Aller au contenu

Connexion sécurisée sans Quickconnect

Wilfred

Par Wilfred
dans Réseau

 Partager

Messages recommandés

Wilfred Newbie

Wilfred

Posté(e)
Posté(e)

Bonjour à tous,
 
Je souhaite désactiver QuickConnect et passer à une connexion plus sécurisée.
 
J’ai créé des comptes pour des membres de ma famille qui utilisent, pour le moment, uniquement Synology Photos. Ils se connectent via QuickConnect, et je voudrais passer par un domaine pour faciliter leur connexion.
 
J’ai vu qu’il y avait le DDNS, que j’ai mis en place, mais je ne sais pas comment répondre à mon besoin, qui est que les utilisateurs puissent se connecter via ce DDNS depuis leur Wi-Fi (où j’autoriserai leur IP publique manuellement dans mon pare-feu), mais également en dehors de leur Wi-Fi (4G ou un autre Wi-Fi). Je suppose que je dois passer par un VPN pour cela ?
 
Je voulais également savoir si je pouvais me connecter via ce DDNS depuis mon réseau local.

(Est ce que je peux faire tout cela sans changer l’identifiant du nas au moment de la connexion sur Synology Photos)
 
Merci d’avance !
 
 
Envoyé de mon iPhone en utilisant Tapatalk

0
StéphanH Proficient

StéphanH

Posté(e)
Posté(e)

Bonjour @Wilfred

Avant tout, je te conseille un passage par l’incontournable section des tutoriels.
Et notamment ceux concernant la sécurisation et l’accès distant.

Tout ce que tu souhaites faire est faisable, relativement simplement. 
Fais nous signe si tu butes sur un sujet particuliers !

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)
Il y a 4 heures, Wilfred a dit :

Je voulais également savoir si je pouvais me connecter via ce DDNS depuis mon réseau local.

Oui bien sûr ! Pour cela il faut passer par le serveur DNS pour créer un serveur local qui sera en mesure de résoudre vos ndd qui seront bien entendu les mêmes que ceux que vous utilisez à partir du WAN. Si toutefois votre FAI autorise le loopback (à ma connaissance il n'y a que free), vous pourriez vous en passer mais ce n'est pas du tout la bonne option car elle sollicite le CPU du routeur qui doit rediriger les flux sortants vers le LAN.

Vous trouverez un tuto sur le serveur DNS dans la section des tutoriels.

0
Wilfred Newbie

Wilfred

Posté(e)
  • Auteur
Posté(e)
Il y a 9 heures, StéphanH a dit :

Bonjour @Wilfred

Avant tout, je te conseille un passage par l’incontournable section des tutoriels.
Et notamment ceux concernant la sécurisation et l’accès distant.

Tout ce que tu souhaites faire est faisable, relativement simplement. 
Fais nous signe si tu butes sur un sujet particuliers !

ça marche je vais regarder ça!

 

Il y a 5 heures, Mic13710 a dit :

Oui bien sûr ! Pour cela il faut passer par le serveur DNS pour créer un serveur local qui sera en mesure de résoudre vos ndd qui seront bien entendu les mêmes que ceux que vous utilisez à partir du WAN. Si toutefois votre FAI autorise le loopback (à ma connaissance il n'y a que free), vous pourriez vous en passer mais ce n'est pas du tout la bonne option car elle sollicite le CPU du routeur qui doit rediriger les flux sortants vers le LAN.

Vous trouverez un tuto sur le serveur DNS dans la section des tutoriels.

Je suis chez free actuellement !

Quelle serait la meilleur option pour laquelle je devrais opter pour ma situation? 
Car je ne veux plus utiliser Quickconnect (de ce que j'ai compris c'est pas fou xD) et je ne veux pas que mes proches aient à activer le vpn à chaque fois qu'ils veulent se connecter (sauf si ils sont à l'extérieur).

Je vais regarder dans la rubrique Tutoriel si je ne vois pas une méthode qui répond à mon besoin mais si vous avez le lien vers le topic je suis prenneur !

0
Wilfred Newbie

Wilfred

Posté(e)
  • Auteur
Posté(e)

J'ai suivi le tutoriel "Sécurisation du NAS - pour DSM7" et j'ai pu paramétrer pas mal de chose.
J'ai générer un certificat pour mon DDNS mais en suivant le tutoriel du reverse proxy je me suis posé quelques questions.

En redirigeant par exemple photo.nas.synology.me vers http://localhost:3000, est ce que n'importe qui pourra se connecter sur un compte (si il a le bon identifiant et mdp ?)
Car je voulais un contrôle plus complet comme le fait que seul tel ip publique puisse se connecter ou la plage ip 10.X.X.X (vpn).

Et aussi, je voulais savoir si je pouvais accéder à Synology photos avec le même identifiant nas "photo.nas.synology.me"?
J'ai vu un utilisateur commenté ceci sur le topic du reverse proxy 
"Si quand on tape ndd.fr on est redirigé vers l'interface de connexion à DSM (ce que je ne veux pas), il faut vérifier que la case "Activer un domaine personnalisé" dans le panneau de configuration/Connectivité/Réseau/Paramètres de DSM est décochée (ou bien qu'on a mis un autre nom de domaine que ndd.fr dans ce champ, cf tuto DNS Server). Par contre, pour se connecter à l'interface de gestion du NAS, il faudra désormais taper l'IP locale du NAS + le port DSM non sécurisé dans la barre d'adresse du navigateur (à moins d'avoir mis en place une zone DNS locale, avec une adresse comme nas.super_nom.lan qui pointe sur le NAS)."

Est-ce que c’est ce que dois mettre en place pour me connecter avec "photo.nas.synology.me" ?

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)
Il y a 13 heures, Wilfred a dit :

Quelle serait la meilleur option pour laquelle je devrais opter pour ma situation? 

 

Il y a 13 heures, Wilfred a dit :

il faut passer par le serveur DNS pour créer un serveur local

Lien vers le tuto : 

 

Il y a 11 heures, Wilfred a dit :

n'importe qui pourra se connecter sur un compte (si il a le bon identifiant et mdp ?)
Car je voulais un contrôle plus complet comme le fait que seul tel ip publique puisse se connecter ou la plage ip 10.X.X.X (vpn).

C'est un peu le but de pouvoir se connecter avec les bon identifiants non ? Je ne vois pas le problème. Une connexion via quickconnect n'est pas plus restrictive. Ce n'est qu'une question de mode de connexion qui diffère, pas la limitation d'accès. Si vous voulez des restrictions, c'est au niveau du parefeu et du blocage des accès qu'il faut agir. Mais à vouloir trop bloquer, on peut se retrouver coincé et il ne faudrait pas vous bloquer vous même 😉 Tout est affaire de compromis.

Pour vous connecter avec un ndd sans passer par le port des applications (nas.ndd, audio.ndd, photo.ndd, domo.ndd, etc...), c'est effectivement avec le reverse proxy qu'il faut le faire.

0
StéphanH Proficient

StéphanH

Posté(e)
Posté(e)
Il y a 12 heures, Wilfred a dit :

Car je voulais un contrôle plus complet comme le fait que seul tel ip publique puisse se connecter ou la plage ip 10.X.X.X (vpn).

Là encore je partage l'avis de Mic13710 sur l'étendue du blocage et ses corolaires.

Le PareFeu sait gérer une restriction par IP, mais rares sont les IP Fixes.
Toutefois, une restriction par pays élimine déjà grand nombre de tentatives indésirables, et ce très simplement.

0
Wilfred Newbie

Wilfred

Posté(e)
  • Auteur
Posté(e)
Il y a 9 heures, Mic13710 a dit :

 

Lien vers le tuto : 

 

C'est un peu le but de pouvoir se connecter avec les bon identifiants non ? Je ne vois pas le problème. Une connexion via quickconnect n'est pas plus restrictive. Ce n'est qu'une question de mode de connexion qui diffère, pas la limitation d'accès. Si vous voulez des restrictions, c'est au niveau du parefeu et du blocage des accès qu'il faut agir. Mais à vouloir trop bloquer, on peut se retrouver coincé et il ne faudrait pas vous bloquer vous même 😉 Tout est affaire de compromis.

Pour vous connecter avec un ndd sans passer par le port des applications (nas.ndd, audio.ndd, photo.ndd, domo.ndd, etc...), c'est effectivement avec le reverse proxy qu'il faut le faire.

 

Il y a 8 heures, StéphanH a dit :

Là encore je partage l'avis de Mic13710 sur l'étendue du blocage et ses corolaires.

Le PareFeu sait gérer une restriction par IP, mais rares sont les IP Fixes.
Toutefois, une restriction par pays élimine déjà grand nombre de tentatives indésirables, et ce très simplement.

Merci pour vos réponses !

Enfaite je voulais faire en sorte que seul certaines ip publique puissent se connecter (lorsque l'utilisateur est chez lui avec son wifi où j'autoriserai l'ip manuellement) ou sinon il utilise un vpn lorsque il est en 4g ou connecté avec un wifi qui n'est pas le sien.
Taper l'adresse ip publique à la main pour chaque utilisateur dans mon pare-feu ne me dérange pas tant que ça, car je n'ai pas beaucoup d'utilisateurs.

0
StéphanH Proficient

StéphanH

Posté(e)
Posté(e)
il y a 4 minutes, Wilfred a dit :

Taper l'adresse ip publique à la main pour chaque utilisateur dans mon pare-feu ne me dérange pas tant que ça, car je n'ai pas beaucoup d'utilisateurs.

Malheureusement, les IP publiques des mobiles ne sont pas fixes, et celles du fixe rarement 
au mieux, tu peux autoriser les masques attribués à un provider (Orange, SFR, free …).

 

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.