Aller au contenu

Configuration Syncthing


Messages recommandés

Bonjour à tous,

 

Un petit soucis de configuration, que je vais esayer d'exposer de manière claire et synthétique.

Je viens d'installer le paquet Syncthing

1/ sur mon portable linux (adresse ip fixe)

Le GUI de Synthcthing s'affiche correctement sur l'adresse locale https://127.0.0.1:8384/

 

2/ sur mon NAS (adresse ip fixe aussi) via le paquet synocommunity

Mon coté parano m'a poussé à configurer le pare-feu du NAS en autorisant uniquement les adresses IP locales fixes à se connecter (voir en dessous (*)). Pas besoin de connection depuis internet, donc autant restreindre.

Dans les paramètres Syncthing, l'adresse d'écoute est fixée à 127.0.0.1:8384 (pour n'autoriser que les adresses locales), au lieu de 0.0.0.0:8384.

(source https://docs.syncthing.net/users/guilisten.html) .

Quand je me reconnecte à mon NAS, Syncthing en cours d'execution, je n'arrive par à me connecter au GUI (https://192.168.x.xxx:8384).

 

J'ai dû faire un truc moche dans la configuration de Syntcthing et/ou dans le pare-feu du NAS. Je voudrais mettre tout ça d'applomb en conservant l'accès uniquement au reseau local. C'est certainement un truc tout bête et vous allez trouver que je ne suis pas très doué, mais malheureusement, je n'ai pas réussi à me dépatouiller en allant sur les forums ici et là, ni sur le site syncthing 😞 ...

Vos idées sont les bienvenues 🙂 !

 

(*): mes paramètres pare-feu (image en pièce jointe):

- J'interdit l'accès aux appareils aux invités qui se connectent à mon Wifi

- j'autorise l'utilisation de telle ou telle application du NAS en focntion de l'IP de l'appareil qui se connecte (adresses IP de confiance  - les ordis de la maison -, imprimantes, NAS, Freebox)

- et par défaut interdiction de connection à tout ce qui n'est pas sur le réseau local.

 

 

pare-feu NAS.png

Modifié par Cerise
mise à jour image pare-feu NAS
Lien vers le commentaire
Partager sur d’autres sites

Je m'auto-réponds.

Ca ne marche avec l'adresse d'écoute fixée à 127.0.0.1:8384 (c'est mon ordi, pas le NAS), forcement...

Ca fonctionne bien avec l'adresse du NAS (IP fixe), en 192.168.1.xxx:8384.

 

Par contre, je ne comprends pas pourquoi Syncthing dit que ça ne restreint pas l'accès aux addresses locales:

"Note that specifying your computer’s LAN address (e.g. 192.168.0.123:8384) will NOT restrict access to only devices on your local network! Connections with that address as destination will then be accepted, regardless of their origin.".

Est-ce qu'avec un pare-feu correctement configuré (cf. mon message précédent), ça suffit, ou je passe à côté d'un truc ?

Lien vers le commentaire
Partager sur d’autres sites

@Cerise, je te recommande avant d'aller plus loin de lire deux tutoriels.

Celui-ci présente - entre-autres - la différence entre une IP locale et une IP publique. Tu as indiqué des IP locales qui ne sont pas routables et qui ne peuvent être bloquées sauf si tu les mets accidentellement dans le pare-feu du NAS et là c'est une véritable catastrophe à laquelle tu t'exposes. Cela explique le message de Syncthing.

Celui-là indique les mesures à prendre pour assurer la sécurité de ton NAS. Il y est aussi questions des IP publiques et locales.

Lien vers le commentaire
Partager sur d’autres sites

@CyberFr

Tout d'abord, un grand merci pour ta réponse. Mais ouh là, tu me fais peur, tu es en train de me dire que j'ai fait une grosse boulette?

J'ai lu ces 2 tutos attentivement, je pensais que c'était OK.

 

Il y a 3 heures, CyberFr a dit :

Tu as indiqué des IP locales qui ne sont pas routables et qui ne peuvent être bloquées sauf si tu les mets accidentellement dans le pare-feu du NAS

Pour moi dans pare-feu, j'autorise mes appareils locaux de confiance (IP privées) à acceder au NAS, et tout ce qui ne rentre pas dans les IP privées est refusé.

Dans la première partie de ta phrase, je comprends IP locales =  pas routables =  pas visibles sur internet (ie: depuis l'exterieur).

Je ne comprends pas bien la partie "qui ne peuvent pas être bloquées". Si une IP publique veut et peut se connecter à mon réseau, elle se vera attribuer une adresse IP locale (plage d'IP dynamique restreinte reservée via le serveur DHCP dans la box, les adresses IP statiques étant reservées au adresses MAC de mes appareils de confiance), et cette plage d'adresse dynamique est bloquée au niveau du pare-feu de mon NAS.

 

Dis-moi si j'ai manqué un épisode dans les tuto, j'irai le relire.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 7 heures, Cerise a dit :

Par contre, je ne comprends pas pourquoi Syncthing dit que ça ne restreint pas l'accès aux addresses locales:

"Note that specifying your computer’s LAN address (e.g. 192.168.0.123:8384) will NOT restrict access to only devices on your local network! Connections with that address as destination will then be accepted, regardless of their origin.".

Est-ce qu'avec un pare-feu correctement configuré (cf. mon message précédent), ça suffit, ou je passe à côté d'un truc ?

Le NAT permet d'accéder à cette adresse, c'est ça qu'ils veulent dire.
Si tu as une règle correspondante dans ta box.
Si pas, aucun risque.

Ton pare-feu semble ok, aucune utilité de cacher les IP, ça nuit à la compréhension.
A toi de t'assurer que le port de synchronisation (différent du port de la GUI) est bien accessible entre les pairs.

Lien vers le commentaire
Partager sur d’autres sites

Voilà, sur les conseils de @.Shad., je viens de mettre à jour la vue des réglages du pare-feu du NAS pour une meilleure compréhension.

Je viens de rebalayer mes paramètres, c'est pas mieux. Message d'erreur "la connexion a échoué" pour aller dans le GUI (192.168.1.253:8384).

Lien vers le commentaire
Partager sur d’autres sites

Le 28/04/2024 à 7:07 PM, Cerise a dit :

J'ai lu ces 2 tutos attentivement, je pensais que c'était OK.

Il faut croire que non, en tout cas pour le tuto consacré à la sécurité.

Le 28/04/2024 à 3:24 PM, CyberFr a dit :

Tu as indiqué des IP locales qui ne sont pas routables et qui ne peuvent être bloquées sauf si tu les mets accidentellement dans le pare-feu du NAS et là c'est une véritable catastrophe à laquelle tu t'exposes.

Or tu persistes et signes en bloquant des IP locales du type 192.168.X.X. Relis les explications de @.Shad..

Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, CyberFr a dit :

tu persistes et signes en bloquant des IP locales du type 192.168.X.X

@CyberFr J'ai fait au mieux en fonction de ce que j'ai compris, après lecture attentive et multiple des tutos. J'entends que mes questions puissent paraitre idiotes, j'en suis navré 😢, je ne demande qu'à progresser. Et oui je préfère partir d'une configuration trop bloquée et débloquer ce que je comprends, plutôt que d'ouvrir mon NAS aux 4 vents.

Les IP locales bloquées sont les IP de la plage attribuée à des invités qui voudraient utiliser l'accès Wifi de ma box, et pour lesquels je n'ai pas envie qu'ils aient accès à mon NAS.

 

Ce que je ne comprends pas, c'est pourquoi lorsque j'autorise l'accès aux ports dédiés à Syncthing (j'ai aussi testé en ouvrant tous les ports pour cette IP) pour mon NAS (192.168.1.253), ça bloque alors que dans syncthing le GUI est configuré avec 192.168.1.253:8384.

Mais si quelqu'un veut bien m'expliquer, je suis tout ouïe, et sachez que j'apprécie le temps que vous passez à lire les questions des débutants comme moi, et encore plus le temps passé à y répondre.

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, Cerise a dit :

Les IP locales bloquées sont les IP de la plage attribuée à des invités qui voudraient utiliser l'accès Wifi de ma box, et pour lesquels je n'ai pas envie qu'ils aient accès à mon NAS.

Peux-tu développer ce point ? Ce sont des comptes « guest » au niveau du NAS ?

Lien vers le commentaire
Partager sur d’autres sites

Oui les IP bloquées sont les IP "guest", mais pas de compte (user ou groupe) au niveau du NAS.

Les IP sont gérées par le serveur DHCP de la box.

Voilà le détail:

pare-feuNASdetails.png.46d240f1f63537b63e574e5bf96ba3b2.png

Pour l'instant, j'essaye simplement de faire communiquer un de mes ordis de confiance (celui avec Syncthing, GUI accessible en 127.0.0.1:8384), avec le Syncthing installé sur le NAS (inaccessible avec 192.168.1.253:8384).

On verra les autres ordis après...

Lien vers le commentaire
Partager sur d’autres sites

Il y a 13 heures, Cerise a dit :

Oui les IP bloquées sont les IP "guest", mais pas de compte (user ou groupe) au niveau du NAS.

Les IP sont gérées par le serveur DHCP de la box.

 

Tu confonds plusieurs notions je pense.

Une adresse IP LAN n’a pas besoin d’être bloquée, même s’il s’agit d’invités : car s’ils n’ont pas de compte dsm ils ne pourront pas accéder au nas et à son contenu.


ensuite il serait utilisé de récapituler les périphériques et leur adresse ip associée 😊

Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, MilesTEG1 a dit :

Une adresse IP LAN n’a pas besoin d’être bloquée, même s’il s’agit d’invités : car s’ils n’ont pas de compte dsm ils ne pourront pas accéder au nas et à son contenu.

 

Le 28/04/2024 à 3:24 PM, CyberFr a dit :

Celui-ci [le tuto Tout ce que vous avez toujours voulu savoir sur les réseaux sans jamais oser le demander NDRL] présente - entre-autres - la différence entre une IP locale et une IP publique. Tu as indiqué des IP locales qui ne sont pas routables et qui ne peuvent être bloquées sauf si tu les mets accidentellement dans le pare-feu du NAS et là c'est une véritable catastrophe à laquelle tu t'exposes.

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 7 heures, MilesTEG1 a dit :

Une adresse IP LAN n’a pas besoin d’être bloquée, même s’il s’agit d’invités : car s’ils n’ont pas de compte dsm ils ne pourront pas accéder au nas et à son contenu.

C'est exact et certainement redondant, mais ça rajoute un filtrage par IP. L'idée derrière, mais c'est un autre sujet, c'est de pouvoir autoriser mon lecteur Bluray DNLA, et suelement lui, à accéder aux films dans un repertoire du NAS "ouvert". Ce lecteur peut déjà accéder aux films qui sont aujourd'hui sur le HD de la Freebox.

 

Il y a 7 heures, MilesTEG1 a dit :

ensuite il serait utile de récapituler les périphériques et leur adresse ip associée

Les 2  périphériques concernés par le sujet du post:

1/ ordi Linux: 192.168.1.11

2/ NAS: 192.168.1.253

 

Syncthing ordi accessible depuis l'ordi via 127.0.0.1:8384

Syncthing NAS inaccessible, je ne sais pourquoi, depuis l'ordi via 192.168.253:8384

Lien vers le commentaire
Partager sur d’autres sites

@Cerise Si l'IP de ton ordi est bien 192.168.1.11, alors ce n'est pas du côté du pare-feu que le problème se trouve car ça devrait fonctionner.
Donc vérifier maintenant sur quelle interface écoute effectivement Syncthing, en SSH tu peux taper :

sudo netstat -tunlp | grep 8384

Si tu as un retour avec une adresse localhost c'est normal que tu n'y accèdes pas (la description exacte du message d'erreur et le code éventuel aideraient beaucoup à diagnostiquer le problème). Et dans ce cas-là tu dois trouver le fichier de configuration de Syncthing et modifier en 0.0.0.0 ou :: comme tu l'avais déjà mentionné dans le premier post.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Il y a 22 heures, Cerise a dit :

C'est exact et certainement redondant, mais ça rajoute un filtrage par IP. L'idée derrière, mais c'est un autre sujet, c'est de pouvoir autoriser mon lecteur Bluray DNLA, et suelement lui, à accéder aux films dans un repertoire du NAS "ouvert". Ce lecteur peut déjà accéder aux films qui sont aujourd'hui sur le HD de la Freebox.

Quand tu dis "ouvert", tu sous-entends accessible sans mot de passe/login ???

Je ne pense pas que ce soit une bonne idée de laisser sans ID/MDP un dossier partagé.

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Bonsoir,

Des nouvelles après quelques semaines "off".

@.Shad. j'ai tout remis à plat, mise à jour Linux et ré-installation Syncthing Linux et Synology: ça fonctionne 🙂 !

@MilesTEG1 

Le 05/05/2024 à 2:35 PM, MilesTEG1 a dit :

Quand tu dis "ouvert", tu sous-entends accessible sans mot de passe/login ???

Je ne pense pas que ce soit une bonne idée de laisser sans ID/MDP un dossier partagé.

Oui tu as raison, je n'avais pas encore réfléchi au truc et répondu un peu vite. Dans l'aide Synology, ils décrivent bien ce qu'il faut faire pour connecter un périphérique DLNA, je vais m'y coller.

Merci à tous pour les réponses et votre patience...

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.