oracle7

@Ragnarou Bonjour, Dans le pare-feu de la Box : sûrement pas mais dans celui du NAS : OUI. Dans la Box les ports 80 et 443 doivent simplement être transférés (NAT/PAT) vers le NAS. Rien de plus. Pour DSFile depuis l'extérieur, il faut impérativement préciser le port 443 dans l'URL de connexion. C'est aussi valable pour toutes les appli DSx. En local c'est étonnant, vérifie ton reverse proxy à tout hazare ... Cordialement oracle7😉

@Ragnarou Pour mémoire le reverse proxy "écoute" en permanence le port 443, donc si ce port n'est pas redirigé, il n'entend rien ! J'en ai fait l'amère expérience il y a peu de temps. En fait pour que les liens DSFile fonctionnent, il ne faut pas modifier les ports par défaut de DSM. Ils doivent rester 5000 et 5001. C'est bizarre je te l'accorde mais c'est comme cela. De toutes façons, changer les ports par défaut ne sert pas à grand chose du point de vu sécurité. Cela ne fait que retarder d'une seconde un scan malveillant (dix cit @Fenrir dans son tuto de sécurisation du NAS). De plus lors d'un scan de port, c'est la réponse d'une application derrière ce port qui importe et détermine le comportement du malveillant quelque soit le port. Cordialement oracle7😉

@Ragnarou Bonjour, Bienvenue à toi sur ce forum. Tu verras c'est une mine d'informations qui te permettront de satisfaire tes besoins ... Cordialement oracle7😉

@Alexw59 Bonjour, PERDU ! Ce n'est pas ce fichier "Readme.txt" qu'il te faut modifier MAIS le fichier de configuration OpenVPN : "VPNConfig.ovpn". Le fichier "Readme.txt" n'est qu'un exemple... Cordialement oracle7😉

@dric67 Bonjour, @Kramlech a raison il te faut choisir Sauvegarde ou Copie. Si c'est seulement une copie que tu veux faire, un logiciel comme Syncback par ex fera l'affaire. Cordialement oracle7😉

@mourad068 Bonjour, Effectivement dans ce cas, @Pascalou59 a raison, il te faut faire débloquer ta box avec une full Stack. Seulement à partir de là tu pourras donc rediriger tes ports 80 et 443 vers le NAS. Ensuite, tu pourras reprendre les TUTOs suscités qui te guideront. Cordialement oracle7😉

@mourad068 Bonjour, Je t'invites pour commencer à lire et appliquer le TUTO sur la sécurisation de ton NAS ici. C'est important de partir sur des bases saines en termes de sécurité. Tu y verras notamment qu'il n'est pas du tout recommandé de configurer la partie routeur du NAS ce que malheureusement tu as fait (dans accès externe). Avant de rediriger des ports, il serait préférable de configurer ta box avec ses valeurs par défauts. Quand tout fonctionnera bien, alors il sera temps de faire des redirections si besoin. Saches tout de même que du point vue sécurité, rediriger les ports n'apporte rien de plus sinon à retarder d'une minute tout au plus un éventuel scan malveillant. Il est de loin préférable d'utiliser le reverse proxy à partir du port sécurisé 443 pour accéder aux applications/services du NAS sur leur port standard (voir le TUTO correspondant ici). Pour l'accès par l'extérieur, il te faut dans un premier temps seulement transférer les ports 80 et 443 dans ta box vers le NAS et ouvrir ces mêmes ports dans le pare-feu du NAS. Je te recommandes aussi de lire et suivre ce TUTO pour bien débuter même si tu penses avoir tout bien fait lors de ton installation initiale. Cordialement oracle7😉

@Fanny Mae Bonjour, Il n'y a pas d'urgence à activer cela. Tu pourras toujours le faire plus tard si besoin. A priori non (même si tu as masqué les sous-domaines) si c'est la configuration de base et que tu n'as rien modifié. Vérifie que l'enregistrement "A" pointe bien sur ton @IP externe (tonDomaine.tld. 0 A 10.20.30.40). Par ailleurs, tous les éléments nécessaires à l'hébergement Web et au serveur mail sont en place par défaut. Laisses les, ce n'est pas gênant comme cela plus tard ils seront déjà là et donc pas de risque d'en oublier pour le cas où tu activerais ces services. D'ores et déjà tu peux ajouter à la zone DNS deux enregistrements CNAME pour par ex les sous-domaines suivants : fichiers.tonDomaine.tld et nomdunas.tonDomaine.tld pui pointeront sur "tonDomaine.tld". Ainsi tu pourras les utiliser pour configurer le reverse proxy du NAS et accéder respectivement à FileStation et à DSM (voir TUTO) en tapant ces sous domaines plutôt que "@IPduNAS:portduservice". Si tu crées un certificat wilcard LetsEncript pour ton domaine "tonDomaine.tld" (voir TUTO), il faudra aussi ajouter un CNAME "*.tonDomaine.tld" pointant sur ton domaine "tonDomaine.tld". Ces mêmes CNAME seront aussi à créer dans la zone DNS de ton serveur DNS local sur le NAS lorsque tu installeras celui-ci. PS : Ne va pas trop vite avec zonemaster. Il te faut attendre que ton domaine soit diffusé sur tous les serveurs DNS du monde. Il faut environ 24H00 pour cela. Donc patience et refait le test plus tard pour l'instant cela ne veut rien dire. Tu peux aussi suivre le déploiement sur https://www.whatsmydns.net/ . Cordialement oracle7😉

@Fanny Mae Désolé mais il manque un 255 : il faut 192.168.1.0/255.255.255.0 Cordialement oracle7😉

@Fanny Mae Bonjour, Tout simplement parce que en mettant "France" tu n'autorises que les @IP de sites situés en France. TOUT le reste du monde est lui bloqué dont notamment les serveurs Google, ce serait dommage, non ? Es-tu sûre dans ton pare-feu de vouloir autoriser toutes les @IP 192.168.0.0, si tu n'utilises pas toute la plage d'@IP locales en 192.168.x.x (l'ex du TUTO voit large ...) il me semble que cela serait suffisant (et plus restrictif) que de n'autoriser que celles de ton réseau local soit 192.168.1.0/255.255.255.0 ? Mais c'est toi qui voit ... Idem plus tard avec un VPN tu pourras limiter les plages pour OpenVPN aux @IP 10.8.0.0 et/ou pour L2TP/IPSEC aux @IP 10.2.0.0. @PiwiLAbruti En lisant ton propos, j'ai voulu vérifier que cela fonctionnait bien chez moi comme je n'utilise quasiment jamais ce type de connexion. C'est juste par curiosité. Tout est OK depuis l'extérieur (smartphone en 4G) mais connexion d'une lenteur pas possible. Ton avis avis ? Problème de serveurs Synology encombrés ? Cordialement oracle7😉

@Fanny Mae Bonjour, C'est bien tu avances doucement. Attention à ne pas confondre ce qui se passe au niveau du routeur pour les ports avec leur ouverture dans le pare-feu du NAS. Au niveau du routeur : il te faut transférer les ports 80 et 443 vers le NAS pour que (de façon simpliste) les flux "passent". Tu peux éventuellement limiter leur destination à l'@IP de ton NAS mais dans un premier temps attends pour faire cela que ton serveur DNS sur le NAS soit en place et fonctionnel. Au niveau du NAS : il te faut ouvrir ces mêmes ports 80 et 443 avec une source "Tous". Tu pourrais limiter à la France dans un premier temps mais dans ce cas cela va certainement rapidement coincer avec les sites du style Google qui sont hors France. Pour la compréhension, pas la peine de masquer tes @IP locales dans tes copies d'écran : il n'y a aucun risque car elles ne sont pas de toutes façons accessibles de l'extérieur. Masque uniquement ton @IP externe (Box/routeur) et ton nom de domaine. A ce stade, il est normal que tu récupère des alertes de sécurité lorsque tu te connectes avec des "http://<adresse ip figée NAS>:port" ou "https://<adresse ip figée NAS>:port" car ton certificat synology par défaut n'est pas défini pour cette <adresse ip figée NAS>". Comme dit @PiwiLAbruti, il te faudra attendre la mise en place du reverse proxy pour pouvoir accéder en tapant simplement des "https://xxxxx.tonDomaine.tld". Mais chaque chose en son temps ... Prochaines étapes : prendre et configurer un nom de domaine "tonDomaine.tld" puis générer un certificat wilcard LetsEncript pour ce domaine. PS : Au fait, même si tu as un routeur Netgear, je t'invites quand même à lire ce TUTO sur le paramétrage et la sécurisation du routeur Synology. @unPixel fourni un certain nombre de recommandations importantes en termes de sécurité qui sont à mon sens facilement transposables à ton routeur Netgear. A toi juste de trouver les options correspondantes. A+ Cordialement oracle7😉

Bonjour, @alan.dub @Jeff777 @.Shad. @CyberFr @GrOoT64 @PPJP @_Megalegomane_ @TuringFan @zerda @oudin @vincentbls @Einsteinium @kerod @Jz84 @jo.p @Pinpon_112 @Audio @bruno78 @Franck Binouse Pour vous informer qu'une évolution a été apportée au TUTO. § 6 : Évolution du script Python pour être aussi compatible de la dernière et actuelle version du langage Python : version 3.x.x § 10 : Mise à jour du texte d’aide associé à l’option « -h ». Suppression des fichiers de trace « cleanlog » et « cleanlogerr » qui n’apportaient rien de plus à la trace existante. Remaniement du fichier de trace pour que soit généré un nouveau fichier à chaque exécution du script. On dispose ainsi d’un historique « tournant » basé sur 9 fichiers : « acme_renew_python.log.1 » à « acme_renew_python.log.9 ». Le fichier à l’indice « 1 » étant toujours le dernier donc le plus récent. Nouvelle version v1.44 du script Python (à remplacer simplement dans le répertoire « /volume1/Scripts »). Cordialement oracle7😉

@Fanny Mae Bonjour, Pas de soucis du coup c'est bon ! Cordialement oracle7😉

@Fanny Mae Bonjour, Bon on va dépatouiller tout cela ... Le serveur DHCP de la Box doit être désactivé. Le serveur DHCP doit être activé sur le routeur, donc il te faut activer cette option sur le routeur (cà c'est fait !) Sur le routeur : dans "Adresse IP de début" tu mets : 192.168.1.151 Dans "Adresse IP de fin" tu mets : 192.168.1.254 Ainsi la zone 2 à 150 est "réservée pour les @IP fixes que tu attribueras à tes équipements. Tous les autres équipements qui se connecteront ensuite se verront attribués une @IP dans la plage 151 à 254. Du coup le serveur DHCP ne réattribuera jamais une @IP de la plage 2 à 150. Maintenant, pour illustrer mon propos j'avais "coupé" la plage d'adressage du DHCP en Deux pour faire "simple" (Donc à 150) ce qui effectivement te laisse une marge assez grande entre 2 et 150 pour définir des @IP "fixes". Si tu trouves que c'est trop tu peux la réduire par ex à 50. A toi de voir en fonction du nombre d'équipements qui auront besoin d'une @IP fixe. REstes tout de même large pour prévoir l'avenir ... Donc maintenant tu peux définir si tu le souhaites des @IP contigües à tes équipements ou répartir ces derniers dans la plage 2 à 150. Perso, ils sont "rangés" selon les dizaines en fonction de leur types (10, 11 , ... pour les NAS, 20, 21, ... pour les switch, 30, 31, ...pour les imprimantes, 40, 41, ... pour les Caméras, Etc .) C'est toi qui voit ... Ce comportement est normal dans la mesure où tes équipements ont gardé en mémoire l'@IP qui leur à été attribuée lors de leur connexion initiale au réseau (ie antérieure à tes modifications). Donc avoir rebooté le routeur et la Box était une bonne chose mais insuffisant. Il fallait aussi déconnecter chaque périphérique pour qu'ensuite (attendre par sûreté 30sec) les reconnecter chacun leur tour. Ainsi ils récupèrent la nouvelle @IP fixe que du tu leur as donné dans le routeur (pour ceux à qui tu as définis une @IP fixe, les autres récupèrent alors une @IP dans la plage 151 à 254. Bien évidemment chacun de tes équipements est aussi configuré individuellement pour obtenir automatiquement leur @IP via le DHCP. Ne pas leur fixer/forcer d'@IP en local, si non cela annule l'effet du DHCP. Excuses moi, j'ai résonné par erreur en pensant à ma LiveBox. Donc, oublies ce propos lié à la DMZ et reste en "bridge". @PiwiLAbruti a raison. Tu n'as que les ports 80 et 443 à transférer dans un premier temps sur le routeur vers le NAS ce que tu as bien fait. Au passage, je vois que tu as déjà transférés les ports (500, 1194, 1701 & 4500) liés au serveur VPN (OpenVPN et L2TP/IPSEC), c'est peut-être prématuré ... Et en plus pour le port 1701 il ne faut surtout pas l'exposer ! Je suis juste étonné de l'intitulé des services en face des ports 5000 et 5001. Mais bon ... Saches aussi, que cela n'apporte rien de plus en terme de sécurité que de redéfinir les ports standards du NAS (5000 et 5001). Tout au mieux tu ne retardes que d'une minute un éventuel scan mal attentionné et que cela complique ensuite la gestion courante car il faut bien avoir mémorisé des éventuels nouveaux ports. Par ailleurs, j'ai constaté à mes dépends que cela bloque le partage par liens de fichiers via FileStation ( les liens sont mauvais). Cordialement oracle7😉

@PiwiLAbruti Bonjour, Merci de ta réponse. Comme cela c'est clair. Cordialement oracle7😉

@PiwiLAbruti Bonjour, Juste pour m'assurer que j'ai bien compris ton propos, en clair ta précision concerne uniquement ceux qui ont installé aussi une zone public pour leur serveur DNS sur leur NAS . C'est bien cela ? Car dans le cas de la méthode de génération proposée ici, cet échange entre avec les serveurs LetsEncrypt semble "transparent" pour l'utilisateur. Je présume (sous réserve de me tromper) qu'il se passe directement entre les serveurs d'OVH (du registar si autre) et ceux de LetsEncrypt. Pour ma part, je n'ai jamais eu besoin d'autoriser ces @IP dans le pare-feu. Vu du Log (voir l'ex de log dans le TUTO), on ne fait qu'écrire dans la zone DNS du domaine.tld chez OVH les fameux enregistrements TXT nécessaires à la vérification et ceux-ci en sont ensuite supprimés à l'issue. Au passage, à ma connaissance @Jeff777 fait parti de la minorité dont tu parles et je pense qu'il serait intéressé de ton retour d'expérience afin de savoir comment tu procèdes pour générer le certificat LetsEncrypt dans ce cas précis. Cordialemement oracle7😉

@Dacta Bonjour, Bien vu et Merci. C'est corrigé. Cordialement oracle7😉

@Pkoipas Bonjour et bienvenue à toi sur ce forum. Tu verras c'est une mine d'informations ... 😉 Cordialement oracle7😉

@Pkoipas Bonjour, Rassures-toi il n' y a aucun soucis de sécurité. Tu as simplement établi un tunnel sécurisé entre ton NAS (@IP 10.x.x.x) et ton iPhone (tu traverses ta Box en quelque sorte). Il est donc normal que celui-ci conserve son @IP externe. PS astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@Fanny Mae Bonjour, Penses aussi à cocher la case "Activer le serveur réseau UPS" et renseigner ensuite dans "Périphériques DiskStation autorisés" l'@IP de ton NAS. Cordialement oracle7😉

@Fanny Mae Bonjour, Bravo, enfin quelqu'un qui dit ce qu'il a fait, c'est à mon sens très bien. Pas de jeu de piste à faire pour indiquer une solution. 😀 Figer une @IP fixe (bail DHCP) pour le le NAS : OUI c'est même "impératif" pour les raisons invoquées par @DaffY précédemment. Maintenant, je te conseillerais de fixer la plage d'@IP du DHCP à par ex : 2 à 150. De cette façon tous tes équipements (NAS, Caméras, Imprimante, etc) qui auront besoin d'une @IP fixe auront via le routeur (pas la box !) un bail DHCP (une @IP fixe) dans cette plage. Tous les autres équipements (nomades, invités, etc) se verront eux attribués automatiquement par le DHCP du routeur une @IP dans la plage 151 à 254. Je ne connais pas la box Free mais il y a de fortes chances pour qu'il faille maintenir son DHCP actif pour le cas où tu aurais un décodeur TV connecté à celle-ci (c'est le cas avec les box Orange). A te faire confirmer ! OUI. Il n'y a que les ports 80 et 443 à transférer (NAT/PAT) de la Box vers le routeur. En gros la Box en est DMZ/Bridge (ie transparente aux flux) et c'est le routeur qui doit faire tout le travail de sécurisation à sa place. Tu auras par exemple un réseau du style : Internet -------- 1.2.3.4 BOX 192.168.1.1 --------- 192.168.1.2 ROUTEUR 192.168.2.1 ----------Switch------------192.168.2.x Périphériques ( NAS, Caméras, Imprimantes, PC/Mac, etc) Laisse tomber pour l'instant le serveur VPN, attends que tous le reste fonctionne parfaitement avant de te lancer dans ce truc. Donc : Prendre un domaine et le configurer : si tu as une @IP externe dynamique alors fixer le DynDNS/DDNS pour qu'à chaque changement de celle-ci ton domaine soit automatiquement mis à jour et pointe toujours sur celle-ci - dans ce cas il faut saisir une étoile "*" dans les champs "sous-domaine" lors de la configuration du DynDNS). Vu que tu es sur Free tu peux aussi demander via l'interface de la box d'avoir une @IP "full stack" donc une @IP fixe ce qui est nettement mieux pour la suite (dans ce cas, pas de DynDNS/DDNS à configurer). Configurer la zone DNS de ton domaine "ndd.tld" en réglant correctement un enregistrement "A" pointant sur ton @IPfixe et un enregistrement "CNAME" pour chacun de tes sous domaines "xxxxx.ndd.tld" pointant vers ton domaine "ndd.tld". (si tu as une @IP dynamique : pas d'enregistrement "A" à configurer mais juste un "CNAME" pour ton domaine "ndd.tld" pointant vers ton DynDNS). Configurer le serveur DNS sur le NAS. Obtenir un certificat wilcard LetsEncrypt pour ton domaine "ndd.tld". (voir mon TUTO) Configurer le reverse proxy pour accéder avec des simples "xxxxx.ndd.tld" à tes applications/services du NAS. Déjà quand tout cela sera en place ce sera déjà pas mal. Tu auras bien avancé. Je ne te cache pas que cela va te faire faire beaucoup de manipulations mais avec un minimum de méthode et surtout d'attention tu devrais y arriver sans problèmes. Sinon tu connais le truc de poser ici les question qui vont bien ... Sous Linux je ne sais pas mais sous Windows c'est normal : Dans un premier cas, c'est le "Périphérique médias NAS" (client DLNA) qui te répond, et il ne voit que les trois répertoire DLNA standard (music, video et photo)... Dans le deuxième cas, c'est "l'ordinateur NAS" qui répond, et tu vois tes répertoires partagés. Bon courage. Cordialement oracle7😉

@.Shad. Bonjour, Tu avoueras que l'explication de @CoolRaoul n'est pas complète et ne prends qu'un aspect du processus. En plus, plus trop d'actualité vis à vis du multiplexage des applications dans le tunnel. Non ? Personnellement, je préfère m'en tenir à la "White Paper" de Synology qui explique, elle, parfaitement le fonctionnement de Quickconnect. Cordialement oracle7😉

@Fanny Mae Bonjour, @PiwiLAbruti a raison, réfléchi bien à ton besoin avant de te lancer dans une quelconque configuration. Il y a tellement de variantes possibles ... Sinon une astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@Pkoipas Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Voici un TUTO dont tu devrais pouvoir t'inspirer en adaptant la partie routeur à ton matériel. Certes c'est basé sur un routeur Synology mais ton routeur ASUS doit avoir des fonctionnalités assez proches, donc facilement transposables. Lis le bien pour bien comprendre la démarche suivie. Cordialement oracle7😉

@Pandore62 Bonjour, Tout simplement parce que le reverse proxy "écoute" en permanence le port 443. Il redirige en suite vers l'application voulue sur son port dédié (par ex : FileStation via localhost sur le port 7000 ou DSM via localhost sur le port 5000). Maintenant par sécurité saches que l'on ouvre jamais les ports 5000 et 5001 de DSM vers l'extérieur. Donc c'est une mauvaise idée que tu as eu de le faire pour le 5001 ... Cordialement oracle7😉