Configuration Syncthing

[Cerise]

Bonjour à tous,

 

Un petit soucis de configuration, que je vais esayer d'exposer de manière claire et synthétique.

Je viens d'installer le paquet Syncthing

1/ sur mon portable linux (adresse ip fixe)

Le GUI de Synthcthing s'affiche correctement sur l'adresse locale https://127.0.0.1:8384/

 

2/ sur mon NAS (adresse ip fixe aussi) via le paquet synocommunity

Mon coté parano m'a poussé à configurer le pare-feu du NAS en autorisant uniquement les adresses IP locales fixes à se connecter (voir en dessous (*)). Pas besoin de connection depuis internet, donc autant restreindre.

Dans les paramètres Syncthing, l'adresse d'écoute est fixée à 127.0.0.1:8384 (pour n'autoriser que les adresses locales), au lieu de 0.0.0.0:8384.

(source https://docs.syncthing.net/users/guilisten.html) .

Quand je me reconnecte à mon NAS, Syncthing en cours d'execution, je n'arrive par à me connecter au GUI (https://192.168.x.xxx:8384).

 

J'ai dû faire un truc moche dans la configuration de Syntcthing et/ou dans le pare-feu du NAS. Je voudrais mettre tout ça d'applomb en conservant l'accès uniquement au reseau local. C'est certainement un truc tout bête et vous allez trouver que je ne suis pas très doué, mais malheureusement, je n'ai pas réussi à me dépatouiller en allant sur les forums ici et là, ni sur le site syncthing 😞 ...

Vos idées sont les bienvenues 🙂 !

 

(*): mes paramètres pare-feu (image en pièce jointe):

- J'interdit l'accès aux appareils aux invités qui se connectent à mon Wifi

- j'autorise l'utilisation de telle ou telle application du NAS en focntion de l'IP de l'appareil qui se connecte (adresses IP de confiance  - les ordis de la maison -, imprimantes, NAS, Freebox)

- et par défaut interdiction de connection à tout ce qui n'est pas sur le réseau local.

 

 

Modifié le 1 mai 2024 par Cerise
mise à jour image pare-feu NAS

[Cerise]

Je m'auto-réponds.

Ca ne marche avec l'adresse d'écoute fixée à 127.0.0.1:8384 (c'est mon ordi, pas le NAS), forcement...

Ca fonctionne bien avec l'adresse du NAS (IP fixe), en 192.168.1.xxx:8384.

 

Par contre, je ne comprends pas pourquoi Syncthing dit que ça ne restreint pas l'accès aux addresses locales:

"Note that specifying your computer’s LAN address (e.g. 192.168.0.123:8384) will NOT restrict access to only devices on your local network! Connections with that address as destination will then be accepted, regardless of their origin.".

Est-ce qu'avec un pare-feu correctement configuré (cf. mon message précédent), ça suffit, ou je passe à côté d'un truc ?

[CyberFr]

@Cerise, je te recommande avant d'aller plus loin de lire deux tutoriels.

Celui-ci présente - entre-autres - la différence entre une IP locale et une IP publique. Tu as indiqué des IP locales qui ne sont pas routables et qui ne peuvent être bloquées sauf si tu les mets accidentellement dans le pare-feu du NAS et là c'est une véritable catastrophe à laquelle tu t'exposes. Cela explique le message de Syncthing.

Celui-là indique les mesures à prendre pour assurer la sécurité de ton NAS. Il y est aussi questions des IP publiques et locales.

[Cerise]

@CyberFr

Tout d'abord, un grand merci pour ta réponse. Mais ouh là, tu me fais peur, tu es en train de me dire que j'ai fait une grosse boulette?

J'ai lu ces 2 tutos attentivement, je pensais que c'était OK.

 

Il y a 3 heures, CyberFr a dit :

Tu as indiqué des IP locales qui ne sont pas routables et qui ne peuvent être bloquées sauf si tu les mets accidentellement dans le pare-feu du NAS

Pour moi dans pare-feu, j'autorise mes appareils locaux de confiance (IP privées) à acceder au NAS, et tout ce qui ne rentre pas dans les IP privées est refusé.

Dans la première partie de ta phrase, je comprends IP locales =  pas routables =  pas visibles sur internet (ie: depuis l'exterieur).

Je ne comprends pas bien la partie "qui ne peuvent pas être bloquées". Si une IP publique veut et peut se connecter à mon réseau, elle se vera attribuer une adresse IP locale (plage d'IP dynamique restreinte reservée via le serveur DHCP dans la box, les adresses IP statiques étant reservées au adresses MAC de mes appareils de confiance), et cette plage d'adresse dynamique est bloquée au niveau du pare-feu de mon NAS.

 

Dis-moi si j'ai manqué un épisode dans les tuto, j'irai le relire.

[.Shad.]

Il y a 7 heures, Cerise a dit :

Par contre, je ne comprends pas pourquoi Syncthing dit que ça ne restreint pas l'accès aux addresses locales:

"Note that specifying your computer’s LAN address (e.g. 192.168.0.123:8384) will NOT restrict access to only devices on your local network! Connections with that address as destination will then be accepted, regardless of their origin.".

Est-ce qu'avec un pare-feu correctement configuré (cf. mon message précédent), ça suffit, ou je passe à côté d'un truc ?

Le NAT permet d'accéder à cette adresse, c'est ça qu'ils veulent dire.
Si tu as une règle correspondante dans ta box.
Si pas, aucun risque.

Ton pare-feu semble ok, aucune utilité de cacher les IP, ça nuit à la compréhension.
A toi de t'assurer que le port de synchronisation (différent du port de la GUI) est bien accessible entre les pairs.

[Cerise]

@.Shad.

Merci, c'est très clair.

Je vais regarder si je peux faire un edit de mon 1er post pour avoir une copie d'écran sans les IP cachées. Si jamais ça peut rendre plus compréhensible le message pour les lecteurs suivants, ça sera mieux.

[Cerise]

Voilà, sur les conseils de @.Shad., je viens de mettre à jour la vue des réglages du pare-feu du NAS pour une meilleure compréhension.

Je viens de rebalayer mes paramètres, c'est pas mieux. Message d'erreur "la connexion a échoué" pour aller dans le GUI (192.168.1.253:8384).

[CyberFr]

Le 28/04/2024 à 7:07 PM, Cerise a dit :

J'ai lu ces 2 tutos attentivement, je pensais que c'était OK.

Il faut croire que non, en tout cas pour le tuto consacré à la sécurité.

Le 28/04/2024 à 3:24 PM, CyberFr a dit :

Tu as indiqué des IP locales qui ne sont pas routables et qui ne peuvent être bloquées sauf si tu les mets accidentellement dans le pare-feu du NAS et là c'est une véritable catastrophe à laquelle tu t'exposes.

Or tu persistes et signes en bloquant des IP locales du type 192.168.X.X. Relis les explications de @.Shad..

[Cerise]

Il y a 11 heures, CyberFr a dit :

tu persistes et signes en bloquant des IP locales du type 192.168.X.X

@CyberFr J'ai fait au mieux en fonction de ce que j'ai compris, après lecture attentive et multiple des tutos. J'entends que mes questions puissent paraitre idiotes, j'en suis navré 😢, je ne demande qu'à progresser. Et oui je préfère partir d'une configuration trop bloquée et débloquer ce que je comprends, plutôt que d'ouvrir mon NAS aux 4 vents.

Les IP locales bloquées sont les IP de la plage attribuée à des invités qui voudraient utiliser l'accès Wifi de ma box, et pour lesquels je n'ai pas envie qu'ils aient accès à mon NAS.

 

Ce que je ne comprends pas, c'est pourquoi lorsque j'autorise l'accès aux ports dédiés à Syncthing (j'ai aussi testé en ouvrant tous les ports pour cette IP) pour mon NAS (192.168.1.253), ça bloque alors que dans syncthing le GUI est configuré avec 192.168.1.253:8384.

Mais si quelqu'un veut bien m'expliquer, je suis tout ouïe, et sachez que j'apprécie le temps que vous passez à lire les questions des débutants comme moi, et encore plus le temps passé à y répondre.

 

[CyberFr]

Il y a 12 heures, Cerise a dit :

Les IP locales bloquées sont les IP de la plage attribuée à des invités qui voudraient utiliser l'accès Wifi de ma box, et pour lesquels je n'ai pas envie qu'ils aient accès à mon NAS.

Peux-tu développer ce point ? Ce sont des comptes « guest » au niveau du NAS ?

[Cerise]

Oui les IP bloquées sont les IP "guest", mais pas de compte (user ou groupe) au niveau du NAS.

Les IP sont gérées par le serveur DHCP de la box.

Voilà le détail:

Pour l'instant, j'essaye simplement de faire communiquer un de mes ordis de confiance (celui avec Syncthing, GUI accessible en 127.0.0.1:8384), avec le Syncthing installé sur le NAS (inaccessible avec 192.168.1.253:8384).

On verra les autres ordis après...

[CyberFr]

Désolé mais tu n'as pas lu - ou compris - le document « [TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7 » malgré ce que tu dis, à savoir que tu l'as étudié attentivement.

[MilesTEG1]

Il y a 13 heures, Cerise a dit :

Oui les IP bloquées sont les IP "guest", mais pas de compte (user ou groupe) au niveau du NAS.

Les IP sont gérées par le serveur DHCP de la box.

 

Tu confonds plusieurs notions je pense.

Une adresse IP LAN n’a pas besoin d’être bloquée, même s’il s’agit d’invités : car s’ils n’ont pas de compte dsm ils ne pourront pas accéder au nas et à son contenu.

ensuite il serait utilisé de récapituler les périphériques et leur adresse ip associée 😊

[CyberFr]

il y a 6 minutes, MilesTEG1 a dit :

Une adresse IP LAN n’a pas besoin d’être bloquée, même s’il s’agit d’invités : car s’ils n’ont pas de compte dsm ils ne pourront pas accéder au nas et à son contenu.

 

Le 28/04/2024 à 3:24 PM, CyberFr a dit :

Celui-ci [le tuto Tout ce que vous avez toujours voulu savoir sur les réseaux sans jamais oser le demander NDRL] présente - entre-autres - la différence entre une IP locale et une IP publique. Tu as indiqué des IP locales qui ne sont pas routables et qui ne peuvent être bloquées sauf si tu les mets accidentellement dans le pare-feu du NAS et là c'est une véritable catastrophe à laquelle tu t'exposes.

 

[Cerise]

Il y a 7 heures, MilesTEG1 a dit :

Une adresse IP LAN n’a pas besoin d’être bloquée, même s’il s’agit d’invités : car s’ils n’ont pas de compte dsm ils ne pourront pas accéder au nas et à son contenu.

C'est exact et certainement redondant, mais ça rajoute un filtrage par IP. L'idée derrière, mais c'est un autre sujet, c'est de pouvoir autoriser mon lecteur Bluray DNLA, et suelement lui, à accéder aux films dans un repertoire du NAS "ouvert". Ce lecteur peut déjà accéder aux films qui sont aujourd'hui sur le HD de la Freebox.

 

Il y a 7 heures, MilesTEG1 a dit :

ensuite il serait utile de récapituler les périphériques et leur adresse ip associée

Les 2  périphériques concernés par le sujet du post:

1/ ordi Linux: 192.168.1.11

2/ NAS: 192.168.1.253

 

Syncthing ordi accessible depuis l'ordi via 127.0.0.1:8384

Syncthing NAS inaccessible, je ne sais pourquoi, depuis l'ordi via 192.168.253:8384

[CyberFr]

Avant de vaincre l'Annapurna il faut accepter de gravir ses sentiers escarpés.

[.Shad.]

@Cerise Si l'IP de ton ordi est bien 192.168.1.11, alors ce n'est pas du côté du pare-feu que le problème se trouve car ça devrait fonctionner.
Donc vérifier maintenant sur quelle interface écoute effectivement Syncthing, en SSH tu peux taper :

sudo netstat -tunlp | grep 8384

Si tu as un retour avec une adresse localhost c'est normal que tu n'y accèdes pas (la description exacte du message d'erreur et le code éventuel aideraient beaucoup à diagnostiquer le problème). Et dans ce cas-là tu dois trouver le fichier de configuration de Syncthing et modifier en 0.0.0.0 ou :: comme tu l'avais déjà mentionné dans le premier post.

Modifié le 4 mai 2024 par .Shad.

[MilesTEG1]

Il y a 22 heures, Cerise a dit :

C'est exact et certainement redondant, mais ça rajoute un filtrage par IP. L'idée derrière, mais c'est un autre sujet, c'est de pouvoir autoriser mon lecteur Bluray DNLA, et suelement lui, à accéder aux films dans un repertoire du NAS "ouvert". Ce lecteur peut déjà accéder aux films qui sont aujourd'hui sur le HD de la Freebox.

Quand tu dis "ouvert", tu sous-entends accessible sans mot de passe/login ???

Je ne pense pas que ce soit une bonne idée de laisser sans ID/MDP un dossier partagé.

[Cerise]

Bonsoir,

Des nouvelles après quelques semaines "off".

@.Shad. j'ai tout remis à plat, mise à jour Linux et ré-installation Syncthing Linux et Synology: ça fonctionne 🙂 !

@MilesTEG1 

Le 05/05/2024 à 2:35 PM, MilesTEG1 a dit :

Quand tu dis "ouvert", tu sous-entends accessible sans mot de passe/login ???

Je ne pense pas que ce soit une bonne idée de laisser sans ID/MDP un dossier partagé.

Oui tu as raison, je n'avais pas encore réfléchi au truc et répondu un peu vite. Dans l'aide Synology, ils décrivent bien ce qu'il faut faire pour connecter un périphérique DLNA, je vais m'y coller.

Merci à tous pour les réponses et votre patience...