Adresse IP du NAS bloquée par lui-même

[Erwan-91]

Bonjour,

J'ai reçu une alerte système de mon NAS (DS216J) cette nuit me spécifiant que l'adresse IP [192.168....] a été bloquée par le NAS via AutoBlock suite à 10 échecs de tentatives de connexion à AutoBlock.

L'adresse IP est celle du NAS lui-même (déclarée dans l'interface DSM et en dehors de la plage DHCP de ma Livebox 6).

JE n'ai donc plus de moyen de me connecter à mon NAS. Comment faire ?

A la suite de quoi j'aimerai comprendre ce qui a essayé de se connecter plusieurs fois cette nuit sur cette IP (j'ai mis en place un reverse proxy sur le NAS il y a 48h).

 

Merci d'avance de votre aide.

Erwan

[Mic13710]

Le plus simple serait de changer l'adresse IP déclarée dans le routeur, de déconnecter puis reconnecter le câble RJ45 qui va vers le NAS puis joindre le NAS avec cette nouvelle IP. Vous pourrez ainsi débloquer l'IP.

Mais si l'IP est déclarée dans le NAS (ce qui n'est pas la meilleure solution), deux possibilités : soit les IP bloquées sont débloquées automatiquement après quelques jours auquel cas, vous attendez que le déblocage soit effectué (si vous avez le temps d'attendre jusque là), soit le blocage est permanent ou vous êtes pressé et dans ce cas pas d'autre choix que de faire un reset de premier niveau qui va réactiver le compte admin et les paramètres par défaut de la connexion réseau.

https://kb.synology.com/fr-fr/DSM/tutorial/How_to_reset_my_Synology_NAS_7#t1

Par la suite, je vous recommande de laisser le NAS en DHCP et de fixer son adresse dans le routeur. Si l'IP a été bloquée, c'est que le parefeu n'a pas été correctement paramétré. Je vous conseille vivement de consulter et surtout mettre en pratique le tuto sur la sécurisation de nos NAS. On y parle entre autre du paramétrage du parefeu pour le réseau local.

[Erwan-91]

Merci pour ce retour rapide.

Effectivement l'IP est déclarée dans le NAS. J'avais suivi un tuto à l'époque qui conseillait cela. Mais OK pour laisser le NAS en DHCP et fixer l'IP dans ma Livebox (si elle trouve mon NAS, la box Orange est facétieuse en ce moment).

J'ai pu me reconnecter vers 13h sur le NAS ; j'imagine que l'IP a été débloquée automatiquement mais je suis surpris du délai assez court. Surpris mais heureux.

Du coup, j'ai déclarée l'IP du NAS comme autorisée dans l'onglet Blocage Auto (Sécurité > Protection > Blocage Auto) : j'ai mis l'adresse IP locale du NAS et son adresse que j'utilise depuis l'extérieur nas.mon-nom-de-domaine.xx

Dans ce même onglet j'ai aussi activé l'expiration des blocages avec un réglage à 1j pour l'instant ; le temps que je comprenne d'où viennent ces tentatives de connexions. J'espère que ces réglages vous paraissent corrects.

Concernant le pare-feu, je ne l'ai jamais activé car à l'époque je ne savais pas comment le paramétrer. Je vais donc lire le tuto. Mais le firewall intégré à notre box ne sécurise pas le NAS ?

La principale modification faite ces derniers jours c'est l'ouverture des ports 80 et 443 sur la box pour le NAS pour l'utiliser en reverse proxy pour accéder depuis l'extérieur à d'autres machines de mon réseau local. C'est peut-être là que j'ai ouvert une porte sans le bon niveau de protection.

Bonne journée et merci encore pour cette réponse rapide.

 

[Mic13710]

Il y a 1 heure, Erwan-91 a dit :

un réglage à 1j pour l'instant

C'est très insuffisant car les bots recommenceront des tentatives dès que le blocage sera levé. Certains règlent à 1 mois pour laisser le temps aux bots de se lasser.

Il y a 1 heure, Erwan-91 a dit :

ouverture des ports 80 et 443 sur la box pour le NAS

La base de la sécurité c'est de ne pas ouvrir de port http vers l'extérieur. On ne le fait qu'en connaissance de cause, pour une utilisation particulière et de préférence ponctuelle. Donc non, on n'ouvre pas le port 80 dans le routeur.

[Erwan-91]

Bonjour

J'ai suivi le Tuto de sécurisation du NAS et appliqué les quelques réglages qui me manquaient. Merci pour le conseil.

Je souhaite avoir un accès depuis l'extérieur pour quelques applications. Aussi j'ai suivi le tutoriel sur le reverse proxy. Mais dans ce tutoriel, il est indiqué d'ouvrir le port 80 (avec une accès limité aux connexions depuis la France). Cela me surprend mais peut-être qu'il y a une subtilité que je n'ai pas saisie et qui fait que cette ouverture de port ne génère pas de risque. Pour l'instant je n'ai conservé que l'ouverture du port 443. Mais du coup, je ne peux pas appliquer la partie du tutoriel qui permet de rediriger les demandes le site sécurisé (http --> https via le fichier .htaccess). Vous avez un conseil de contournement pour avoir une redirection des adresses tapées en ndd.fr ou http://ndd.fr vershttps://ndd.fr ? Via un proxy inverse hébergé à l'extérieur de mon réseau ?

Dernière demande : les mises à jour automatiques de mon DS216J restent sur une version 7.1.xx de DSM. Ils semblent que ces mises à jour soient maintenues et récentes. Je vois par ailleurs que l'on peut faire une mise à jour vers 7.2 ou 7.3. Faut-il faire le pas vers ces versions plus récentes de DSM sachant que la 7.3 sera la dernière possible pour mon matériel ? J'ai rapidement lu ce qu'apportent ces différentes versions. Je ne suis pas à la recherche de nouvelles fonctionnalités, je veux juste savoir si mon NAS est au bon niveau de sécurité avec les versions 7.1.xx de DSM ou s'il vaut mieux migrer vers la version 7.3.

Merci d'avance

[Mic13710]

Soit vous laissez fermé le port 80 et vous n'utilisez que le 443, soit si vous l'ouvrez, il faut la redirection http vers https via le .htaccess. Le but final étant de na pas exposer le nas directement sur un port http ouvert.

Par sécurité, je préfère le 80 fermé pour ne passer que par le 443.

Pour la mise à jour vers 7.2 et la suite, il faut faire la première installation manuellement. C'est expliqué dans les notes de version.

Citation

For the models below, you can only download the upgrade patch from Synology Download Center because you won't receive notifications for this update on your DSM.

• FS Series: FS3017, FS2017, FS1018
• XS Series: RS18016xs+, RS4017xs+, RS3617xs+, RS3617xs, RS3617RPxs, RS18017xs+, DS3617xs, DS3617xsII, DS3018xs
• Plus Series: RS2416RP+, RS2416+, DS916+, DS716+II, DS716+, DS216+II, DS216+, DS1817+, DS1517+, RS2818RP+, RS2418RP+, RS2418+, RS818RP+, RS818+, DS1618+, DS918+, DS718+, DS218+, RS1219+
• Value Series: DS416, DS416play, DS216, DS216play, DS116, RS816, DS1817, DS1517, RS217, DS418play
• J Series: DS416slim, DS416j, DS216j, DS418j, DS218j, DS419slim, DS119j

Il en est de même pour la 7.2.2 et la toute dernière la 7.3