Kramlech

La question question initiale est : Et, sauf à ce qu'on me prouve le contraire, si on passe par le Finder, les octets transitent physiquement par le poste de travail. Alors que si on fait le déplacement via l'interface Web, tout se fait sur le Nas. Et en cas de déplacement, les fichiers ne changent pas physiquement de place, c'est juste la table d’allocation qui est mise à jour, c'est très rapide ... (sauf si tu as plusieurs volumes et que tu veux faire le transfert d'un volume à l'autre....) Donc ta conclusion est bonne ...

Tu as suivi le tuto [TUTO] Sécuriser les accès à son nas ? Je pense que tu auras pas mal de réponses ....

@.Shad. Je n'utilise pas Nginx, mais Apache J'ai déjà essayé avec Nginx, mais ça ne marche pas mieux Je n'ai pas de fichier server.ReversesProxy.conf ... Je crois que je vais laisser tomber jusqu'à ce que je passe en DSM 7. J'ai prévu de reprendre une bonne partie de ma config à cette occasion. Je referai les tests à ce moment là ... Mais je ne désespère toujours pas !!!

Dans ce cas, tous les octets font le trajet Nas- ordinateur puis ordinateur - Nas !!! Alors qu’avec file station les octets font Nas - Nas , et c’est donc plus rapide …

Pour rappel, l'idée initiale était de tester les profils d'accès, et pour ne pas risquer de bloquer tout le monde (madame pour plus de précisions !!!), je voulais faire mes tests uniquement sur l'IP de mon PC (ce qui semblait possible à la lecture de la doc). C'est suite à mes divers échecs que j'ai ouvert ce sujet. Cela m'a permis de trouver la solution pour faire des profil d'accès liés au réseau interne. Donc au final, je pourrais dire que le sujet est réglé ... sauf que : La documentation indique qu'il est possible de faire porter un contrôle d'accès sur une seule IP Il semble que certain y soient arrivés Ça ne marche pas chez moi... Cela semble donc vouloir dire qu'il y a un problème dans ma configuration. Et toute ma vie professionnelle de développeur informatique, j'ai du me battre contres des personnes qui, lorsqu'elle rencontraient un problème, refusaient d'essayer de le résoudre et se satisfaisaient de solutions de contournement. Mon expérience m'a démontré qu'un problème qu'on n'arrive pas à résoudre (même s'il n'est pas grave et qu'on arrive à le contourner) est souvent le symptôme d'un dysfonctionnement non identifié et que peut avoir de graves conséquences. C'est pourquoi, même si cela peut ne paraitre qu'une gymnastique intellectuelle sans intérêt, j'aimerai comprendre ... mais pourquoi ça ne marche pas !!!

Ça se précise ? : https://www.inpact-hardware.com/article/2537/synology-dsm-7-0-29-juin-c2-gagne-nouveaux-services-routeur-wi-fi-6-arrive

Déjà essayé avec NGINX ... Exactement le même comportement ... Mais est-ce que quelqu'un a déjà réussi à faire un contrôle d'accès sur une seule IP locale ?

A priori, le problème ne vient pas de l'absence d'autorisation du NAS à Apache (car c'est Apache qui est paramétré dans mon serveur web...) Autoriser 192.168.0.104/32 et 127.0.0.0/8 ne fonctionne pas. Autoriser 192.168.0.0/16 seul fonctionne. Alors je me suis dit qu'il fallait peut être autoriser le PC et le NAS via son IP réelle, mais autoriser 192.168.0.104/32 et 192.168.0.12/32 ne fonctionne pas !!! D'autres idées ?

@oracle7Ben non, ça ne le fait pas !!! 😭😭😭😭😭😭

Je ne veux pas limiter l'autorisation à la seule adresse du NAS, mais à la seule adresse d'un PC !!!

Je confirme mon problème : 192.168.0.0/16 => OK 192.168.0.0/24 => OK 192.168.0.104 => KO 192.168.0.104/32 => KO J'ai eu un moment d'espoir en voyant que mon PC avait un IP V6.... Mais même en désactivant l'IP V6 ça ne marche pas plus !!!

Oui , c’est l’accès qui ne fonctionne pas pour l’IP autorisée !

Bon, alors je pense que je me suis fait avoir par un problème de cache au niveau de mon navigateur ... Je viens de refaire une série de test, en utilisant un autre navigateur sur lequel je vidais tout l'historique et les caches entre chaque essai, et ... alors ça ne marche pas !!! Que je mette une IP autorisée, plusieurs IP autorisées, (dont la 127.0.0.1), aucun accès. Dès que je met le cidr 192.168.0.0/16, ça fonctionne ....

Exact ... Je n'avais pas fait gaffe, mais effectivement cette ligne n'est pas dans le tuto !!!

Avec une IP seule, si on ajoute une deuxième IP (que ce soit l'IP 127.0.01 comme le suggérais @.Shad.) ou une autre IP de type 192.168.0.xxx, et bien cela fonctionne !!!! Donc si ça, ce n'est pas un bug, ça y ressemble vraiment très fort !!!!🤣

Je ne pense pas que l'ordre ait une grande importance. Voici la séquence de mon fichier account.conf :

Dernier retour d'expérience : en ajoutant la ligne : DEFAULT_ACME_SERVER='https://acme-v02.api.letsencrypt.org/directory' dans le fichier account.conf, tout fonctionne correctement. Prochain retour : vers mi septembre pour vérifier si le renouvellement s'est bien effectué...

@oracle7 Non, ce n'est pas tout à fait cela. Si j'autorise une plage d'IP, cela fonctionne normalement (autorisé en local, interdit depuis l'extérieur) : C'est si je veux n'autoriser qu'une IP précise que ça ne fonctionne pas en local : et que j'ai le message "Désolé ...."

Je pense que tu n'as pas tout a fait assimilé ce qu'est un VPN. En deux mots, un VPN est un "tuyau" qui permet de connecter un client à un serveur d'une manière sécurisée et "invisible". C'est un peu comme si le client était connecté localement au serveur via un cable ethernet, même si en réalité la liaison passe internet. Ces VPN peuvent être utilisés de deux manière : pour sortir de ton réseau local vers internet, ou pour entrer dans ton réseau local. Pour sortir de ton réseau local : Dans ce cas tu utilises un VPN "commercial" (comme Cyberghost). Ces VPN permettent de connecter un client (ton PC, ton NAS) sur un serveur, puis sortir sur internet depuis ce serveur. Cela permet (entre autre) de masquer ton adresse IP personnelle. L'adresse IP que verront les sites sur lesquels tu te connecteras sera celle que te fournira le serveur VPN sur lequel tu sera connecté. Donc si tu connectes ton NAS en tant que client d'un tel VPN, ton NAS ne sera connu d'internet que via l'adresse IP que t'auras donné le VPN, et en aucun cas ton adresse IP personnelle. Et si tu veux te connecter sur ton NAS dans ce cas, il faudrait que tu y accèdes non pas par ton adresse IP perso, mais par l'adresse IP de ton serveur VPN. Et en plus, il faudrait que ton serveur VPN accepte de rediriger ta requête entrante vers ton NAS (ce qui est généralement pas prévu dans le VPN commerciaux. Donc si tu connectes ton NAS sur un VPN commercial, tu ne pourra plus le joindre depuis l'extérieur. Pour entrer dans ton réseau local : Dans ce cas, c'est ton NAS qui est le serveur VPN. Ce serveur est accessible depuis internet via ton adresse IP personnelle. Et tu peux donc te connecter sur ce serveur VPN depuis n'importe que poste de travail, et être comme si tu étais connecté en local... Par contre le NAS permet d'activer trois types de serveurs VPN : PPTP (à éviter car sa sécurisation a été cassée depuis longtemps), OpenVPN et L2TP/IPSec. Pour se connecter à ces serveurs, il faut avoir le client correspondant installé sur son poste de travail. Pour OpenVPN, il faut installer le client OpenVPN. Par contre pour L2TP/IPSec, les clients font partie intégrante de certains système d'exploitation (iOS, Windows 10 ...), et ne nécessitent donc pas d'installation spécifique. Damned : cette fois c'est moi qui suis grillé par @oracle7 😉

Les domaines perso peuvent s’être accédés depuis l’extérieur (si tu es propriétaire du domaine bien sûr). Par contre tu peux utiliser sur le lan des domaines dont tu n’est pas propriétaire…

@oracle7oui mais tes réponses sont généralement plus détaillées que les miennes !!😉

Ça marche mais ça introduit une couche de complexité inutile si tu as ton propre nom de domaine C’est plus simple de lier un domaine à une IP via un enregistrement de type A que de définir un DDNS … du moins chez OVH!!!!

OK, les choses commencent à se préciser ... Si je synthétise, pour une finalité identique (lier un domaine à une application précise), voici les avantages/inconvénients que je retiens : Portail de applications : Accès direct sans deuxième appel du Reverse Proxy On reste en https Seules certaines (toutes en DSM7 ?) applications sont éligibles Pas de profil de contrôle pour l'accès au DSM Possibilité de personnaliser la page d'accueil de l'application Reverse Proxy Passage par le Reverse Proxy (!), Possibilité de rediriger toutes les applications, DSM ou autre (par exemple docker), voire de rediriger vers d'autres machines (qu'elles soient locales ou pas). Possibilité d'utiliser le profil de contrôle d'accès pour le DSM Centralisation de tous les domaines en un seul endroit. Bref, je ne suis pas beaucoup plus avancé quant aux choix que je vais faire (basculer toutes mes redirections dans le Reverse Proxy ou garder un mixte entre les deux solutions comme actuellement...)

Ah les erreurs de frappes liées à une réponse sur smartphone !!! 🤪 Décidément j'ai les doigts trop gros pour ce type de clavier .... 😊

Bien qu’ayant changé récemment une Freebox Révolution par une Freebox Pop, j’ai eu la surprise de constater que la Pop me proposait des adresses en 192.169.1.xxx !!!! Donc systématiquement se méfier lors d’un changement !!! (Et toujours favoriser l’attribution d’une IP via le dhcp sur le Nas, et fixer un bail permanent sur le routeur…)