MilesTEG1

je vais laisser activé tant que je n'ai pas besoin d'aller en HTTP uniquement. Comme j'accède au NAS toujours en HTTPS... ça devrait aller ;) merci pour l'info.

Ha oui effectivement j'ai activé l'HSTS :) C'est dans le Proxy Inversé sur les deux entrées que j'ai laissée (pour filestation et pour notestation). Il vaut mieux le désactiver ou le laissé activé ? (après je vois pas où ça pourrait avoir été activé) Bon ça y est je m'y colle Je n'ai pas de dossier www. J'ai un partage qui s'appelle "web" sur le volume1. Les seuls dossiers www que je vois sont dans /homes/user1/www ou /homes/user2/www Le fichier contenant le script php doit s'appeler .htaccess ? Cette méthode fonctionne-t-elle sans avoir installé Apache ? Se substitue-t-elle à celle du proxy inversé que j'ai déjà configuré ou bien ça vient en complément ? Et enfin, dans les redirection je peux mettre le http comme cela (dans le cas où la méthode php se substitue au proxy inversé que je devrais supprimer) : case "photos.nas1.ndd.ovh": header("Location: http://localhost/photo/",TRUE,307); break; Ha encore une chose, le code de redirection que tu as mis c'est "307 Temporary Redirect (since HTTP/1.1)". Le code "308 Permanent Redirect" ne serait-il pas plus approprié ? ou le "301 Moved Permanently" ? (j'avoue ne pas trop comprendre la différence...) Merci en tout cas de m'aider dans ma noobitude

Je viens de tester un truc avant de me lancer dans l'installation de webstation et du script php. J'ai essayé : http://nas1.ndd.ovh/ Ça aboutie sans que je fasse quoique ce soit sur https://nas1.ndd.ovh/ Pourtant j'ai bien décoché la case "Rediriger automatiquement les connexions HTTP vers HTTPS...". Pourquoi ça redirige ? Edit : ha bah avec Chrome ça ne le fait pas... ça doit venir de Safari pour je ne sais trop quelle raison...

@Fenrir J'ai une petite question (oui encore ), j'ai mis dans la configuration du VPN l'IP 192.168.2.1. Et lorsque mon mac y est connecté, j'accède au NAS avec 192.168.1.20 (son IP LAN donnée par la LiveBox). Ma question est donc : à quoi correspond exactement l'IP 192.168.2.1 ? Juste le serveur VPN (à distinguer du NAS lui même) ?

c'est l'autocorrection de mon mac qui a changé le mot tout seul et j'ai pas vérifié C'est donc une redirection Les certificats SSL continueront de fonctionner puisque normalement c'est déclaré pour plusieurs domaines (cf. mon 1er post )

C'est prévu ;) merci :p Merci pour les renseignements, je vais aller voir les lien pour comprendre comment elle fonctionne cette fonction leader. C'est de moins en moins facile de se former à de nouvelles notions plus l'âge augmente

Ok merci beaucoup pour ces réponses. L'idéal pour moi serait donc d'installer webstation et de passer pas un script php comme le tiens pour faire ce que je veux. Dans l'exemple de ton script, est-il possible de faire en sorte que si aucune entrée n'est validée, ça retourne une erreur ? Genre : nas1.ndd.ovh -> DSM photos.nas1.ndd.ovh -> PhotoStation notes.nas1.ndd.ovh -> NoteStation files.nas1.ndd.ovh -> FileStation toutes autres entrées -> rien/erreur ? Et tu peux aller sur PhotoStation ?

Merci beaucoup pour cette réponse claire :D Je vais devoir recréer toutes les règles dans la partie "Toutes les interfaces", ce sera plus simple :P j'en profiterais pour faire un peu de ménage hélé ;) merci encore.

@Fenrir : J'ai toutes mes règles du pare-feu dans la partie LAN. Vaut-il mieux que je les déplace dans la partie "Toutes les interfaces" ? Ou bien je peux laisser ainsi ?

J'ai utilisé pendant un temps Quickconnect, mais je ne l'utilise plus depuis plus d'un an maintenant et il est depuis désactivé. Heu, oui mais comment ? Et où mettre le fichier htaccess ??

Ha oui, vu comme ça... Je vais probablement suivre ton conseil et enlever cette redirection DynHost, et aussi désactiver l'accès à distance... (bon par contre, j'ai besoin de l'accès à distance sur la box de ma grand-mère... Bon pour sa box j'ai mis un bon gros mot de passe) Et Ok pour le 443 nécessaire. C'est dommage de devoir le spécifier... Je peux donc désactiver sans soucis les redirections de ports vers les ports des différentes applications, n'est-ce pas ?

C'est à dire ? (pour ce qui est surligneur en gras/rouge) Haaa je viens de comprendre En mettant comme port 443 comme ce qui suit, ça marche !!!! (vive l'application développée avec les pieds ) Je m'étais déjà inspiré de ton tuto sécurité J'avais du y poster un ou deux messages. Tout comme j'ai aussi mis en place une connexion VPN L2TP fonctionnelle, j'ai aussi laissé un message sur ton tuto pour parler des caractères accentués qui posent soucis dans les mots de passe... Pourquoi c'est très dangereux la redirection Livebox ? Pour FileStation, j'avais pas refait la capture mais j'ai changé/ maintenant j'ai ça : Du coup si je suis ce que tu as dit dans ton tuto, et ce que je commence à comprendre de ce que tu as dit ici, je peux laisser fermé les ports HTTPS que j'ai ouvert dans la box pour les applications, et ça fonctionnera encore bien ;) Je n'ai pas ouvert les ports HTTP sauf le 80. En tout cas merci pour votre aide

Arf, non. Je n'ai qu'un DS214play... donc pas de Docker pour moi Ok pour HAproxy non fonctionnel... Faut que je relise le tuto sur nginx, mais c'est pas gagné Je crois que mon cerveau a atteint sa capacité maximale à comprendre cet aspect du réseau Sinon, le files.nas1.ndd.ovh fonctionne bien depuis un navigateur, mais ça ne veut pas fonctionner avec l'application DSFiles sur mon smartphone (iOS). Il faut que je spécifie le port de FileStation comme cela : Une idée du pourquoi ça ne veut pas prendre seulement le files.nas1.ndd.ovh ? (j'ai spécifié un port pour le HTTP dans le portail des applications).

Ha mince, j'avais mal lu en effet J'ai supprimé les infos rentré dans PhotoStation vu que je ne compte pas partager les photos sur FB et compagnie. J'ai désactivé aussi la redirection HTTP -> HTTPS dans DSM et aussi dans PhotoStation. Et effectivement d'une part ça semble aller plus vite au chargement et surtout le lien https://photos.nas1.ndd.ovh/photo/ fonctionne hourra :D Je suis allé voir le toto de CoolRaoul. Ça me semble un peu complexe pour moi... J'ai trouvé un autre tuto sur HAProxy, et ça me semble plus simple pour moi à mettre en place. Après lecture totale, c'est pas si simple Et pas sur que je puisse faire ce que je veux avec... C'est compliqué ces trucs \o/ En tout cas merci de votre aide :)

Justement, je ne sais pas s'il est bien paramétré le reverse proxy Avec https://photos.nas1.ndd.ovh/photo/ j'abouti à une erreur : 502 Bad Gateway nginx J'ai essayé avec https://nas1.ndd.ovh/photo/ et j'arrive en effet sur PhotoStation sans entrer de port en particulier. Avec https://livebox.nas1.ndd.ovh/photo/ j'ai une erreur Safari , qui dit que "Safari ne parvient pas à ouvrir la page" avec le favicon d'orange. Avec https://files.nas1.ndd.ovh/photo/ j'ai une erreur avec le logo Synology qui dit que la page est introuvable. Pour le https://notes.nas1.ndd.ovh/photo/ comme j'ai créé le DynHost ce matin, faut attendre 24h pour qu'il soit actif, donc je sais pas... Du coup, il y a quelque chose que j'ai pas fait correctement dans le Proxy Inversé... Et sinon, comment faire pour avoir PhotoStation via https://photos.nas1.ndd.ovh/ uniquement ? Faut bricoler quel fichier de configuration si c'est faisable ? Ça saute au reboot/maj de DSM ?

Bonjour, Voilà, je m'essaie au Proxy Inversé pour les différents services que j'utilise sur mon NAS. Et je n'arrive pas à paramétré comme il faut le tout pour PhotoStation. Mon objectif est de pouvoir accéder à PhotoStation sans devoir taper l'adresse complète avec le port et le /photo/. J'ai un nom de domaine chez OVH, que j'appellerais ndd.ovh. J'ai créé des DynHost pour chaque service que je veux utiliser, avec un primaire qui est le DDNS paramétré dans mon DS214play. Voilà ce que j'ai : nas1.ndd.ovh (le DDNS primaire, configuré avec l'identifiant OVH avec un * pour les noms de domaines mis à jour avec cet identifiant). photos.nas1.ndd.ovh (pour PhotoStation) notes.nas1.ndd.ovh (pour NoteStation) files.nas1.ndd.ovh (pour FileStation) livebox.nas1.ndd.ovh (pour la LiveBox) Chacun de ces DynHost pointe bien sur la bonne IP de ma connexion internet. Je n'ai pas encore pu voir si un changement d'IP était bien répercuté sur tous ces DynHost. Mais ça devrait le faire . J'ai également un certificat Let's Encrypt qui a été créé avec tous ces DynHost en "Autre nom de l'objet" afin qu'ils soient tous avec le certificat sans causer d'alertes dans les navigateurs. J'ai modifié les ports de connexion de DSM, et aux autres services (je vais utiliser des valeurs différentes des miennes dans ce topic) : DSM HTTP = 9000 DSM HTTPS = 9001 NoteStation HTTPS = 9010 FileStation HTTPS = 9020 J'ai configuré comme suit PhotoStation : Dans la LiveBox, j'ai bien créé les redirections de ports pour tout ça, avec en prime la redirection du port 80 et du 443 vers le NAS. Voilà ce que j'ai mis dans la partie Proxy Inversé du Panneau de configuration de DSM et qui permet d'utiliser avec succès FileStation/NoteStation/Livebox : Ces trois accès fonctionnent bien. Légende : en bleu ce qui fonctionne bien, en rouge ce qui ne fonctionne pas... Pour accéder à DSM, j'utilise nas1.ndd.ovh:9001. Si j'utilise cette adresse sans préciser le port (nas1.ndd.ovh) j'accède aussi à DSM et l'adresse dans la barre du navigateur change pour nas1.ndd.ovh:9001. Maintenant, voilà ce que j'ai essayer de mettre pour photostation : Mais quoi que j'essaye, ça ne veut pas fonctionner. Avec la configuration ci-dessus, j'ai cette erreur lorsque je tape l'adresse photos.nas1.ndd.ovh : Si je veux quand même accéder à PhotoStation, je dois taper cette adresse : https://nas1.ndd.ovh:9051/photo/ Je voudrais accéder à PhotoStation en tapant l'adresse : https://photos.nas1.ndd.ovh/ Voilà voilà, je ne sais plus quoi faire. J'aurais donc besoin de votre aide Que dois-je faire pour que ça fonctionne comme je le veux ? Si c'est possible bien sur... Merci d'avance Miles

Hello. Merci pour le tuto Ça fonctionne très bien depuis iOS11 et aussi macOS Sierra. Par contre, pour Sierra, il y a un petit soucis si le mot de passe du compte contient une lettre accentuée (et peut être certains caractères spéciaux)... La connexion est impossible : Je précise que je copiais collais depuis KeePass mes mots de passe, donc pas d'erreur de saisie ;) J'ai essayé d'autres compte sur le NAS, et ça faisait pareil lorsqu'il y avait des caractères accentués et/ou des caractères spéciaux. Un des caractères suivant causait le même soucis que la lettre accentuée "^~<(){} Je n'ai pas poussé l'investigation plus loin sur quel était le caractère en cause... J'ai donc créé un utilisateur dédié au VPN avec un long mot de passe avec chiffres/lettre (min/MAJ) et un caractère &. Sinon le mot de passe qui ne fonctionnait pas sur macOS fonctionne très bien avec iOS J'ai pas compris sur le coup car j'ai commencé avec iOS... donc ça fonctionnait bien, sauf avec Sierra. Voilà pour ma petite pierre... Faudrait voir quel caractère empêche la connexion @+ Miles

Je viens d'essayer depuis le NAS chez mes parents qui sont chez free. Et effectivement, le centre de paquet ne veut pas afficher la liste des paquets non installés, j'ai ce message : Mais il plante pas.

Tu as vérifié les permissions sur les partages qui ont disparus ? La migration de mon nas semble s'être bien passée, je n'ai pas de partages qui ont disparus... Ni sur celui de mes parents.

Je sais que l'image d'installation est disponible pour mon nas, mais comme je suis à distance, avec un upload famélique, j'ai pas envie d'envoyer à la main le fichier de mise à jour...

Hello, en ce qui me concerne, sur mon DS2124play j'ai lancé le téléchargement de la MAJ 6.1 sur mon NAS ce matin mais sans l'installer (car j'avais un backup en cours à ce moment là). Mais maintenant je n'ai plus l'option de l'installer, et DSM me dit qu'il est à jour en 6.0.2... (J'ai un DS214play). Comment ça se fait ? Et comment retrouver la possibilité de le mettre à jour ? (sans devoir télécharger le fichier et l'envoyer car je suis à distance, et avec un ADSL famélique en upload...)

Haaa, je me rappelle bien avoir lu que tu utilisais un compte spécial pour la sauvegarde, je fais pareil, mais j'avais zapé le fait qu'il avait les droits d'admin :D Bon et bien je vais devoir regarder dans ce sens ma configuration :D J'espère que ce compte de sauvegarde une fois mis en admin, il pourra voir les tâches actuelles :p Merci bien :)

Hello, Merci pour ce tuto super bien expliqué. Tout est clair :) J'ai commencé à revoir ma stratégie de connexion sur le NAS pour augmenter la sécurité. Je me suis donc grandement inspiré de ce que tu as fait ici. J'ai donc mis la double authentification sur mon compte admin et mon compte perso. J'ai viré toutes les permissions sur les partages du compte admin, pour les laisser que sur le compte perso. Tout semblait bien fonctionner hier :) et encore ce matin. Sauf les sauvegardes HyperBackup ! Toutes les tâches de sauvegardes locales (d'un disque sur un autre) avec le système Synology ne peuvent plus se lancer... Un exemple d'échec de cette nuit : Par contre si je remet l'autorisation de lecture/écriture sur le partage /Backup-Syno/ pour monAdmin, alors la tâche de sauvegarde peut se lancer sans problèmes. Il y a donc une réelle limitation à la stratégie de n'accorder aucun accès aux données de l'administrateur... Les tâches de backup locale ne peuvent plus fonctionner. Par contre, celles sur un NAS distant ou sur Amazon Drive (je n'utilise que ces deux) fonctionnent bien elles... J'ai bien regardé si je pouvais pas faire mes tâches avec l'utilisateur normal, mais il n'a pas accès à Hyperbackup. monAdmin a bien les permissions sur les applications rsync et hyberbackupvault (bon lui sert à rien dans ce contexte ) Est-ce que j'ai mal fait quelque chose ou bien est-ce un comportement normal ? edit : je vois une autre limitation, c'est via file station, un utilisateur normal ne peut pas monter un dossier distant... (via SFTP ou autre). Il n'y a aucune option pour le faire. Merci d'avance Miles

Haa :D Cool que tu aies trouvé d'où vient le soucis. j'allais te dire que le port 80 devais obligatoirement être ouvert. Ou transférer via la routeur.

Bien vu :) Merci pour ceux qui voudrait utiliser StartSSL :) Perso je reste avec Let's Encrypt :p Ha donc StartSSL c'est à fuir , c'est ça ?