MilesTEG1

J'ai utilisé pendant un temps Quickconnect, mais je ne l'utilise plus depuis plus d'un an maintenant et il est depuis désactivé. Heu, oui mais comment ? Et où mettre le fichier htaccess ??

Ha oui, vu comme ça... Je vais probablement suivre ton conseil et enlever cette redirection DynHost, et aussi désactiver l'accès à distance... (bon par contre, j'ai besoin de l'accès à distance sur la box de ma grand-mère... Bon pour sa box j'ai mis un bon gros mot de passe) Et Ok pour le 443 nécessaire. C'est dommage de devoir le spécifier... Je peux donc désactiver sans soucis les redirections de ports vers les ports des différentes applications, n'est-ce pas ?

C'est à dire ? (pour ce qui est surligneur en gras/rouge) Haaa je viens de comprendre En mettant comme port 443 comme ce qui suit, ça marche !!!! (vive l'application développée avec les pieds ) Je m'étais déjà inspiré de ton tuto sécurité J'avais du y poster un ou deux messages. Tout comme j'ai aussi mis en place une connexion VPN L2TP fonctionnelle, j'ai aussi laissé un message sur ton tuto pour parler des caractères accentués qui posent soucis dans les mots de passe... Pourquoi c'est très dangereux la redirection Livebox ? Pour FileStation, j'avais pas refait la capture mais j'ai changé/ maintenant j'ai ça : Du coup si je suis ce que tu as dit dans ton tuto, et ce que je commence à comprendre de ce que tu as dit ici, je peux laisser fermé les ports HTTPS que j'ai ouvert dans la box pour les applications, et ça fonctionnera encore bien ;) Je n'ai pas ouvert les ports HTTP sauf le 80. En tout cas merci pour votre aide

Arf, non. Je n'ai qu'un DS214play... donc pas de Docker pour moi Ok pour HAproxy non fonctionnel... Faut que je relise le tuto sur nginx, mais c'est pas gagné Je crois que mon cerveau a atteint sa capacité maximale à comprendre cet aspect du réseau Sinon, le files.nas1.ndd.ovh fonctionne bien depuis un navigateur, mais ça ne veut pas fonctionner avec l'application DSFiles sur mon smartphone (iOS). Il faut que je spécifie le port de FileStation comme cela : Une idée du pourquoi ça ne veut pas prendre seulement le files.nas1.ndd.ovh ? (j'ai spécifié un port pour le HTTP dans le portail des applications).

Ha mince, j'avais mal lu en effet J'ai supprimé les infos rentré dans PhotoStation vu que je ne compte pas partager les photos sur FB et compagnie. J'ai désactivé aussi la redirection HTTP -> HTTPS dans DSM et aussi dans PhotoStation. Et effectivement d'une part ça semble aller plus vite au chargement et surtout le lien https://photos.nas1.ndd.ovh/photo/ fonctionne hourra :D Je suis allé voir le toto de CoolRaoul. Ça me semble un peu complexe pour moi... J'ai trouvé un autre tuto sur HAProxy, et ça me semble plus simple pour moi à mettre en place. Après lecture totale, c'est pas si simple Et pas sur que je puisse faire ce que je veux avec... C'est compliqué ces trucs \o/ En tout cas merci de votre aide :)

Justement, je ne sais pas s'il est bien paramétré le reverse proxy Avec https://photos.nas1.ndd.ovh/photo/ j'abouti à une erreur : 502 Bad Gateway nginx J'ai essayé avec https://nas1.ndd.ovh/photo/ et j'arrive en effet sur PhotoStation sans entrer de port en particulier. Avec https://livebox.nas1.ndd.ovh/photo/ j'ai une erreur Safari , qui dit que "Safari ne parvient pas à ouvrir la page" avec le favicon d'orange. Avec https://files.nas1.ndd.ovh/photo/ j'ai une erreur avec le logo Synology qui dit que la page est introuvable. Pour le https://notes.nas1.ndd.ovh/photo/ comme j'ai créé le DynHost ce matin, faut attendre 24h pour qu'il soit actif, donc je sais pas... Du coup, il y a quelque chose que j'ai pas fait correctement dans le Proxy Inversé... Et sinon, comment faire pour avoir PhotoStation via https://photos.nas1.ndd.ovh/ uniquement ? Faut bricoler quel fichier de configuration si c'est faisable ? Ça saute au reboot/maj de DSM ?

Bonjour, Voilà, je m'essaie au Proxy Inversé pour les différents services que j'utilise sur mon NAS. Et je n'arrive pas à paramétré comme il faut le tout pour PhotoStation. Mon objectif est de pouvoir accéder à PhotoStation sans devoir taper l'adresse complète avec le port et le /photo/. J'ai un nom de domaine chez OVH, que j'appellerais ndd.ovh. J'ai créé des DynHost pour chaque service que je veux utiliser, avec un primaire qui est le DDNS paramétré dans mon DS214play. Voilà ce que j'ai : nas1.ndd.ovh (le DDNS primaire, configuré avec l'identifiant OVH avec un * pour les noms de domaines mis à jour avec cet identifiant). photos.nas1.ndd.ovh (pour PhotoStation) notes.nas1.ndd.ovh (pour NoteStation) files.nas1.ndd.ovh (pour FileStation) livebox.nas1.ndd.ovh (pour la LiveBox) Chacun de ces DynHost pointe bien sur la bonne IP de ma connexion internet. Je n'ai pas encore pu voir si un changement d'IP était bien répercuté sur tous ces DynHost. Mais ça devrait le faire . J'ai également un certificat Let's Encrypt qui a été créé avec tous ces DynHost en "Autre nom de l'objet" afin qu'ils soient tous avec le certificat sans causer d'alertes dans les navigateurs. J'ai modifié les ports de connexion de DSM, et aux autres services (je vais utiliser des valeurs différentes des miennes dans ce topic) : DSM HTTP = 9000 DSM HTTPS = 9001 NoteStation HTTPS = 9010 FileStation HTTPS = 9020 J'ai configuré comme suit PhotoStation : Dans la LiveBox, j'ai bien créé les redirections de ports pour tout ça, avec en prime la redirection du port 80 et du 443 vers le NAS. Voilà ce que j'ai mis dans la partie Proxy Inversé du Panneau de configuration de DSM et qui permet d'utiliser avec succès FileStation/NoteStation/Livebox : Ces trois accès fonctionnent bien. Légende : en bleu ce qui fonctionne bien, en rouge ce qui ne fonctionne pas... Pour accéder à DSM, j'utilise nas1.ndd.ovh:9001. Si j'utilise cette adresse sans préciser le port (nas1.ndd.ovh) j'accède aussi à DSM et l'adresse dans la barre du navigateur change pour nas1.ndd.ovh:9001. Maintenant, voilà ce que j'ai essayer de mettre pour photostation : Mais quoi que j'essaye, ça ne veut pas fonctionner. Avec la configuration ci-dessus, j'ai cette erreur lorsque je tape l'adresse photos.nas1.ndd.ovh : Si je veux quand même accéder à PhotoStation, je dois taper cette adresse : https://nas1.ndd.ovh:9051/photo/ Je voudrais accéder à PhotoStation en tapant l'adresse : https://photos.nas1.ndd.ovh/ Voilà voilà, je ne sais plus quoi faire. J'aurais donc besoin de votre aide Que dois-je faire pour que ça fonctionne comme je le veux ? Si c'est possible bien sur... Merci d'avance Miles

Hello. Merci pour le tuto Ça fonctionne très bien depuis iOS11 et aussi macOS Sierra. Par contre, pour Sierra, il y a un petit soucis si le mot de passe du compte contient une lettre accentuée (et peut être certains caractères spéciaux)... La connexion est impossible : Je précise que je copiais collais depuis KeePass mes mots de passe, donc pas d'erreur de saisie ;) J'ai essayé d'autres compte sur le NAS, et ça faisait pareil lorsqu'il y avait des caractères accentués et/ou des caractères spéciaux. Un des caractères suivant causait le même soucis que la lettre accentuée "^~<(){} Je n'ai pas poussé l'investigation plus loin sur quel était le caractère en cause... J'ai donc créé un utilisateur dédié au VPN avec un long mot de passe avec chiffres/lettre (min/MAJ) et un caractère &. Sinon le mot de passe qui ne fonctionnait pas sur macOS fonctionne très bien avec iOS J'ai pas compris sur le coup car j'ai commencé avec iOS... donc ça fonctionnait bien, sauf avec Sierra. Voilà pour ma petite pierre... Faudrait voir quel caractère empêche la connexion @+ Miles

Je viens d'essayer depuis le NAS chez mes parents qui sont chez free. Et effectivement, le centre de paquet ne veut pas afficher la liste des paquets non installés, j'ai ce message : Mais il plante pas.

Tu as vérifié les permissions sur les partages qui ont disparus ? La migration de mon nas semble s'être bien passée, je n'ai pas de partages qui ont disparus... Ni sur celui de mes parents.

Je sais que l'image d'installation est disponible pour mon nas, mais comme je suis à distance, avec un upload famélique, j'ai pas envie d'envoyer à la main le fichier de mise à jour...

Hello, en ce qui me concerne, sur mon DS2124play j'ai lancé le téléchargement de la MAJ 6.1 sur mon NAS ce matin mais sans l'installer (car j'avais un backup en cours à ce moment là). Mais maintenant je n'ai plus l'option de l'installer, et DSM me dit qu'il est à jour en 6.0.2... (J'ai un DS214play). Comment ça se fait ? Et comment retrouver la possibilité de le mettre à jour ? (sans devoir télécharger le fichier et l'envoyer car je suis à distance, et avec un ADSL famélique en upload...)

Haaa, je me rappelle bien avoir lu que tu utilisais un compte spécial pour la sauvegarde, je fais pareil, mais j'avais zapé le fait qu'il avait les droits d'admin :D Bon et bien je vais devoir regarder dans ce sens ma configuration :D J'espère que ce compte de sauvegarde une fois mis en admin, il pourra voir les tâches actuelles :p Merci bien :)

Hello, Merci pour ce tuto super bien expliqué. Tout est clair :) J'ai commencé à revoir ma stratégie de connexion sur le NAS pour augmenter la sécurité. Je me suis donc grandement inspiré de ce que tu as fait ici. J'ai donc mis la double authentification sur mon compte admin et mon compte perso. J'ai viré toutes les permissions sur les partages du compte admin, pour les laisser que sur le compte perso. Tout semblait bien fonctionner hier :) et encore ce matin. Sauf les sauvegardes HyperBackup ! Toutes les tâches de sauvegardes locales (d'un disque sur un autre) avec le système Synology ne peuvent plus se lancer... Un exemple d'échec de cette nuit : Par contre si je remet l'autorisation de lecture/écriture sur le partage /Backup-Syno/ pour monAdmin, alors la tâche de sauvegarde peut se lancer sans problèmes. Il y a donc une réelle limitation à la stratégie de n'accorder aucun accès aux données de l'administrateur... Les tâches de backup locale ne peuvent plus fonctionner. Par contre, celles sur un NAS distant ou sur Amazon Drive (je n'utilise que ces deux) fonctionnent bien elles... J'ai bien regardé si je pouvais pas faire mes tâches avec l'utilisateur normal, mais il n'a pas accès à Hyperbackup. monAdmin a bien les permissions sur les applications rsync et hyberbackupvault (bon lui sert à rien dans ce contexte ) Est-ce que j'ai mal fait quelque chose ou bien est-ce un comportement normal ? edit : je vois une autre limitation, c'est via file station, un utilisateur normal ne peut pas monter un dossier distant... (via SFTP ou autre). Il n'y a aucune option pour le faire. Merci d'avance Miles

Haa :D Cool que tu aies trouvé d'où vient le soucis. j'allais te dire que le port 80 devais obligatoirement être ouvert. Ou transférer via la routeur.

Bien vu :) Merci pour ceux qui voudrait utiliser StartSSL :) Perso je reste avec Let's Encrypt :p Ha donc StartSSL c'est à fuir , c'est ça ?

Je ne sais pas pourquoi tu n'as pas pu faire ce que j'ai fait avec mon .ovh... un .info c'est pareil je pense ;) Les deux NAS sont pas au même endroit : un chez moi, l'autre chez mes parents. Je n'ai rien fait de spécial pour avoir un certificat sur mes deux nas, j'ai suivi la procédure Let's Encrypt sur les deux et hop :) Dans l'idéal il faudrait un ndd par serveur oui, mais comme j'ai dit, mon nas1.ndd.ovh et nas2.ndd.ovh ont eux chacun leur certificat... Comment il est géré ton .info ? Chez OVH ?

Hello, J'avais un peu oublié ce topic :D Merci pour les retours. Je vous avoue que l'été dernier j'ai laissé tombé StartSSL au profit de Let's Encrypt directement accessible depuis le NAS. Donc je ne me suis pas préoccupé des nouveautés de StartSSL. En ce qui concerne Let's Encrypt, le certificat se renouvelle tout seul, pas d'action à faire. Enfin c'est comme ça sur les deux NAS que je gère depuis cet été :) Par contre, la partir sur OVH reste d'actualité, il faut un nom de domaine. Pour ton soucis Khaskouye, je ne saurais t'aider. Je ne me rappelle plus comment j'ai créé mon adresse... Quand je vais voir mon compte OVH, dans l'onglet emails, j'ai redirigé la postmaster vers une email gmail que j'avais créé pour ça à l'époque. Regarde de ce coté là ;)

Bonsoir, J'ai exactement la même demande que ryfe ! Enfin presque :) J'explique. J'ai un NAS chez moi et un chez mes parents. Le besoin se situe du coté parents. J'ai configuré des backup entre les NAS de dossiers importants (Photos, documents, etc...), dans un sens comme dans l'autre, histoire de délocaliser les backups. Jusqu'à présent, mes parents avaient un vieil ordinateur portable avec un disque dur assez gros dedans, pas de soucis pour contenir toutes leurs photos. Maintenant ils vont avoir un SSD de capacité limité, donc on externalise les photos sur le disque dur externe qu'ils pourront embarquer avec eux quand ils vont sortir, ou se balader dans leur maison avec l'ordinateur portable. Quand ils sont chez eux (et même ailleurs), ils bossent en wifi, donc bricoler des photos de plusieurs Mo via le wifi, ça va pas être très rapide, et je sens que ça va les agacer très vite (ça serait le cas pour moi :p). Donc on a trouvé la solution du disque dur externe sur lequel on va placer leur gros dossier de photos. Maintenant comment je vois les sauvegardes : - Ils bossent sur le DD-Ext, quand ils ont fini, ils le branchent sur le NAS pour que le NAS récupère ce qui a été modifié sur le partage du Volume 1. <-- C'est là que je vais avoir besoin de votre aide, et probablement d'un script comme celui que propose @Fravadona - Un backup local programmé une fois par semaine se charge de copier l'intégralité (ou ce qui a été modifié) des photos sur le volume 2 du NAS. - Un backup Réseau programmé quelques jours après celui V1->V2 se charge de faire la même chose mais à destination du NAS qui est chez moi. Actuellement, avec leur ancien PC avec HDD, j'ai configuré SyncBack pour faire une image mirroir de ce qu'ils ont sur leur disque dur sur le NAS, et ensuite les deux backups en rouge du dessus font leur boulot. Donc si jamais ils suppriment par mégarde une photo et qu'ils ne peuvent pas la récupérer via la corbeille, ils peuvent toujours l'avoir avec une des sauvegardes (moyennant un coup de fil au fiston que je suis pour le faire XD), mais ce n'est jamais arrivé encore. Donc mon besoin est simple, faire une image miroir du dossier Albums-Photos situé sur le DD-Ext vers le dossier partagé du NAS portant le même nom, tout en ne copiant que ce qui a été modifié, pas besoin de tout refaire à chaque fois... Est-ce que le script de @Fravadona permet de faire cela ? Autre petit truc, je ne trouve pas le paquet Autorun, même en ayant la source Community machin... Où le trouve-t-on ? Et fonctionne-t-il avec DSM 5.2 ? Merci de votre aide. ++ Miles PS : sinon j'ai aussi l'option SyncBack qui essaye de faire l'image miroir toutes les 15 minutes, mais je sens que ça peut être lourd ça...

Pour le débit d'ulpoad, c'est dans ton compte client qu'il faut aller : Tu passeras à 10 MBits puisque là tu es à 5. Sinon c'est NC qui va limiter ce débit quand tu passeras ta box en bridge, je l'invente pas, c'est marqué dans les conditions de NC. (je sais plus où). Pour les différentes télécommandes, je ne peux que conseiller d'achat d'une télécommande universelle comme les logitech Harmony. J'en ai une depuis quelques années justement pour avoir toutes mes télécommandes en une seule...

De toute façon je crois pas que j'aurais pu faire plus fort niveau chiffrage... Oula, ça devient un peu trop technique pour moi, j'ai pas le niveau pour suivre... enfin pas les compétences. Mais j'ai saisi le principe global. Le débit est forcément limité soit par ma connexion montante chez moi, soit par la descendante de là où je suis pour accéder à mon NAS. Par contre, de là à faire des VPN sur VPN pour accéder à mes données... je crois pas que j'ai un quelconque intérêt à faire ça... sans parler que j'en suis incapable... J'espère que juste que ce que j'ai mis en place me sécurise quand même, ma connexion à mon NAS, mes données... (qui ne sont pas spécialement cryptées sur les hdd du NAS).

Merci pour les compliments ;-) et pour la note :-P Le professeur que je suis est content de recevoir un 18/20 :-D J'ai par contre 2-3 petites choses que je n'ai pas saisi dans ce que tu as dit ;-) Si tu pouvais me donner quelques précisions. Le certificat que j'ai créé n'est pas officiel ? Ça fragilise ma sécurité en quoi ? Pour ce qui est de résister à une attaque Brute-Force, avec du temps, le brute-force passe tout le temps :-) J'avais quasi le même réglage que j'ai indiqué dans mon tuto : je devais bloquer au bout de 3 tentatives. Je suis bien d'accord sur le fait de ne pas laisser un voleur entrer dans mon réseau ;-) Je pense que je vais suivre ton conseil et n'autoriser qu'une seule tentative. de toute façon j'utilise KeePass pour mes mots de passe, donc je ne tenterais plus le mot de passe à la manuel sur mon téléphone (je le connais par coeur celui du compte admin syno ;)). Mes autres endroits de connexion, et bien, ils sont autorisés dans la White-List :-D et mes navigateurs connaissent mes mots de passe (ce qui est peut être pas une bonne chose, mais bon tellement pratique ;)) Heuuu... En SHA256 c'est ça ? ou c'est le 2048 bits que j'ai du choisir lors de la création sur StartSSL ? Mais sinon pour le reste je crois avoir pigé : le maximum autorisé par l'état est le minimum à faire en chiffrage, c'est ça ? Si on veut chiffrer dessous, ça sert à rien, c'est bien ça ? (j'ai bien pigé cette partie ?) Oki, comme je l'ai dit au-dessus, je vais envisager de passer à une seule tentative J'ai pas tout saisi là :-) enfin j'exagère un peu. Tu veux dire ici que prendre un NDD et faire le certificats SSL rend mon NAS publique, ça je comprends, mais, par contre pour moi, mettre une porte sur sa maison permet d'y rentrer dedans si on a la clé, mais ça veut pas dire que le commun qui passe par là puisse y entrer, et n'ai le droit d'y entrer. J'ai mes mots de passe en guise de serrure. Donc dans l'absolu, je ne rend pas publique ma vie privée, enfin mes fichiers présents sur mon NAS. Je me laisse une ouverture pour y entrer avec ma clé, mais je laisse personne d'autre y entrer. Merci du compliment :-D J'apprécie. C'est-à-dire "à partir du logiciel du syno" ? J'ai utilisé les lignes de commandes présentes dans mon tuto pour faire mon certificat. Ce sont bien des petits programmes présents dans le Syno, mais aussi dans toute distribution linux je pense :-p Je peux même le faire depuis mon mac (je viens d'essayer la commande openssl genrsa -des3 -out 0-Cle-Privee-ssl.key 2048 qui fonctionne). Ou donc un mac :-D (j'avais pas vu cette phrase ;-) Oué, mais le soucis, c'est que j'accède sur le Syno depuis d'autres adresses IP pour CloudStation, PhotoStation, etc... Mais pour la configuration, là par contre, ce ne sont que quelques IP (la mienne, celle de mes parents, celle de ma copine, celle de mes beaux parents). Passer par un proxy... niveau sécurité, c'est bof bof... comme le VPN si c'est pas un VPN fait par mes soins Mais là, je sais pas faire de serveur VPN fonctionnel... et pour le moment je n'en ressens pas l'utilisé ;-) en tout cas, merci pour ton post ;-) @bientôt (je suis aussi chez HFR)

Ha bah oui c'est sur Mais je ne fait pas d'administration via mon mobile... Au pire, je met l'IP actuelle du téléphone dans le parefeu en tant que règle temporaire. Sinon j'attends d'être sur une connexion fixe pour bricoler mon nas. Le SSH n'est pas nécessaire au bon fonctionnement du NAS, donc tu peux le désactiver. Bon par contre, si tu comptes faire des backups sur un NAS à distance via l'outils de sauvegarde, en suivant ce tuto Sauvegarde Dans Le Nuage Entre 2 Boitiers Synology, le SSH est obligatoire. Quand j'ai activé le SSH en 2014 (quand j'ai suivi ma stratégie de backup sur le NAS que j'ai placé chez mes parents), je n'avais pas paramétré le pare-feu et du coup j'ai eu quelques tentatives de connexion indésirables : Mais comme tu peux le voir, depuis que j'ai fait les règles dont j'ai parlé dans le tuto, plus rien. Malgré l'utilisation du port 22 (avant que je le change). Je ne dis pas que mon NAS est 100% sécurisé, mais j'ai fait tout ce qu'il fallait pour que ce soit le cas : les risques restant ne sont pas du à mes paramétrages, mais plutôt à des failles de sécurité du NAS lui même, ou des applications qui tournent dessus. Ha oui je vois que tu l'es bien sur tes données, mais je ne te jète pas la pierre loin de là J'ai pas tout suivi sur cette faille Synlocker, mais j'avoue qu'elle m'avait fait un peu peur... Mais vu que je filtre énormément d'IP - je n'autorise que des IP française - le reste du monde n'a pas accès à mon NAS. je limite les risques il me semble. Faut savoir faire pour le VPN, ce n'est pas mon cas. Faut aussi paramétrer le client avec lequel tu vas accéder au NAS... Quand je veux accéder à mon NAS depuis ailleurs que chez moi, j'utilise mon compte utilisateur-NET qui a un groooos mot de passe et FileStation. Je n'ai pas besoin de plus (genre un LAN via VPN). Après tout est une question de besoins/choix et du coup aussi restrictions.

1 Mo/s c'est pas mal comme upload. C'est ce que j'ai avec Numericable (10 MBits <=> 1 Mo/s environ). En tout cas, c'est bien meilleur que ce que mes parents ont avec free adsl Sinon pour le SSH, c'est sur que c'est pas terrible... MAIS, si tu fais comme j'ai fait pour le pare-feu, il n'y a pas de risque puisque le pare-feu ne va autoriser que les IP que tu lui aura déclaré à accéder au SSH. Sachant qu'en plus tu peux changer le port SSH. Quand j'ai fait les manips, je n'étais pas chez moi, et comme je n'avais pas redirigé le port modifié dans ma box, j'ai du passer temporairement sur le port par défaut. Et je n'ai eu aucune attaque, grace au pare-feu qui n'autorisait QUE certaines IP dont celle de là où j'étais. Donc je dirais qu'ouvrir le port SSH en permanence c'est certes dangereux, mais avec les règles du pare-feu bien configurées, le risque tombe à 0 (ou presque). J'ai configuré aussi le rejet des IP sur mauvais mot de passe. Désactiver le compte admin permet de ne plus se logue en root sur le SSH, donc tu te blindes un peu niveau sécurité, non ?

Ha oué ? Je pensais pas que ce serait si simple... Merci pour l'info. En ce qui me concerne, j'avais pas vraiment envie de passer sur tous les ordinateurs pour installer le certificat autosigné, et les personnes qui peuvent utiliser mon NAS ne sont pas vraiment capable de le faire... Ils se contente de cliquer sur le lien pour consulter les photos par exemple. Et pour le autosigné, j'ai essayé sur mon ordinateur, mais j'ai eu un problème car j'ai 2 NAS à contrôler, ce qui fait que si je tente d'importer deux certificats autosignés et bien il y a conflit et les deux ne fonctionnent pas en même temps, donc pas possible pour moi. Ma méthode, bien qu'un peu longue, dispense d'installer le certificat sur tous les navigateurs où on passe pour accéder au nas. Et ça, c'est un temps précieux de gagné pour moi Et plus d'alerte de sécurité