Connexion au NAS depuis l'extérieur et gestion VPN

[Uhgo]

Bonjour à tous,

 

Je débarque fraichement dans l’univers des NAS et après avoir longuement parcouru ce forum ainsi que d’autres sources internet, certaines interrogations restent sans réponses ou confuses concernant le paramétrage d’une connexion extérieur avec mon NAS.

 

Travaillant à mon compte et souvent étant souvent en déplacement, l’idée est d’avoir un accès sécurisé à mon NAS depuis l’extérieur.

Je suis équipé d’un NAS QNAP TS-230 et d’un PC sous win10 (et linux mais la gestion du NAS sous ubuntu attendra un peu)

Après lecture de nombreuse discussions sur la thématique (dont les tuto de Fenrir) concernant les paramétrages de sécurité et l’installation d’un VPN, je me retrouve dans la situation suivante :

J’ai ouvert les ports 1194 (OpenVPN) et 443 (HTTPS) sur la box pour renvoi sur le NAS, désactivé l’Upnp (NAS et routeur) et ai autorisé ces ports dans le Firewall du NAS.

Q1 : Les autres ports n’étant pas forwardé au niveau du routeur et les services associés (Telnet, SSH, FTP,…) étant désactivés au niveau du NAS, puis-je considérer que ces 2 ports sont les uniques portes d’accès au NAS ?

J’ai mis mon NAS en IP statique au niveau du routeur, mais également au niveau du NAS (ce que j’ai vu déconseillé dans certaines discussions).

Q2 : Si je passe en DHCP au niveau du NAS, que cela va-t-il changer ? Ai-je un intérêt à le faire ?

Certains processus m’échappent lorsque je me connecte avec mon ordi via le VPN , depuis l’extérieur, sur mon NAS :

Le paramétrage de QVPN va me permettre d’octroyer une adresse IP en 10.8.0.X.

Lorsque je me connecte au VPN et que je cherche mon ip sur internet, je retrouve l’IP public de ma box.

C’est la que je pense confondre certaines notions :

De ma compréhension des choses, je dois distinguer 2 usages différents d’un VPN : « cacher » son IP // transférer des données en toute sécurité, tout dépend de qui héberge le serveur VPN.

Le fait d’avoir paramétré un serveur VPN au moyen de mon NAS me permet d’accéder à celui-ci, depuis l’extérieur, en permettant que mes données soient « sécurisées » : mon NAS faisant office de serveur VPN, normal que je trouve l’ip public de ma box via site de localisation.

D’un autre côté, j’ai un compte protonvpn qui lui me permet de « cacher » mon IP lorsque je veux faire du téléchargement P2P par exemple : du coup protonvpn met a disposition des serveurs avec différentes adresses ip desquelles je me connecte.

Q3 : suis-je dans le vrai ou a coté de la plaque ?

Maintenant, que ma théorie précédente soit vrai ou fausse,  le fait est que c’est l’ip de mon routeur qui ressort (mais peut-etre est-il mal paramétré).

Je n’arrive pas a saisir le jeu d’adresse ip qui s’effectue ici et donc en quoi mes données sont protégées (dans le cas d’une connexion en wi-fi public par exemple).

Depuis mon ordinateur connecté à mon VPN, j’arrive a appeler le NAS au moyen de :

https://192.168.1.X:443 [X : ip statique]

https://10.8.0.1:443

La première me fait me dire que je suis effectivement considéré comme "étant en réseau local".

La deuxième me fait me dire que le NAS est devenu le...une sorte de nouveau point de routage (car 10.8.0.1...??).

Du coup je me dis que mon ordinateur apparait comme étant connecté à ma livebox avec son adresse ip public, mais que je communique avec mon NAS non pas au moyen de l'adresse ip de la box, mais d'un...sous réseau (??) répondant à 10.8.0.1 dont le NAS est le "nouveau routeur" et protégé par mon VPN.

(On notera l'abondance de "" et de ...)

Q4 : Vrai / « Il a rien compris » ?

Q5 : Que peuvent observer des personnes mal intentionnées, et que voient elle (des ip en 10.8.0.X ? 192.168.1.X ? ip public ?).

 

Voila…désolé, c’est peut-etre un peu massif et brut mais il m’a déjà fallu 1h pour verbaliser mes questions…ahem.

Et encore désolé si une autre rubrique était plus adaptée pour le post, mais y m’a semblé que ca collait bien ici.

En espérant trouver des réponses mais je pense être sur le bon forum 😉

[oracle7]

@Uhgo

Bonjour,

1. Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus, cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ...

2. Il ne t'a pas échappé que tu es sur un forum dédié aux NAS Synolology et non QNAP. Cela dit tu t'en sorts bien car tes questions relèvent de points génériques et non spécifiques du QNAP. Attention tout de même en appliquant certains TUTO que tu trouveras ici, il te faudra alors rester dans l'esprit et pas dans la lettre si je puis dire 🤣 Différence de machine oblige.

3. Q1 : Quasiment, éventuellement en plus le port 80 à ouvrir (normalement nécessaire pour le renouvellement d'un certificat Let'sEncrypt si tu disposes d'un domaine personnel). Après certaines applications du NAS nécessitent l'ouverture de ports particuliers pour leur fonctionnement (c'est le cas chez Synology) : à voir ce qu'il en est effectivement avec celles d'un QNAP ????

4. Q2 : Comme tu as une Livebox, il n'y a pas à mon sens d'intérêt à activer le DHCP du NAS car tu ne peux avoir sur un même réseau local deux serveurs DHCP actifs en même temps. Si tu avais eut un routeur derrière la Livebox, c'eut été un autre débat mais comme ce n'est pas le cas on oublie.

5. Q3 : A priori, tout ce que tu dis est cohérent et exact. Tu es bien sur la plaque 😜

6. Q4 : Vrai

7. Q5 : Des @IP en 10.8.0.x (donc sous VPN) elles ne voient rien de tes données puisque tu est dans un tunnel "étanche" et "non transparent".
   Des @IP en 192.168.1.x (donc en local) elles ne voient rien non plus à moins qu'elles se soient introduites dans ton réseau local (défaut paramètrage du pare-feu de la box, uPnP activé sur la box, etc ...

Cordialement

oracle7😉

 

[Uhgo]

Merci oracle7 pour ce retour rapide et précis.

Mes excuses pour le manque de savoir être, j'aurais pu me fendre d'une présentation avant de poster. Je m'en vais de ce pas la faire...bien que possédant un QNAP et étant sur un forum dédié au Synology...ce que je n'avais pas vu en réalité (ca fait 2j que je switch entre des forums linux, des articles sur du QNAP et du Synology...faut croire que je ne fais plus attention).

Mais de fait mes questions sont plus d'ordre général que sur le matériel en lui même...pour le moment.

Pour ce qui est de tes réponses je suis plutot rassuré parce qu'il semblerait que j'ai globalement capté ce qui se passe...je vais pouvoir aller un peu plus loin.

En revanche j'ai une autre question concernant le VPN :

Si je me connecte à mon serveur NAS via VPN depuis l'extérieur, je peux considérer que mes données sont "protégées".

Si je m'en vais me balader sur internet depuis cette connexion, j'imagine que le flux d'information entre le NAS et internet lui, ne l'est pas (ma tuyauterie étanche ne concerne que ma liaison PC-NAS) ?

Mais le flux l'est-il réellement en passant par un client VPN payant (protonvpn dans mon cas) ?

Sur ce, merci encore et je file me présenter !

[oracle7]

@Uhgo

Bonjour,

il y a 17 minutes, Uhgo a dit :

Si je me connecte à mon serveur NAS via VPN depuis l'extérieur, je peux considérer que mes données sont "protégées".

OUI pour les données circulant dans le tunnel VPN.

il y a 17 minutes, Uhgo a dit :

(ma tuyauterie étanche ne concerne que ma liaison PC-NAS) ?

OUI, et dans le sens NAS vers Internet : NON.

il y a 18 minutes, Uhgo a dit :

Mais le flux l'est-il réellement en passant par un client VPN payant (protonvpn dans mon cas) ?

OUI car dans ce cas le tunnel étanche est entre ton NAS et les serveurs de protonvpn. Ensuite entre ces serveurs et Internet ce n'est plus le cas. Les serveurs protonvpn ne te fournissent qu'une @IP "anonyme" (dans la ville et le pays de ton choix) qui masque en fait ton @IP réelle (celle de ta box) et ta navigation Web est alors tout ce qu'il y a de plus normale.

Cordialement

oracle7😉

[Kramlech]

Pour essayer de préciser un peu plus cette notion de VPN :

Il y a 18 heures, Uhgo a dit :

De ma compréhension des choses, je dois distinguer 2 usages différents d’un VPN 

Un VPN est un VPN, point. C'est à dire que c'est une solution technique qui permet de relier directement via un "tunnel protégé" un client à un serveur. Personne ne peut voir ni intercepter ce qui passe à l’intérieur du tunnel. C'est comme si le client était relié au serveur directement via un câble Ethernet. Donc tes données sont bien protégées entre le client et le serveur.

Ceci compris, que le serveur soit installé chez toi (sur ton NAS), ou chez protonvpn par exemple, l'utilisation est la même :

• Si tu connectes ton PC (client VPN) au serveur VPN de ton NAS, c'est comme si tu le branchais via un câble Ethernet à ton réseau local. Personne ne peut intercepter tes communications, et tu peux accéder à toutes les ressources de ton réseau local. Et si tu navigues sur internet : ton PC est sur le réseau local, donc ta navigation sera faite avec l'adresse IP de ta box ...
• Si tu connecte ton PC (client VPN) au serveur VPN protonvpn, c'est pareil.... Sauf bien sur que tu ne peux pas accéder au réseau local du serveur, normal. Le seul intérêt, c'est la navigation internet sera faite avec l'IP que te fournira le VPN. Mais dès que tu es sur internet, plus de protection particulière, c'est une navigation normale.

Donc la pub que font les fournisseurs de VPN concernant la sécurité de la navigation est, à mon avis, un peu mensongère. Ta navigation peut être compromise entre le serveur VPN et le site accédé de la même manière qu'entre ta box et le site accédé. Le seul point réel, c'est que tu n'exposes pas ton adresse IP réelle,  ce qui te permet de passer sous les radars d'ADOPI, et d'éviter certain pistages ! Mais ne te fait pas d’illusion, le lien entre la navigation que tu fais et ton identité réelle est conservée par les serveurs. En cas d'investigation judiciaire, on pourra te retrouver!!!

 

[oracle7]

@Kramlech

Bonjour,

il y a 15 minutes, Kramlech a dit :

Mais ne te fait pas d’illusion, le lien entre la navigation que tu fais et ton identité réelle est conservée par les serveurs. En cas d'investigation judiciaire, on pourra te retrouver!!!

Pourtant certains (et ils ne sont pas légion !) fournisseurs garantissent ne pas conserver les logs de nos connexions. Enfin c'est ce qu'ils annoncent (ils s'en vantent même) en apparence ! Du coup faut-il leur accorder une totale confiance sur ce point ? C'est est un autre débat.

Donc bien choisir aussi son fournisseur VPN tiers est important : au de là même de leurs nombre de serveurs mis à disposition et de leurs prix attractifs ...

Cordialement

oracle7😉

 

 

 

[maxou56]

il y a une heure, Kramlech a dit :

Et si tu navigues sur internet : ton PC est sur le réseau local, donc ta navigation sera faite avec l'adresse IP de ta box ...

Bonjour,

Oui et non, ça dépend des réglages. Soit tout passe par le VPN, internet compris, soit on ce connecte juste aux réseaux locaux du serveur VPN.

il y a une heure, Kramlech a dit :

Donc la pub que font les fournisseurs de VPN concernant la sécurité de la navigation est, à mon avis, un peu mensongère.

En Europe pour la sécurité des données c'est surtout valable pour les réseaux d'hôtels, aéroports, mcdo, c'est un peu moins vrai maintenant avec la généralisation de l'HTTPS, mais sinon tout le monde peut voir ce que fait tout le monde (avec l'https, ils ne verront pas forcément le contenue, mais au moins les urls et requêtes dns par exemple).

Donc la le VPN est presque obligatoire.

 

Mais les VPN grand publique, j'ai pas trop confiance, je préfère héberger moi même le serveur VPN, soit par exemple sur une connexion fixe (fibre) soit en ligne sur un VPS.

Modifié le 23 août 2021 par maxou56

[Kramlech]

@maxou56 Je suis d'accord avec tout ce que tu dis. Mais mon explication se voulait "vulgarisante" pour expliquer ce qu'est un VPN, sans entrer dans le détail des différentes possibilités de paramétrage ...

@oracle7 Tu as raison. Personnellement je me pose toujours la question (sans avoir vraiment la réponse) de savoir si ce que disent les fournisseurs de VPN en terme de non conservation des log est bien conforme avec leurs obligations légales de conservation ...(https://www.annonces-france.eu/loi-de-conservation-logs-impacte-anonymat-vpn/) 

Il est bien sur possible de passer par des fournisseurs étranger non soumis à ces obligations légales.

[oracle7]

@Kramlech

Bonjour,

Il y a 2 heures, Kramlech a dit :

Il est bien sur possible de passer par des fournisseurs étranger non soumis à ces obligations légales.

D'où ma remarque de bien choisir avant son fournisseur VPN. Ce point est très important. Après, il ne faut pas venir pleurer si d'aventure Hadopi vient quand même taper à la porte. 🥲

Cordialement

oracle7😉

[Kramlech]

@oracle7@maxou56On ne va pas ouvrir le débat sur les VPN. Vous avez tous les deux raison, tout dépend de ce que l'on veut faire du VPN : sécuriser sa connexion ou passer dans l'illégalité ....

[Uhgo]

Ok, beaucoup de commentaires pertinents.

Du coup, si je suis dans un aéroport je ne sais où, connecté au wi-fi public et que je veux aller sur ma boîte mail, consulter ma banque, etc., vaut-il mieux passer par le serveur VPN hébergé par mon NAS ou par un client VPN type protonvpn ?

Si je comprends bien, dans tous les cas, entre le serveur VPN (qu'il soit a moi ou a protonvpn) et le site de ma banque, les données ne sont protégées que par le https (ATTENTION, je dis certainement d'énormes conneries là), en revanche, le rapatriement des données sur mon PC est sécurisé et donc non visible pour les gens (qui savent et veulent espionner) sur le même wi-fi pulic ?

Et la seule question serait de savoir qui héberge ce serveur VPN, donc si c'est mon NAS, ce serait plus secure ?

[oracle7]

@Uhgo

Bonjour,

il y a une heure, Uhgo a dit :

Du coup, si je suis dans un aéroport je ne sais où, connecté au wi-fi public et que je veux aller sur ma boîte mail, consulter ma banque, etc., vaut-il mieux passer par le serveur VPN hébergé par mon NAS ou par un client VPN type protonvpn ?

Je crains que tu n'ai pas bien saisi les choses en matière de serveur VPN. Je te réexplique.

Il te faut bien considérer le sens de la communication que tu veux établir et donc d'où tu établis cette connexion VPN.

• Depuis l'extérieur (n'importe où et que ce soit en filaire Ethernet ou WiFi) si tu veux consulter des données sur ton NAS, tu vas te connecter avec le logiciel client VPN (selon la plateforme utilisée : PC/Mac/Android) associé au serveur VPN installé sur ton NAS. Ainsi tu auras un tunnel protégé entre ce client et ton NAS dans le sens Extérieur vers NAS. Là tu auras accès à tout ton réseau local et personne d'autre que toi ne pourra voir tes mails !
   
• Depuis "l'intérieur" donc depuis ton réseau local, tu te connectes sur ton NAS ou PC/Mac (situés sur ton réseau local) avec le client VPN protonvpn aux serveurs VPN de protonvpn. Ainsi tu as un tunnel protégé entre ton NAS ou PC/Mac et ces serveurs, peu importe où ils soient dans le monde, dans le sens NAS ou PC/Mac vers Extérieur. Ensuite à la sortie de ce tunnel (par ex au Japon) ta navigation sur la toile se fait en "clair" (pas tout à fait, puisque tu utilises alors le mode HTTPS qui crypte les données échangées et les rends invisibles mais pas tes URLs ni tes requêtes DNS qui elles restent en clair donc visibles : on voit avec qui tu échanges mais pas ce que tu échanges) avec une @IP d'origine située au Japon qui n'est pas ton @IP réelle en France. Soyons bien clair, ce mode ne sert qu'à masquer ton @IP réelle.

Donc dans tout les cas, avec une connexion VPN établie, ta connexion est sécure peu importe qui héberge le serveur VPN, même avec ta banque !.

Est-ce plus clair pour toi maintenant ?

PS : Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait).

Cordialement

oracle7😉

[Uhgo]

@oracle7 merci, ca semble effectivement plus clair.

Je pense que je me mélange les pinceaux car je ne comprends pas vraiment ce que peut observer une personne mal intentionnée sur un réseau public, ni même ce qu'elle peut récupérer...

Du coup si je comprends bien, je n'ai pas grand intérêt a passer par un VPN depuis mon réseau local pour accéder a ma banque par exemple, si ce n'est juste pour masquer masquer mon IP ? (je crains de ne rien avoir compris...promis, dernière tentative !)

Modifié le 24 août 2021 par Uhgo

[oracle7]

@Uhgo

Bonjour,

il y a 1 minute, Uhgo a dit :

Du coup si je comprends bien, je n'ai pas grand interêt a passer par un VPN depuis mon réseau local pour acceder a ma banque par exemple, si ce n'est juste pour masquer masquer mon IP ?

Bah il me semble mais cela n'engage que moi, d'autant plus que les connexions avec ta banque sont déjà hyper sécurisées par ailleurs, non ?

Cordialement

oracle7😉

[Uhgo]

Ok, me voila beaucoup plus au clair avec la problématique !

Merci d'avoir pris le temps de m'éclairer !!

[oracle7]

You're welcome 😀

[Kramlech]

Il y a 6 heures, Uhgo a dit :

Du coup, si je suis dans un aéroport je ne sais où, connecté au wi-fi public et que je veux aller sur ma boîte mail, consulter ma banque, etc., vaut-il mieux passer par le serveur VPN hébergé par mon NAS ou par un client VPN type protonvpn

Problème du wifi public : il n'est pas crypté. La personne assise à coté de toi peut intercepter les communications entre ton PC et le réseau lié au wifi. Si une fois que ton PC est connecté au wifi public, au lieu d'aller nativement sur internet (et donc de voir tes communications interceptées au niveau du réseau wifi), tu te connectes sur un serveur VPN (quel qu'il soit), tu vas créer un tunnel protégé entre ton PC et le serveur VPN. Il est alors impossible d'intercepter tes communications wifi...

[Uhgo]

@Kramlech Merci pour l'explication.

Ca commence a devenir plutot clair dans ma tête !

Merci a tous !