ma solution simpliste

[YanHulbert]

bonjour,
mon réseau est simpliste et je n'ai surement pas utilisé la meilleure solution.
pouvez vous me dire ce que vous pensez de ma façon de faire pour avoir accès à mes videos depuis la télé? un cable relie mon ds1819 à un port ethernet libre de la freebox pop
vos critiques me seront constructives et bénéfiques et je vous remercie.

 

[church]

Hello !

Pour moi, ton schéma de réseau domestique se tient et n'est pas déconnant.

Il te faudra logiquement activer une DMZ dans la Freebox sur l'IP locale fournie au RT2600AC pour ne pas te retrouver en double NAT sur tout le segment du réseau situé derrière le routeur Synology.

[PiwiLAbruti]

Si l'accès internet du NAS doit passer exclusivement par le RT, attention à ne pas définir de passerelle sur l'interface 192.168.1.x du NAS.

[church]

Si l'accès internet du NAS doit passer exclusivement par le RT, attention à ne pas définir de passerelle sur l'interface 192.168.1.x du NAS.

Les NAS disposant de plusieurs ports RJ45 gèrent parfaitement les passerelles multiples. En tout cas c'est bien le cas sur mes DS414 ET DS415+.

Envoyé de mon SM-P615 en utilisant Tapatalk

[YanHulbert]

merci pour vos reponses

@church  impossible car la DMZ venant de la box part vers un autre routeur et ça, c'est pas modifiable

@PiwiLAbruti les ports entrants necessaires passent par la box que je redirige vers le RT qui lui dispatche vers les differents pc

aucun port de la box n'est redirigé directement sur le DS
le RT est le serveur dns qui point sur 1.1.1.1 et toutes les adresses ip sont fixes

sur le player, j'ai un seul compte se connecte sur le dossier video du DS et qui n'a accès a rien d'autre

merci de m'avoir rassuré, je redoute qu'un 'sauvage' puisse venir mettre le souk dans le syno

 

[church]

merci pour vos reponses
[mention=5051]church[/mention]  impossible car la DMZ venant de la box part vers un autre routeur et ça, c'est pas modifiable
[mention=23494]PiwiLAbruti[/mention] les ports entrants necessaires passent par la box que je redirige vers le RT qui lui dispatche vers les differents pc
aucun port de la box n'est redirigé directement sur le DS
le RT est le serveur dns qui point sur 1.1.1.1 et toutes les adresses ip sont fixes
sur le player, j'ai un seul compte se connecte sur le dossier video du DS et qui n'a accès a rien d'autre

merci de m'avoir rassuré, je redoute qu'un 'sauvage' puisse venir mettre le souk dans le syno

 

Hello !
Je ne suis pas sûr de comprendre... De quel autre routeur parles tu ?
Sans activer de DMZ depuis la Freebox sur l'IP du RT2600AC, tu vas au devant de pas mal de complications (double NAT).

[PiwiLAbruti]

Il y a 1 heure, church a dit :

Les NAS disposant de plusieurs ports RJ45 gèrent parfaitement les passerelles multiples.

Je sais bien, mais il faut tout de même faire attention aux priorités (métriques). Et pour s'en assurer le mieux est de ne définir qu'une seule passerelle par défaut. Ça évite toute ambiguïté ou effet de bord indésirable.

Et je parle surtout du trafic sortant.

[church]

Si j'ai bien compris le schéma, le lien avec le freebox player est exclusivement pour assurer l'accès aux fichiers multimédias stockés sur le NAS, dans la mesure où la TV n'est pas connectée . Ce sera du lien local principalement et je pense que l'accès à Internet ne sera pas primordial sur cette patte du réseau.

[.Shad.]

Il y a 2 heures, YanHulbert a dit :

je redoute qu'un 'sauvage' puisse venir mettre le souk dans le syno

Je dirais juste de faire attention à paramétrer comme il le faut le pare-feu de chaque interface en 192.168.0.x et 192.168.1.x
Et je plussoie @PiwiLAbruti, les effets les plus gênants dans ce genre d'installation peuvent être effectivement au niveau des passerelles, car, sans configuration granulaire du trafic sortant, tu peux émettre une requête sur ton NAS via une IP en 192.168.0.x et que le NAS essaie de te répondre via 192.168.1.x, je pense que tu vois vite les embarras que ça peut poser. A partir du moment où tu ne définis pas de passerelle, tu règles l'ensemble de ces problèmes.
Hormis le fait que via 192.168.1.x ton NAS n'aura pas de connectivité Internet, mais de ce que je comprends de ton utilisation, ce n'est pas gênant du tout.

Et concernant le double NAT, j'ai surtout remarqué des soucis pour la connexion au serveur VPN, si ce dernier est déporté du NAS au RT, alors tu ne devrais pas rencontrer de réel souci à mon avis car tu seras en simple NAT, à voir dans la pratique. 🙂 

[YanHulbert]

@church sur la freebox, j'ai activé la DMZ qui va vers un autre routeur. les appareils de ce reseau ne se connectent pas au www.  internet ne sert que de transport pour relier d'autres points.

oui, tout à fait, ce lien direct de la box au DS ne sert que pour les videos. c'est une vieille TV qui ne posséde qu'une prise HDMI et une péritel

Il y a 13 heures, PiwiLAbruti a dit :

Si l'accès internet du NAS doit passer exclusivement par le RT, attention à ne pas définir de passerelle sur l'interface 192.168.1.x du NAS

???  sur le nas, les 2 interfaces reseau Lan 1       192.168.0.251 mask 255.255.255.0 pas d'ipv6
Lan 2     192.168.1.251 mask 255.255.255.0 pas d'ipv6

je ne vois pas de passerelle à supprimer  j'ai pas compris pardon

Il y a 9 heures, .Shad. a dit :

Je dirais juste de faire attention à paramétrer comme il le faut le pare-feu de chaque interface en 192.168.0.x et 192.168.1.x

M....... totalement oublié cela, je viens de regarder. j'ai encore toutes anciennes règles mais qui s'adressent à 'Toutes les interfaces' donc qui concerne uniquement 192.168.0.x  (j'avais suivi les tuto)

 

Il y a 10 heures, PiwiLAbruti a dit :

faire attention aux priorités (métriques)

je ne sais pas ce que c'est, je vais donc faire des recherches pour essayer d'en savoir plus.   dans ce domaine des reseaux, je suis une vraie quiche.

merci à vous tous pour vos précieux conseils.

bon petit dej

[niklos0]

au risque de dire une énormités... Pourquoi ne pas tirer un câble depuis le NAS jusqu'au player en direct ?

Mais sinon, je trouve ton réseau bien complexe. Je ne connais pas le système free. Mais pourquoi ne pas faire au plus simple :

Modem => routeur => switch => tout le reste

[church]

Il y a 5 heures, YanHulbert a dit :

@church sur la freebox, j'ai activé la DMZ qui va vers un autre routeur. les appareils de ce reseau ne se connectent pas au www.  internet ne sert que de transport pour relier d'autres points.

Tu peux parfaitement tout centraliser sur le RT2600AC et le placer en DMZ tout en supprimant le 2e routeur. L'interface du routeur Synology (SRM) permet parfaitement de bloquer l'accès à internet d'un périphérique du réseau local.

Du coup, je ne comprends pas bien l'intérêt de ton installation actuelle : activer la DMZ sur un routeur c'est bien l'exposer directement à internet (pas de parefeu, NAT ou de filtrage).

Dans tous les cas, je répète que le schéma du réseau que tu souhaites désormais mettre en place et communiqué plus haut a effectivement le mérite d'être plus simple que ce que tu viens de décrire 🙂

 

[YanHulbert]

Il y a 4 heures, church a dit :

Dans tous les cas, je répète que le schéma du réseau que tu souhaites désormais mettre en place et communiqué plus haut a effectivement le mérite d'être plus simple que ce que tu viens de décrire

 je reformule, ce 'réseau simpliste' est déjà en place,  je ne pense pas le modifier sauf si il était exposé à de gros problèmes de sécurité (objet de ma question), ce qui, à priori, ne semble pas être le cas mais j'ai bien pris note d'en améliorer quelques points suite aux conseils qui m'ont été donnés et pour lesquels je remercie les auteurs.

la branche dmz semble te préoccuper pourtant il y a /VPN/pare feu/routeur/protection et fonctionne depuis 9 ans 365/24.
 

[church]

Hello !

Dans ce cas, si tout est parfait et fonctionne bien, c'est genial !

[YanHulbert]

bonjour, tous mes meilleurs voeux à vous tous.
toujours dans mon réseau simpliste,  je suis un peu déboussolé par le pare feu du RT2600.
je ne vois pas la similitude avec celui de dsm. en effet, sur DSM, on crée des règles, on les positionne par 'glisser-déposer' et on termine par une règle qui bloque tout le restant.
dans SRM, j'ai créé des règles pour le fonctionnement de certaines applications vers certains PC, ça fonctionne. mais alors pourquoi je découvre maintenant que ces règles sont grisées et non modifiables et non supprimables. comment faire ?
j'ai bien vu que la dernière ligne tout en bas du tableau précise que '' si le traffic IPv4 WAN-to-SRM....:  refuser'  bloquerait TOUT ce qui n'est pas défini comme un règle.
une fois de plus, je vous remercie pour vos conseils et votre patience.

[oracle7]

@YanHulbert

Bonjour,

Il y a 6 heures, YanHulbert a dit :

je découvre maintenant que ces règles sont grisées et non modifiables et non supprimables. comment faire ?

C'est que ces règles correspondent certainement à des transmissions de ports que tu as effectuées par ailleurs. C'est indiqué dans le nom de la règle. Par exemple :

Donc pour les supprimer, il te suffit de retourner dans la section "transmission de ports" et là soit de désactiver la règle ou de la supprimer purement et simplement.

Il y a 6 heures, YanHulbert a dit :

j'ai bien vu que la dernière ligne tout en bas du tableau précise que '' si le traffic IPv4 WAN-to-SRM....:  refuser'  bloquerait TOUT ce qui n'est pas défini comme un règle.

C'est l'équivalent de la dernière règle "Tout refuser" que tu as dans le pare-feu du NAS.

Cordialement

oracle7😉

[MilesTEG1]

Le 29/12/2020 à 18:48, YanHulbert a dit :

 je reformule, ce 'réseau simpliste' est déjà en place,  je ne pense pas le modifier sauf si il était exposé à de gros problèmes de sécurité (objet de ma question), ce qui, à priori, ne semble pas être le cas mais j'ai bien pris note d'en améliorer quelques points suite aux conseils qui m'ont été donnés et pour lesquels je remercie les auteurs.

la branche dmz semble te préoccuper pourtant il y a /VPN/pare feu/routeur/protection et fonctionne depuis 9 ans 365/24.
 

Salut @YanHulbert

Ce n’est pas parce que ton installation existante fonctionne depuis presque 10 ans qu’elle est parfaitement compatible et simple avec la nouvelle celle que tu souhaites mettre en place.

tu pourrais en profiter simplifier le tout et tout passer sur un seul et même routeur...

je ne dis pas que ça fonctionnera bien mieux ainsi, mais ce sera surtout plus simple en maintenance.

ce n’est selon moi jamais bon de complexifier quelque chose sinon peut avoir plus simple pour faire la même chose.

mais après c’est ton installation 😊

[YanHulbert]

bin oui, évidement !  merci beaucoup  @oracle7de m'avoir remis les yeux en face des trous

Il y a 12 heures, MilesTEG1 a dit :

avec la nouvelle celle que tu souhaites mettre en place.

merci mais je ne souhaite rien faire d'autre. je ne souhaitais qu'avoir des mises en garde et recommandations contre des défauts de sécurité de mon réseau simpliste .
 - la DMZ fonctionne pour mon hobby et ça fonctionne comme cela chez 300 utilisateurs de par le monde (meme matos, meme softs, meme config et meme passion).
 - la freebox pop fourni 'Hanouna et BFM' sur la télé  (😂🤢) et aussi et surtout Internet sur mes PC.
 - j'ai accès aux vidéos de mon DS depuis la télé.
Donc suis un mec comblé.
comme j'ai plus besoin d'internet que de la télé, il me reste à mettre la carte sim dans le routeur 4G raccordé au RT2600 pour avoir internet quand le réseau adsl free tombe en panne. 
bon w e