. Cliquer sur "Configurer une IP externe" et là tu saisis ton @IP externe (celle de ta box, si tu trouves pas tu tapes mon-ip.com dans un navigateur)
8. Enfin tu coches que tu acceptes les conditions d'utilisation ... et tu cliques sur "OK"
   
    
9. Ensuite une fenêtre va te demander si tu souhaites obtenir un certificat Let'sEncrypt pour ton domaine "UnNomFacile.synology.me".
   Tu réponds évidemment OUI.
10. De retour dans l'écran DDNS, tu devrais avoir quelque chose comme cela :
    
11. Tu n'as plus qu'à tester ton nom de domaine en synology.me. D'abord en local, puis de l'extérieur. Pour accès au NAS n'oublies pas d'ajouter le port 5001 soit : UnNomFacile.synology.me:5001.

Voilà sauf erreur ou omission de ma part, cela devrait le faire.

PS : Au passage, profites-en aussi pour désactiver Quickconnect.

Cordialement

oracle7😉

[Juan luis]

Il y a 18 heures, oracle7 a dit :

@Polo67

C'est bien dommage. En tout cas, même si l'usage de Quickconnect peut résoudre le problème dans un premier temps, saches que utiliser ce service Synology est une très mauvaise idée. En effet, il n'est pas du tout recommandé d'un point de vue sécurité et surtout confidentialité (voir le TUTO sur la sécurisation des accès au NAS). Tout ton trafic passe alors par les serveurs de Synology qui voient donc tout. Donc à toi de voir selon la confiance que tu peux/veux accorder à Synology à ce niveau...

Je ne peux que te conseiller de prendre ton temps pour acquérir les quelques connaissances qui te manquent et de revoir ta décision. Essaies au moins en utilisant un domaine xxxxx.synology.me comme DDNS dans DSM. Au moins ce sera toujours mieux que Quickconnect et reviens poser tes éventuelles questions sur le forum.

Cordialement

oracle7😉

Bonjour,

Je me permet ,sans vouloir critiquer personne,  de "contre balancer" cette théorie, sur Quickconnect.

Pourquoi Quickconnect ne serait il pas sécure ?

Les données , sur internet passent forcément par des équipements d'opérateurs tiers .Alors pourquoi synology serait il moins fiable que Orange ou NordVPN  ou Googledrive ? Est ce le niveau de moralité des employés de Synology qui serait plus faible que ceux d'Orange ou SFR ?

La seule limitation de Quickconnect à mon sens , c'est éventuellement le débit qui peut être limité en cas de charge des serveurs Synos . Mais c'est un outils bien pratique et ces critiques me semblent infondées .

A moins d'utiliser des communications cryptées de bout en bout ou de vivre dans une grotte , je ne vois comment éviter ce risque.

[Polo67]

@oracle7

Bonjour,

Oracle j'ai suivi ta procédure.

Au redémarrage du serveur Web un message est apparu 

je te mets l'ip et l'erreur en pj

Est ce normal?

Je ne me suis pas encore connecté avec le .me

Je te tiens informé

Le test avec l'adresse .me est identique... même message d'erreur

 

Modifié le 22 octobre 2020 par Polo67

[oracle7]

@Polo67

Bonjour,

Cette alerte de sécurité est normale car ton certificat LE est défini pour un domaine en l'occurence celui que tu as créé "UnNomFacile.synology.me" et non pas pour l'@IP 192.168.1.55. Donc, tant que tu es sur ton réseau local, tu peux accepter une exception à cette alerte pour cette @IP puisque je suppose c'est celle que tu utilises pour te connecter à ton NAS. Mais attention, c'est le SEUL CAS où tu peux faire cela. Dans tous les autres cas, il ne faut surtout pas accepter car tu risques d'en prendre l’habitude et ce sera perdu pour toi car un jour ou l'autre tu accepteras machinalement pour un site "XYZ.tld". Là tu te sera piégé tou seul car ce site "XYZ.tld" sera en fait malveillant et je ne te parles pas des conséquences pour toi (vols de données diverses et j'en passe et des meilleures, ....).

Cordialement

oracle7😉

[Polo67]

@oracle7

Donc concrètement je me connecte comment sans avoir ce message?

[oracle7]

@Polo67

Bonjour,

Comme je viens de te le dire, si tu te connectes avec l'@IP 192.168.1.55:5001 tu auras l'alerte de sécurité. Tu l'accepte en faisant une exception et là ton navigateur ne te fera plus de misères lors des prochaines connexions avec cette @IP.

Par contre, lorsque tu te connectes avec "UnNomFacile.synology.me:5001" si tu as aussi l'alerte de sécurité c'est que ton certificat n'est pas configuré pour ce domaine.

• Tu retournes sur "Panneau de configuration /Sécurité / Certificat".
• Tu sélectionnes ton certificat.
• Tu cliques sur le bouton "Configurer"
• Là dans la colonne "Certificat" pour la ligne "UnNomFacile.synolgy.me" tu sélectionnes dans le popup : "UnNomFacile.synolgy.me".
• Tu valides en cliquant sur "OK"
• Tu te déconnectes du NAS.
• Tu te reconnectes en utilisant l'URL : "UnNomFacile.synolgy.me" ou ""UnNomFacile.synolgy.me: 5001" les deux doivent marcher.

Cordialement

oracle7😉

[oracle7]

@Polo67

Bonjour,

On est bien d'accord que tu as déjà configuré ton DDNS et que "UnNomFacile.synology.me" pointe bien sur ton @IP externe (celle de la Livebox) ?

Si Oui, on va donc maintenant configurer ton proxy inversé pour ce domaine "UnNomFacile.synology.me", pour cela :

• Tu vas sur "Panneau de configuration / Portail des applications / Proxy inversé"
• Tu cliques sur "Créer"
• Là tu renseignes comme cela :

Attention certains champs sont piégeux, ils affichent la valeur mais il faut quand la saisir sinon cela ne marche pas !

• Tu valides en cliquant "OK"
• Tu retournes sur ton certificat et tu le configures pour "UnNomFacile.synology.me" comme expliqué précédemment.

Cordialement

oracle7😉

[Polo67]

@Oracle7

Désolé c'était trop long

Je dis sortir

Je revens dans 1-2h on reprendra 

Si tu n'as pas les images je les renverrais