Spi

Merci pour les précisions! C'est pas une question de confiance, plus une envie de comprendre en détail et de sécuriser au maximum ce qui peut l'être. Je ne peux pas relier les deux NAS ensemble, ça me forcerait à casser le LACP que j'ai créé et le second nas doit rester accessible en SMB pour mon LAN parce-que les différents PC de la maison balancent leur backups Veeam dessus. C'est vrai que je pourrais faire un import/export du certificat Let's Encrypt, je n'ai jamais regardé si c'était facile avec un Syno mais c'est l'occasion. Après, soyons honnête... je pousse un peu le truc "trop loin". Pour que quelqu'un puisse accéder aux NAS il faudrait effectivement qu'il soit physiquement chez moi et dans le bon vlan car les interfaces de management ne sont pas accessible de n'importe où. Il y a plus de chances qu'on me vole mon Syno que de quelqu'un qui tenterait une attaque de l'intérieur de réseau. Néanmoins, sécuriser son réseau et comprendre ce qu'on fait n'est jamais une mauvaise chose. Encore merci pour les infos.

Ok, donc en théorie il est tout de même possible d'intercepter le trafic entre nas1 et nas2? Qu'est-ce qui est le plus sécurisé dans mon cas: l'utilisation du reverse proxy comme expliqué, où se connecter au nas2 en HTTPS et certificat autosigné? Même si j'imagine que ni l'un ni l'autre n'est une situation idéale. 🙂

Bonsoir, Je me rend compte que je me suis mal expliqué. Donc je la refais avec un peu plus de détails: nas1: C'est le nas principal, les applications que j'utilise (principalement via Docker) sont installées sur celui là sauf exception. Certains services sont accessibles depuis l'extérieur mais uniquement en HTTPS, c'est pour ça que j'utilise un reverse proxy et un certificat SSL dessus. Il est aussi DNS pour mon LAN. nas2: Il sert de cible pour les backup du 1, il n'est pas accessible depuis l'extérieur. Récemment j'ai installé Docker dessus pour y mettre un conteneur que je ne peux pas laisser sur le nas1. Le fait d'avoir une alerte de sécurité quand j'accède à son DSM ou l'interface du Docker me tapait un peu sur le système, donc j'ai créé une entrée dans le reverse proxy. Au niveau flux réseau, je vois ça comme ceci: 1) Requête DNS pour accéder à l'interface dsm.domain.tld (qui est sur le nas2) -> le nas1 répond en donnant son IP 2) La requête arrive dans le reverse proxy qui transforme dsm.domain.tld en nas2.domain.tld:5001 3) A ce moment le flux quitte le nas1 pour aller vers le nas2 C'est l'étape 3 qui fait que je me pose des questions. Le nas2 n'est absolument pas au courant qu'il y a un reverse proxy avant lui et accepte une connexion http ou https au choix mais il ne possède pas le certificat SSL. Donc pour moi c'est équivalent à un petit bricolage pour éviter d'avoir un message de sécurité mais ça où accéder en direct à une connexions sur la cible, avec un certificat autosigné, c'est pareil. Donc pas super sécurisé. Est-ce que je suis dans le bon? Ce qui veut dire que la réponse doit tenir compte du fait qu'on est en LAN et que c'est la partie communication entre deux machines distinctes dont je ne suis pas certain. Si je reprends ce passage: Mais si je mets en destination le trafic sur le http 5000 alors tout passe en clair non? Ou le reverse du nas1 chiffre le trafic avec le nas2 même sur de l'HTTP? Même si on est dans mon LAN où à priori il n'y a personne pour venir sniffer à coup de Wireshark mon réseau, je préfère ne rien laisser en clair. On est d'accord. 🙂 C'est ce que je fais aussi, 443 only et geo filtering avec. Le VPN c'est seulement si je dois me connecter sur le DSM en cas d'urgence.

Bonjour, J'utilise le reverse proxy de mon nas pour atteindre un second nas dans le même réseau. Je ne connais pas très bien les reverse proxy et j'aurais voulu savoir si c'était sécurisé? Je l'utilise pour rediriger la page d'administration du second nas, source 443 HTTPS destination 5001 HTTPS. Ce qui me laisse supposé que le trafic reste chiffré de bout en bout? Par contre si j'ai une source en HTTPS et en destination de l'HTTP, étant donné que le reverse proxy et sa destination n'est pas sur le nas initial, il doit y avoir du trafic qui sort en clair du premier vers le deuxième. J'ai bon? PS: Quand je demande si c'est sécurisé, le second nas n'est évidemment accessible que depuis mon réseau local. Je me doute que c'est une solution "bricolage" et pas faite pour être exposée au WAN. Merci !

Merci pour ces précisions @PiwiLAbruti . Si j'ai un soucis suite à la désinstallation des packages précédent PHP 7.4 je viendrai le signaler ici. Quand j'aurais désinstallé le paquet Calendar je ne garderais que la 8, si j'y pense je viendrais mettre mon retour ici également.

Hello, Vu que la publication initiale de ce tuto date un petit peu je me pose la question des versions PHP à utiliser pour la redirection http->https configurée via webstation. Aujourd'hui il y a la 8 qui est sortie et j'ai pas mal de version installées: Pour éviter de faire tourner des packages inutiles et d'un point de vue sécurité, est-ce qu'il n'est pas mieux de désinstaller toutes les versions précédentes à PHP 8.0 et configurer le script language setting pour utiliser cette dernière? EDIT: J'ai reconfiguré un profil par défaut en 7.4 et un autre en 8.0, j'ai supprimé toutes les versions précédentes exceptés la 7.3 qui est apparemment nécessaire pour le paquet Calendar et apparemment tout fonctionne. Si quelqu'un en sait plus?

Super, j'attends ton retour alors, merci. 🙂

Salut @Einsteinium, auriez-vous encore ces deux alimentations stp? J'ai celle de mon second DS415+ qui vient de rentre l'âme. PS: J'ai tenté d'envoyer un MP, mais le site ne l'autorise pas. Merci !

Bonjour, Je recherche une alimentation pour un des modèles suivants: DS920+, DS918+, DS916+, DS418, DS418play, DS418j, DS416, DS416play, DS416j, DS415+, DS415play, DS414, DS414j, DS413, DS413j, DS412+, DS411+II, DS411+, DS411, DS411j, DS410, DS410j, DS409+, DS409 Merci !

Merci @quart-temps pour ton tuto et @oracle7 pour la partie docker-compose. Effectivement sans le docker-compose cela n'est pas fonctionnel, message d'erreur avec "L'emplacement db incorrect, veuillez saisir un chemin valide" comme les autres l'ont mentionné avant. Avec le fichier docker-compose c'est passé sans aucun soucis!

Pas besoin de passer par Docker Compose, si tu veux je peux te donner les infos. En gros commence par installer le conteneur et créer un utilisateur spécifique pour lui. Sinon là je suis en DSM7, mon ancien conteneur en root tournait encore. 🙂

Salut @.Shad., Je viens de faire le test aujourd'hui et ça fonctionne sans soucis. Merci pour ton aide!

Bonjour à tous, J'ai réinstallé mon conteneur pour migrer de la version 5 à la 6, je me suis rendu compte que ce dernier était exécuté en tant que root. Dans l'ancienne version il suffisait de passer les variables “RUNAS_UID0” à false, le tuto que j'avais suivi conseillait aussi de le faire avec “BIND_PRIV” (qui permet d'utiliser des ports sous inférieur à 1024). Malheureusement la manip ne fonctionne plus et je n'ai pas envie de laisser un conteneur tourner en root. Est-ce que quelqu'un aurait une solution svp? Merci.

@Impact tu peux formater toi même le nommage des fichiers, par défaut il te propose un truc adapté pour Plex et Kodi. Je ne connais pas la nomenclature attendue par video station, mais le programme te permettra de le faire oui. 🙂

Le message dit ceci: "La page n’est pas redirigée correctement Une erreur est survenue pendant une connexion à vault.spiroux.be. La cause de ce problème peut être la désactivation ou le refus des cookies." Après j'ai essayé avec d'autres navigateurs et c'était la même erreur. Y compris avec l'ip du NAS. 🙂