Spi

Merci pour les précisions! C'est pas une question de confiance, plus une envie de comprendre en détail et de sécuriser au maximum ce qui peut l'être. Je ne peux pas relier les deux NAS ensemble, ça me forcerait à casser le LACP que j'ai créé et le second nas doit rester accessible en SMB pour mon LAN parce-que les différents PC de la maison balancent leur backups Veeam dessus. C'est vrai que je pourrais faire un import/export du certificat Let's Encrypt, je n'ai jamais regardé si c'était facile avec un Syno mais c'est l'occasion. Après, soyons honnête... je pousse un peu le truc "trop loin". Pour que quelqu'un puisse accéder aux NAS il faudrait effectivement qu'il soit physiquement chez moi et dans le bon vlan car les interfaces de management ne sont pas accessible de n'importe où. Il y a plus de chances qu'on me vole mon Syno que de quelqu'un qui tenterait une attaque de l'intérieur de réseau. Néanmoins, sécuriser son réseau et comprendre ce qu'on fait n'est jamais une mauvaise chose. Encore merci pour les infos.

Ok, donc en théorie il est tout de même possible d'intercepter le trafic entre nas1 et nas2? Qu'est-ce qui est le plus sécurisé dans mon cas: l'utilisation du reverse proxy comme expliqué, où se connecter au nas2 en HTTPS et certificat autosigné? Même si j'imagine que ni l'un ni l'autre n'est une situation idéale. 🙂

Bonsoir, Je me rend compte que je me suis mal expliqué. Donc je la refais avec un peu plus de détails: nas1: C'est le nas principal, les applications que j'utilise (principalement via Docker) sont installées sur celui là sauf exception. Certains services sont accessibles depuis l'extérieur mais uniquement en HTTPS, c'est pour ça que j'utilise un reverse proxy et un certificat SSL dessus. Il est aussi DNS pour mon LAN. nas2: Il sert de cible pour les backup du 1, il n'est pas accessible depuis l'extérieur. Récemment j'ai installé Docker dessus pour y mettre un conteneur que je ne peux pas laisser sur le nas1. Le fait d'avoir une alerte de sécurité quand j'accède à son DSM ou l'interface du Docker me tapait un peu sur le système, donc j'ai créé une entrée dans le reverse proxy. Au niveau flux réseau, je vois ça comme ceci: 1) Requête DNS pour accéder à l'interface dsm.domain.tld (qui est sur le nas2) -> le nas1 répond en donnant son IP 2) La requête arrive dans le reverse proxy qui transforme dsm.domain.tld en nas2.domain.tld:5001 3) A ce moment le flux quitte le nas1 pour aller vers le nas2 C'est l'étape 3 qui fait que je me pose des questions. Le nas2 n'est absolument pas au courant qu'il y a un reverse proxy avant lui et accepte une connexion http ou https au choix mais il ne possède pas le certificat SSL. Donc pour moi c'est équivalent à un petit bricolage pour éviter d'avoir un message de sécurité mais ça où accéder en direct à une connexions sur la cible, avec un certificat autosigné, c'est pareil. Donc pas super sécurisé. Est-ce que je suis dans le bon? Ce qui veut dire que la réponse doit tenir compte du fait qu'on est en LAN et que c'est la partie communication entre deux machines distinctes dont je ne suis pas certain. Si je reprends ce passage: Mais si je mets en destination le trafic sur le http 5000 alors tout passe en clair non? Ou le reverse du nas1 chiffre le trafic avec le nas2 même sur de l'HTTP? Même si on est dans mon LAN où à priori il n'y a personne pour venir sniffer à coup de Wireshark mon réseau, je préfère ne rien laisser en clair. On est d'accord. 🙂 C'est ce que je fais aussi, 443 only et geo filtering avec. Le VPN c'est seulement si je dois me connecter sur le DSM en cas d'urgence.

Bonjour, J'utilise le reverse proxy de mon nas pour atteindre un second nas dans le même réseau. Je ne connais pas très bien les reverse proxy et j'aurais voulu savoir si c'était sécurisé? Je l'utilise pour rediriger la page d'administration du second nas, source 443 HTTPS destination 5001 HTTPS. Ce qui me laisse supposé que le trafic reste chiffré de bout en bout? Par contre si j'ai une source en HTTPS et en destination de l'HTTP, étant donné que le reverse proxy et sa destination n'est pas sur le nas initial, il doit y avoir du trafic qui sort en clair du premier vers le deuxième. J'ai bon? PS: Quand je demande si c'est sécurisé, le second nas n'est évidemment accessible que depuis mon réseau local. Je me doute que c'est une solution "bricolage" et pas faite pour être exposée au WAN. Merci !

Merci pour ces précisions @PiwiLAbruti . Si j'ai un soucis suite à la désinstallation des packages précédent PHP 7.4 je viendrai le signaler ici. Quand j'aurais désinstallé le paquet Calendar je ne garderais que la 8, si j'y pense je viendrais mettre mon retour ici également.

Hello, Vu que la publication initiale de ce tuto date un petit peu je me pose la question des versions PHP à utiliser pour la redirection http->https configurée via webstation. Aujourd'hui il y a la 8 qui est sortie et j'ai pas mal de version installées: Pour éviter de faire tourner des packages inutiles et d'un point de vue sécurité, est-ce qu'il n'est pas mieux de désinstaller toutes les versions précédentes à PHP 8.0 et configurer le script language setting pour utiliser cette dernière? EDIT: J'ai reconfiguré un profil par défaut en 7.4 et un autre en 8.0, j'ai supprimé toutes les versions précédentes exceptés la 7.3 qui est apparemment nécessaire pour le paquet Calendar et apparemment tout fonctionne. Si quelqu'un en sait plus?

Super, j'attends ton retour alors, merci. 🙂

Salut @Einsteinium, auriez-vous encore ces deux alimentations stp? J'ai celle de mon second DS415+ qui vient de rentre l'âme. PS: J'ai tenté d'envoyer un MP, mais le site ne l'autorise pas. Merci !

Bonjour, Je recherche une alimentation pour un des modèles suivants: DS920+, DS918+, DS916+, DS418, DS418play, DS418j, DS416, DS416play, DS416j, DS415+, DS415play, DS414, DS414j, DS413, DS413j, DS412+, DS411+II, DS411+, DS411, DS411j, DS410, DS410j, DS409+, DS409 Merci !

Merci @quart-temps pour ton tuto et @oracle7 pour la partie docker-compose. Effectivement sans le docker-compose cela n'est pas fonctionnel, message d'erreur avec "L'emplacement db incorrect, veuillez saisir un chemin valide" comme les autres l'ont mentionné avant. Avec le fichier docker-compose c'est passé sans aucun soucis!

Pas besoin de passer par Docker Compose, si tu veux je peux te donner les infos. En gros commence par installer le conteneur et créer un utilisateur spécifique pour lui. Sinon là je suis en DSM7, mon ancien conteneur en root tournait encore. 🙂

Salut @.Shad., Je viens de faire le test aujourd'hui et ça fonctionne sans soucis. Merci pour ton aide!

Bonjour à tous, J'ai réinstallé mon conteneur pour migrer de la version 5 à la 6, je me suis rendu compte que ce dernier était exécuté en tant que root. Dans l'ancienne version il suffisait de passer les variables “RUNAS_UID0” à false, le tuto que j'avais suivi conseillait aussi de le faire avec “BIND_PRIV” (qui permet d'utiliser des ports sous inférieur à 1024). Malheureusement la manip ne fonctionne plus et je n'ai pas envie de laisser un conteneur tourner en root. Est-ce que quelqu'un aurait une solution svp? Merci.

@Impact tu peux formater toi même le nommage des fichiers, par défaut il te propose un truc adapté pour Plex et Kodi. Je ne connais pas la nomenclature attendue par video station, mais le programme te permettra de le faire oui. 🙂

Le message dit ceci: "La page n’est pas redirigée correctement Une erreur est survenue pendant une connexion à vault.spiroux.be. La cause de ce problème peut être la désactivation ou le refus des cookies." Après j'ai essayé avec d'autres navigateurs et c'était la même erreur. Y compris avec l'ip du NAS. 🙂

Hello @.Shad., J'ai trouvé le problème! Qui était bien réseau. Le script s'exécute dans le contexte du conteneur, qui par défaut se trouve dans le réseau auto-défini par Docker (127.17.0.0/16 pour rappel). Sauf que l'interface réseau du NAS a sa propre IP renseignée comme DNS, puisque j'héberge ce dernier avec le paquet DNS Server. Mais le paquet DNS Server, au niveau des vues, n'accepte de répondre qu'à mes LANs (que j'ai défini spécifiquement). Donc une requête venant de 172.16.x.x/16 était d'office drop... Comme quoi, c'est souvent les problèmes les plus bêtes qu'on ne voit pas. 🙂 Il me reste juste encore un problème. Je n'arrive pas à faire la redirection du reverse proxy httpS -> http. Si je la configure en https -> https par contre cela fonctionne. Une idée du soucis?

Hello @.Shad. et merci pour ta réponse. Je vais créer une machine virtuelle en Debian pour tester l'installation et si ça coince encore, je les contacterais directement. Ca n'a peut-être rien à voir, mais quand je fais mon request ID, je lui indique une adresse qui correspond à moi@mondomaine.com (OVH). Peut-être qu'essayer avec la postmaster ou une Gmail fonctionnerais? Cette même adresse mail est d'ailleurs utilisée pour mon compte Bitwarden hébergé chez eux, il y aurait peut-être un conflit du coup?

Hello @Dimebag Darrell Je vais supposer que tu as déjà un certificat Let's Encrypt fonctionnel, avec le sous domaine pour ton instance Bitwarden. A partir de ça tu peux aller dans Control Panel -> Security -> Certificate -> Add -> Export Certificate. Tu vas récupérer l'archive avec les trois fichiers dont ils parlent dans le tuto. PS: Tu as suivi le tuto comme moi et tout s'est bien passé? Tu peux me préciser ta version de Docker et me copier les commandes que tu as utilisés stp?

@.Shad. @Balooforever Bonsoir, Est-ce que vous auriez des pistes pour moi? Parce-que là je sèche. 🙂 Voici un screenshot des différentes commandes, je ne vois pas d'erreur dans la marche à suivre. - Testé depuis le début -> Fail - Testé avec les commandes renseignées sur le site de Bitwarden - Testé avec un nouvel id -> Fail - Testé avec un nouvel id + firewall du Syno off -> fail - Testé avec le reverse proxy comme le tuto xpenology propose (j'aurais fait pareil aussi): Source: Protocol: "HTTPS", Hostname: "bitwarden.mydomain.com", Port: "443", HSTS and HTTP/2 "Unchecked" Destination: Protocol: "HTTP", Hostname: "localhost", Port: "8123" Associate Reverse Proxy with Certificate Go to "Control Panel" -> "Security" -> "Certificate" -> "Configure" Services: "bitwarden.domain.com" Certificate: "bitwarden.mydomain.com" -> "OK" -> Il utilise le certificat du Syno dans lequel le SAN est bien renseigné. Certains parlent d'un problème dans la version Docker 18.09.0-0505 sur Syno, qui ferait que Docker Compose n'interprète pas correctement les arguments du scripts. Pour info, je suis en 18.09.0-0506, d'après le package center c'est résolu: "Fix an issue regarding the environement variable of Docker Compose". J'ai potassé les infos depuis ces liens: https://community.bitwarden.com/t/solved-installation-id-validation-fails-from-behind-proxy/2480/3 https://xpenology.com/forum/topic/12455-bitwarden-self-hosted-password-manager-on-docker/ https://github.com/bitwarden/server/issues/172 https://community.synology.com/enu/forum/1/post/12814

Hello Balooforever, Le Syno accepte pas mal de chose depuis 172.16.1.0/24 mais je ne sais pas de quel protocole on parle? 🙂 Il faudrait savoir ce que le script essaie de contacter, j'imagine une ressource sur le 80 ou 443 chez eux?

Je ne l'ai pas encore installé mais je suppose que lorsque tu renouvelles ton certificat sur le Synology et que ton reverse proxy est configuré, il n'y a rien à modifier côté Bitwarden. Si le serveur n'est pas accessible, les données déjà synchronisées sur le client lourd ou l'application smartphone sont toujours là. Par contre l'extension de navigateur je ne pense pas. 🙂

Effectivement c'est mieux avec le 2FA, c'est quand même le truc qui héberge tous tes autres accès donc autant prendre le maximum de sécurité. 🙂

Hello, Tu te connectes sur l'interface web et tu fais un copier coller via le bouton. Comme ça pas besoin d'installer un client lourd ou une extension de navigateur.

Hello @.Shad. , Je me suis mal exprimé apparemment. Les LAN que j'utilisent sont 172.16.1.0/24, 172.17.1.0/24 et 172.18.0.0/16. Je ne connais pas Docker, mais j'imagine qu'il utilise une interface réseau virtuelle comme le fait Hyper-V ou VMware où n'importe quel programme du genre, c'est en tout cas ce que j'ai trouvé en faisant des recherches sur l'erreur avec Synology en mot clé. Vu que dans la config Docker, je vois qu'il y a un bridge configuré sur un réseau 172.17.0.0/16 et que ce dernier n'est pas configuré dans mes équipements, j'ai pensé qu'il était possible que la requête de validation s'effectue à l'intérieur d'un conteneur qui aurait été créé par le script. Si ce conteneur s'était retrouvé en 172.17.x.x/16 sans gateway par exemple, il n'aurait pas pu sortir et faire sa requête. Pour finir "Problem contacting Bitwarden server." laisse songer à un paramètre réseau. Ainsi que ces recherches Github et, Github PS: Je sais faire la différence entre une ip, un (sous-)réseau et même un masque. 😉

Hello, Après une petite upgrade de RAM de mon 415+ j'ai voulu me lancer dans ce tuto. Une fois arrivé à la validation des id, je reçois l'erreur suivante: "Unable to validate installation id. Problem contacting Bitwarden server." Les ports sont ouverts en sortie, par contre la configuration "bridge" de docker ne me semble pas correcte. Elle utilise un subnet en 172.17.0.0/16 qui n'existe pas, de plus le NAS est en 172.18.0.0/16. Il existe par contre un réseau en 172.17.1.0/24 qui n'est pas utilisé. En cherchant un peu sur Google, j'ai lu qu'il fallait installer Open vSwitch mais je ne vois pas le rapport. De plus, j'ai un message d'avertissement concernant mon aggrégation de lien et je ne sais pas ce qu'il faut choisir... Quelqu'un aurait il une idée? Merci !