Aller au contenu

Configuration routeur, conflits, VPN, sauvegardes... ?


MimiraK

Messages recommandés

Bonjours à tous,

 

J'ai suivi les supers tutos dispos (bravo aux rédacteurs) sur la sécurisation d'un NAS, le nom de domaine, serveur vpn et reverse proxi et tente actuellement de mettre tout ça en place.

Je précise que le NAS sera situé à domicile, derrière une freebox Delta, et j'ai des équipements pour les enfants.

Mes excuses par avance pour mon langage pas forcément "informaticien".

 

Quelques questions s'imposent déjà à moi et ce malgré des heures de recherches :

  1. Comme dans le tuto reverse proxy, je souhaiterai tout diriger sur le port 443, seulement les consoles de jeux ont besoin de ce port, quelle solution ?
  2. J'ai bien compris que l'upnp n'est pas top, pour les consoles c'est quand même bien pratique étant donné la multitude de port et différent selon les jeux, si un port est déjà pris n'est t il pas remplacé automatiquement avec upnp ?
  3. Ne devrais-je pas cloisonner avec un sous-réseau et un routeur pour la partie "privée ? une DMZ peut-être ? J'avoue que cette partie reste très flou mais ça doit être l'age, faut que je recule un peu 😛
  4. upnp activé sur la box, le NAS est t il exposé ? même avec les règles et conseils du tuto en place ? ça viendrait par une machine vérolée qui aurait des accès au NAS (ou autre équipements) même non admin ?
  5. Mes tests de VPN fonctionnent bien (Open et L2TP/Ipsec), mais si je configure un VPN Client sur la box (genre NordVPN), pourrais-je toujours me connecter au NAS en VPN ?
  6. Idem que 5, les accès aux services par les sous-domaines pourront se faire ?
  7. Quels conseils pour sauvegarder l'intégralité du NAS (chiffré) en incrémental idéalement ? Genre comme un clone de disque, on écrase et tout qui est comme avant 🙂 ?
  8. Pour finir Keepass ou Bitwarden ? les deux peuvent avoir la base de donnée sur le NAS mais j'hésite...

 

Un grand merci à ceux qui prendront le temps de me répondre.

 

Au plaisir de vous lire 🙂

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, MimiraK a dit :

Comme dans le tuto reverse proxy, je souhaiterai tout diriger sur le port 443, seulement les consoles de jeux ont besoin de ce port, quelle solution ?

Tu es sûr de ça ? généralement on est sur du port > 40000, pour éviter justement toute interférence avec des ports usuels.

Il y a 5 heures, MimiraK a dit :

J'ai bien compris que l'upnp n'est pas top, pour les consoles c'est quand même bien pratique étant donné la multitude de port et différent selon les jeux, si un port est déjà pris n'est t il pas remplacé automatiquement avec upnp ?

Probablement, mais encore une fois voir remarque ci-dessus.

Il y a 5 heures, MimiraK a dit :

Ne devrais-je pas cloisonner avec un sous-réseau et un routeur pour la partie "privée ? une DMZ peut-être ? J'avoue que cette partie reste très flou mais ça doit être l'age, faut que je recule un peu 😛

Si tu es équipé d'une Freebox Delta, je doute que tu aies vraiment besoin d'un routeur, c'est un modem/routeur hautement configurable (exceptionnellement même pour un matériel de FAI).

Il y a 5 heures, MimiraK a dit :

upnp activé sur la box, le NAS est t il exposé ? même avec les règles et conseils du tuto en place ? ça viendrait par une machine vérolée qui aurait des accès au NAS (ou autre équipements) même non admin ?

Si l'uPnP est activé sur ta box, cela ne veut pas dire que le NAS va s'en servir, si la "configuration du routeur" est désactivée, le NAS ne s'en servira pas.
Le tutoriel sur la sécurité part en effet du principe que le réseau local est sécurisé, postulat un peu cavalier parfois j'en conviens. 🙂 Tout le monde n'applique pas constamment toutes les bonnes pratiques d'usage dans l'utilisation d'Internet.

C'est à toi d'être intelligent derrière, si tu fais des montages de dossiers distants situés sur ton NAS depuis des périphériques locaux, par NFS, SMB, AFP ou que sais-je, assures-toi de le faire via des utilisateurs aux droits bien ciblés sur ce dont t'as besoin.
La meilleure mauvaise idée étant de monter des dossiers avec un utilisateur faisant partie du groupe administrateurs.

Il y a 5 heures, MimiraK a dit :

Mes tests de VPN fonctionnent bien (Open et L2TP/Ipsec), mais si je configure un VPN Client sur la box (genre NordVPN), pourrais-je toujours me connecter au NAS en VPN ?

De souvenir, je crois qu'il n'est pas possible d'utiliser le même protocole en tant que client et serveur. Dons si tu utilises OpenVPN pour te connecter à ton NAS, il faudra utiliser L2TP pour que celui-ci se connecte en tant que client d'un fournisseur VPN.

Il y a 5 heures, MimiraK a dit :

Idem que 5, les accès aux services par les sous-domaines pourront se faire ?

Oui, mais ça demande la mise en place d'un serveur DNS local, il y a un tutoriel à ce sujet, et il demande, je trouve, un peu de lecture connexe pour bien comprendre les tenants et aboutissants :

 

 

Il y a 5 heures, MimiraK a dit :

Quels conseils pour sauvegarder l'intégralité du NAS (chiffré) en incrémental idéalement ? Genre comme un clone de disque, on écrase et tout qui est comme avant 🙂 ?

Pour sauvegarder, Hyper Backup, application très pratique et fiable. Idéalement je conseille une sauvegarde sur disque externe, et une hors site (cloud ou autre NAS situé chez un membre de la famille ou un ami par exemple).

Il y a 6 heures, MimiraK a dit :

Pour finir Keepass ou Bitwarden ? les deux peuvent avoir la base de donnée sur le NAS mais j'hésite...

Je ne pourrai pas me prononcer concernant Keypass, jamais utilisé, en revanche j'utilise Bitwarden depuis près de 3 ans (version officielle, plus lourde que la version RS) j'en suis pleinement satisfait.
C'est gratuit, et tu as la possibilité en premium notamment (12€/an) d'ajouter des pièces jointes (je m'en sers pour les pièces d'identité et papiers importants).
J'utilise aussi le système des organisations (10€/an, décorrélé de l'offre premium), qui permettent d'avoir un coffre commun avec une autre utilisateur de ton instance Bitwarden. Typiquement ma femme est dans mon organisation, tout ce qui est comptes communs est partagé et mis à jour dans nos comptes respectifs. Indispensable dans ce type d'utilisation selon moi.

Ca s'héberge via Docker, pour lequel ton NAS est compatible, et les mises à jour passent pas un script tout-en-un.
L'installation n'est pas très difficile, attention que le tutoriel du forum date et n'est plus très à jour concernant la procédure d'installation.

Lien vers le commentaire
Partager sur d’autres sites

Merci .Shad. pour ta réponse ! (Mes excuses pour la présentation des citations)

Il y a 5 heures, .Shad. a dit :

Tu es sûr de ça ? généralement on est sur du port > 40000, pour éviter justement toute interférence avec des ports usuels.

Je suis parti sur les règles générales indiquées sur les sites et forum de jeu, je verrai bien à l'usage quand on me dira  "PU**** PAPA CA MARCHE PAS" 🙂

Il y a 5 heures, .Shad. a dit :

Probablement, mais encore une fois voir remarque ci-dessus.

Ok

Il y a 5 heures, .Shad. a dit :

Si tu es équipé d'une Freebox Delta, je doute que tu aies vraiment besoin d'un routeur, c'est un modem/routeur hautement configurable (exceptionnellement même pour un matériel de FAI).

D'accord, mais concrètement comment configurer ce cloisonnement ?

Il y a 5 heures, .Shad. a dit :

Si l'uPnP est activé sur ta box, cela ne veut pas dire que le NAS va s'en servir, si la "configuration du routeur" est désactivée, le NAS ne s'en servira pas.
Le tutoriel sur la sécurité part en effet du principe que le réseau local est sécurisé, postulat un peu cavalier parfois j'en conviens. 🙂 Tout le monde n'applique pas constamment toutes les bonnes pratiques d'usage dans l'utilisation d'Internet.

Ok le NAS ne s'en sert pas, je l'ai également désactivé sur la box, j'ai tous les ports fermés autre que ceux nécéssaires mais si une machine chope un malware et qu'elle a des droits simple utilisateur, y a t-il un un quelconque risque ? seulement sur les données en lecture écriture ? en local et depuis internet ?

Il y a 5 heures, .Shad. a dit :

C'est à toi d'être intelligent derrière, si tu fais des montages de dossiers distants situés sur ton NAS depuis des périphériques locaux, par NFS, SMB, AFP ou que sais-je, assures-toi de le faire via des utilisateurs aux droits bien ciblés sur ce dont t'as besoin.
La meilleure mauvaise idée étant de monter des dossiers avec un utilisateur faisant partie du groupe administrateurs.

J'ai bien saisi le risque des droits administrateur, pas de soucis a ce niveau la.

Par contre c'est pour un usage essentiellement distant, pas en local. C'est pour le PC de mon associé qui n'est pas la maison et des commerciaux par exemple.

Il y a 5 heures, .Shad. a dit :

De souvenir, je crois qu'il n'est pas possible d'utiliser le même protocole en tant que client et serveur. Dons si tu utilises OpenVPN pour te connecter à ton NAS, il faudra utiliser L2TP pour que celui-ci se connecte en tant que client d'un fournisseur VPN.

Oui, mais ça demande la mise en place d'un serveur DNS local, il y a un tutoriel à ce sujet, et il demande, je trouve, un peu de lecture connexe pour bien comprendre les tenants et aboutissants :

 

Ok je vais me pencher sur le sujet, ne serait ce pas la cerise 🙂 ?

Il y a 5 heures, .Shad. a dit :

Pour sauvegarder, Hyper Backup, application très pratique et fiable. Idéalement je conseille une sauvegarde sur disque externe, et une hors site (cloud ou autre NAS situé chez un membre de la famille ou un ami par exemple).

Les données sont déjà sur tous les ordis pour ce qui est des dossiers synchronisés, ça serait plutôt sur cloud avec chiffrement quoi que j'ai un petit Pegasus 4 baies qui traine depuis quelques temps...

Il y a 5 heures, .Shad. a dit :

Je ne pourrai pas me prononcer concernant Keypass, jamais utilisé, en revanche j'utilise Bitwarden depuis près de 3 ans (version officielle, plus lourde que la version RS) j'en suis pleinement satisfait.
C'est gratuit, et tu as la possibilité en premium notamment (12€/an) d'ajouter des pièces jointes (je m'en sers pour les pièces d'identité et papiers importants).
J'utilise aussi le système des organisations (10€/an, décorrélé de l'offre premium), qui permettent d'avoir un coffre commun avec une autre utilisateur de ton instance Bitwarden. Typiquement ma femme est dans mon organisation, tout ce qui est comptes communs est partagé et mis à jour dans nos comptes respectifs. Indispensable dans ce type d'utilisation selon moi.

Ca s'héberge via Docker, pour lequel ton NAS est compatible, et les mises à jour passent pas un script tout-en-un.
L'installation n'est pas très difficile, attention que le tutoriel du forum date et n'est plus très à jour concernant la procédure d'installation.

C'est vrai que le Bitwarden semble interessant et sans doute plus conviviable. Ne sachant pas si on peut citer d'autres Tutos que ce sur nas-forum, je ne le ferai pas, mais on en trouve un très bien fait.

Encore merci pour ta réponse.

Au plaisir 🙂

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.