Aller au contenu

oracle7

Membres
  • Compteur de contenus

    5559
  • Inscription

  • Dernière visite

  • Jours gagnés

    80

Tout ce qui a été posté par oracle7

  1. @prochak Bonjour, Tu peux reformuler ta question STP ? car là je ne te comprend pas, désolé ... Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉
  2. @prochak Bonjour, Bah voilà qui est bien mieux pour le pare-feu du NAS 🤗 Dans le parefeu, tu peux aussi réduire le nombre de machines autorisées sur ton réseau local en mettant : le sous-réseau 192.168.1.0 / 255.255.255.0. cela limitera à 255 machines plutôt que les 65534 machines qu'autorise sous-réseau 192.168.0.0 / 255.255.0.0. A moins que tu n'en utlises plus de 255, mais je doute ...🤪 Dans le reverse Proxy pour tes règles, essaies plutôt de mettre "localhost" dans Destination à la place de 192.168.1.13 même si normalement c'est pareil (du moins si cette @IP est bien celle du NAS). Sinon as-tu bien créé (via FileStation) le fichier .htaccess dans le dossier partagé "web" (cf TUTO Reverse Proxy) ? Et changé le serveur Web ? Si non, il faut aussi dans Portail de services Web > Modifier serveur par défaut remplacer Nginx par Apache HTTP Server 2.4. Enfin dans ta dernière copie d'écran par sécurité masques ton domaine. Cordialement oracle7😉
  3. @Mux1973b Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit, rassures-toi il n'est pas trop tard pour bien faire ... Non a priori rien à faire en ligne de commandes, par contre pour le Pare-feu du NAS, à mon humble avis tu serais bien avisé de lire et suivre ce TUTO : Sécuriser les accès à son NAS et ensuite d'ouvrir/autoriser dans celui-ci le port standard 1194 d'OpenVPN. As-tu bien aussi exporté depuis VPN Serveur et rechargé le fichier de configuration "xxxxx.ovpn" sur ton client de connexion ? Déjà les logs de ton client de connexion devraient être "bavards". Cordialement oracle7😉
  4. @prochak Bonjour, Laisses tomber HSTS, Je te le recommande pas pour l'instant, tu y reviendras plus tard quand tu auras de meilleures connaissances. Sinon un peu de lecture sur le sujet. Pour les redirections nas.ndd.fr et tv.ndd.fr il faut que pour chacune tu créée une règle en renseignant ce type écran : EDIT : @Jeff777 a raison : attention, c'est trompeur dans le reverse proxy certains champs sont apparemment déjà renseignés, mais il n'en est rien, il faut quand même les renseigner sinon rien n'est pris en compte ! Ahreee Grillé par @Jeff777, Pour le pare-feu du NAS, tu es loin du compte, je te renvoie au TUTO : Sécuriser les accès à son NAS pour de plus amples explications. AU final tu devrais avoir au moins ceci : Avec en plus une règle qui autorise les ports 500 et 5001 pour toutes les sources. Oui tu a du te tromper en saisant les applications/services sur la Livebox en selectionnant dans le popup, sinon tu sélectionne "Nouveau" et tu saisi directement à la main des bon intitulés, voilà ce qu'il faut mettre : Bien évidemment pour "SynologyRouter" tu mets ton NAS à la place. Cordialement oracle7😉
  5. @faluorn Bonjour, Tu n'aurais pas mis à jour l'image d'influxDB par hasard ? Si tu est passé en v2.x de l'image alors c'est normal que tu ais des erreurs. Il faut bien rester en v1.8.x. Cordialement oracle7😉
  6. @CyberFr Bonjour, Ne le prends pas mal, c'est juste de la badinerie amicale ...😜 Cordialement oracle7😉
  7. @prochak Bonjour, Quand on parle d'@IP FIXE ou Dynamique cela sous-entend ton @IP externe (celle de la box/routeur) qui dépend e ton contrat avec ton FAI. Maintenant une @IP locale (par ex en 192.168.1.x) peut être aussi dynamique si le périphérique quelle supporte est configuré en DHCP automatique, tout comme elle peut être aussi fixe si dans le DHCP du routeur tu as défini un bail statique pour cette @IP (par ex 192.168.1.10) qui supporte le périphérique en question. On fait souvent cela pour les périphériques importants afin de les retrouver facilement sur le réseau mais surtout pour que leur @IP ne change pas à chaque démarrage. Non c'est instantané. Dans ce cas il te faut configurer le Reverse proxy sur le NAS (voir TUTO : Reverse Proxy) et créer deux redirections : redirection 1 --> source HTTPS nas.ndd.fr port 443 (HTTP/2 coché) vers destination HTTP localhost port 5000 redirection 2 --> source HTTPS tv.ndd.fr port 443 (HTTP/2 coché) vers destination HTTP localhost port XXXX (i.e. le port de emby/vidéostation) Normalement non mais c'était juste pour le test. Cette appellation sous entend tous les sous-domaines (uniquement de niveau N-1) du domaine ndd.fr et cela se note " *.ndd.fr ". Au passage, tu l'as déjà défini dans ta zone DNS chez OVH par l'enregistrement CNAME correspondant. Du coup avec ce wilcard tu n'as pas besoin de définir d'enregistrement CNAME supplémentaire par et pour chaque sous-domaine que tu ajoutes ou utilises. Ce sera donc directement OK pour tes sous-domaine nas.ndd.fr et tv.ndd.fr qui pointenont bien sur ton @IP externe donc ta box et indirectement vers ton NAS. Cordialement oracle7😉
  8. oracle7

    Présentation Fonzie73

    @Fonzie73 Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. Cordialement oracle7😉
  9. @CyberFr Bonjour, Je crains que tu ne mélanges les choses. Le renouvellement de certificat LE ne passe pas par un navigateur Web donc pas d'interférence avec le HSTS qui oblige à utiliser des URL en HTTPS. Pour le renouvellement du certificat LE, il te suffit juste que les ports 80 et 443 soient transférés (NAT) de la box vers le NAS et qu'ils soient ouverts/autorisés dans le par-feu du NAS. Ni plus ni moins. Attention à ne pas limiter géographiquement ces ports à la France car les serveurs LE sont aux USA ! Cordialement oracle7😉
  10. @prochak Bonjour, Ce n'est pas suffisant, comme ton @IPexterne est dynamique, il te faut aussi supprimer dans ta zone DNS chez OVH l'enregistrement "A" ndd.fr qui pointe sur 86.xx..... car il est inutile dans ce cas. Par contre il te faut définir un DynHost toujours chez OVH pour ton domaine. Pour cela tu peux suivre ce TUTO. Attention à l'étape 3 il ne faut pas mettre d' " * " commme préconisé mais laisser vide le champ "sous-domaine" (de toutes façons il n'est pas obligatoire). Ensuite sur le NAS (Accés externe > DDNS) tu définis un DDNS avec les infos du DynHost et ainsi ton domaine pointera toujours sur ton @IPexterne même si elle change. De plus tous les sous-domaines que tu auras à créer ou utiliser seront du type xxxxx.ndd.fr et comme tu as déjà créé un wilcard *.nnd.fr pour ton domaine, ils seront accessibles. Vérfies que tout marche bien : en tapant un " nslookup ndd.fr 8.8.8.8 " dans une fenêtre de CMD Windows en mode admin. Cela doit te ramener ton @IPexterne (celle de ta box). depuis l'extérieur avec par ex un tél 4G, dans un navigateur Web : tutapes l'URL http://ddns.ndd.fr:5000 ou https://ddns.ndd.fr:5001 --> tu dois atteindre le NAS. Cordialement oracle7😉
  11. oracle7

    présentation prochak

    @prochak Bonjour, Bienvenue à toi sur ce forum, tu as dû voir que c'est une mine d'informations. J'invite à regarder et suivre ces deux TUTOs pour t'assurer que tu as bien démarré. TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Cordialement oracle7😉
  12. @Mickaël DRJ et @CyberFr Bonjour, Je vous renvoie à ma précédente reponse à ce sujet ici. Cordialement oracle7😉
  13. @CyberFr Bonjour, Oui cela ne parle pas de HSTS mais c'est bien cela qui l'active au niveau navigateur FF. Ensuite pour le NAS, tu suis ce qu'a donné @Jeff777 précemment et tout roule. Sinon un peu de lecture sur le HSTS. Cordialement oracle7😉
  14. @pipil Bonjour, Difficile de te répondre car je suis toujours sous DSM 6.x, mais si tu l'as constaté alors pourquoi ne pas te faire confiance ? Du coup, il n'y a plus de "bidouille" à faire dans le fichier /etc/synoinfo.conf et je trouve cela très bien. Moins on touche au noyau de DSM mieux le NAS se porte. Mais ce n'est que mon avis ... Sinon et juste pour ta gouverne, dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ce serait bien que tu ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci. Cordialement oracle7😉
  15. @CyberFr Bonjour, OUi cela a été vrai un temps (au début avec la peur du nouveau si je puis dire 🤪) mais surtout parce que justement c'était et c'est forcé (HTTPS) par le navigateur quelque soit le site. Je crois tout au contraire que c'est une bonne chose que de passer systèmatiquement par HTTPS, on évite ainsi les sites "pourris" qui exploitent les failles du HTTP et ce n'est pas pour quelques sites corrects en HTTP dont l'on perd l'accès qui soit vraiment un problème (sur ce point grillé par @Jeff777🤣). Mais ce n'est que mon avis... De toutes façons si le HSTS te gêne il suffit de le désactiver dans ton navigateur Web et de vider son cache. Sinon pour accèder à l'interface DSM via Reverse Proxy il me paraît bien plus sain comme l'a dis @Jeff777 de passer par une URL dédiée (par ex dsm.ndd.tld) que de le faire via ndd.tld tout court car avec le domaine "court" cela laisse faire le mécanisme standard automatique de DSM qui fait que si on appelle le NAS (par son @IP ou par un nom de domaine) sans préciser le port (80 si HTTP et 443 si HTTPS) ET que l’on n’a pas installé le package Web Station, alors on est automatiquement redirigé vers DSM du NAS (donc vers le port 5000 ou 5001). En plus, cette URL dediée te permet d'utiliser d'autres ports pour DSM (même si accessoirement je trouve que cela ne sert à rien de les changer vu qu'ils nesont pas exposés à l'Internet). Cordialement oracle7😉
  16. @Mickaël DRJ Bonjour, C'est on ne peux plus normal car Drive gère les synchronisations au travers de ce port 6690, donc à ne surtout pas fermer. Désolé mais la surcharge n'est pas financière mais pour ton processeur du NAS car dans ce cas tu lui fais faire du HTTPS sur du HTTPS. En clair tu cryptes pour rien une deuxième fois quelque chose qui était déjà crypté, tu me suis ? Cordialement oracle7😉
  17. @Mickaël DRJ Bonjour, Ne mélanges pas les notions si tu veux bien ! VPN et Reverse Proxy sont deux choses différentes et n'ont pas la même finalité. 1 - En deux mots, un VPN est un "tuyau" étanche vis à vis de l'extérieur qui permet de connecter un client à un serveur d'une manière sécurisée et "invisible". C'est un peu comme si le client était connecté directement localement au serveur via un câble Ethernet, même si en réalité la liaison passe Internet. Il existe en quelque sorte deux types de VPN qui peuvent être utilisés de deux manières : une pour sortir de ton réseau local vers internet, ou une autre pour entrer dans ton réseau local. Pour sortir de ton réseau local : Dans ce cas tu utilises un VPN "commercial" (comme NordVPN par ex). Ces VPN permettent de connecter un client (ton PC, ton NAS) sur un serveur, puis sortir sur internet depuis ce serveur. Cela permet (entre autre) de masquer ton @IP personnelle. L'@IP que verront les sites sur lesquels tu te connecteras, sera celle que te fournira le serveur VPN sur lequel tu seras connecté. Donc si tu connectes ton NAS en tant que client d'un tel VPN, ton NAS ne sera connu d'internet que via l'@IP que t'aura donné le VPN, et en aucun cas ton @IP personnelle. Et si tu veux te connecter sur ton NAS dans ce cas, il faudrait que tu y accèdes non pas par ton @IP perso, mais par l'@IP de ton serveur VPN. Et en plus, il faudrait que ton serveur VPN accepte de rediriger ta requête entrante vers ton NAS, ce qui est généralement pas prévu avec les VPN commerciaux. Donc si tu connectes ton NAS sur un VPN commercial, tu ne pourras plus le joindre depuis l'extérieur. Pour entrer dans ton réseau local : Dans ce cas, c'est ton NAS qui est le serveur VPN. Ce serveur est accessible depuis internet via ton adresse IP personnelle. Et tu peux donc te connecter sur ce serveur VPN depuis n'importe que poste de travail, et être comme si tu étais connecté en local... Par contre le NAS permet d'activer trois types de serveurs VPN : PPTP (à éviter car sa sécurisation a été cassée depuis longtemps), OpenVPN et L2TP/IPSec. Pour se connecter à ces serveurs, il faut avoir le client correspondant installé sur son poste de travail. Pour OpenVPN, il faut installer le client OpenVPN. Par contre pour L2TP/IPSec, les clients font partie intégrante de certains système d'exploitation (iOS, Windows 10 ...), et ne nécessitent donc pas d'installation spécifique. 2 - Un proxy inversé en quelques mots : C'est un frontend, qui va permettre de rediriger, suivant des critères définis en amont, un nom de domaine vers un service en particulier, le backend. Généralement c'est le nom de domaine demandé qui va permettre d'orienter la demande vers le périphérique concerné. Une fois le proxy inversé en place, deux choses vont activer le mécanisme du proxy inversé, le nom de domaine demandé (par ex nas.ndd.net) et le port (443). C'est l'association de ces deux critères qui va, lorsque tu auras créé l'entrée appropriée, permettre au frontend de dire que ça correspond au backend (service en arrière-plan) officiant par ex dans le cas d'une redirection vers DSM (mais c'est valable pour tout autre application/service) sur : @IPlocaleNAS:5000 (ou localhost:5000 vu que le proxy inversé et DSM sont sur la même machine) en HTTP ou @IPlocale:5001 (localhost:5001) en HTTPS. Pour la destination cible on recommande d'utiliser le port HTTP lorsqu'on passe par un proxy inversé car il est inutile et même voire contre productif de faire du HTTPS sur le réseau local. ATTENTION : Sous DSM6 si tu utilises le port HTTP, la redirection HTTP -> HTTPS doit être désactivée dans le paramétrage du NAS (voir tutoriel sur la sécurisation, c'est précisé noir sur blanc). Ta requête aboutira alors sur la page de login de DSM (pour une redirection vers le NAS) À aucun moment on ne passe par le routeur/box dans cette chaîne, il intervient juste en amont dans l'adresse DNS qu'il aura poussée par son serveur DHCP. Enfin, lorsque tu utilises depuis l'extérieur une connexion avec un nom de domaine, saches que celle-ci n'est "sécurisée" que lorsque tu passes par du HHTPS. Sécurité d'ailleurs toute relative dans la mesure où ton flux peut-être espionné alors qu'avec le VPN il ne peut pas l'être. Maintenant la limitation géographique du port HTTPS 443 dépend essentiellement de tes habitudes de surf sur la toile. Bon nombres de serveurs sont quand même situés hors de France. Donc c'est toi qui voit .... Cordialement oracle7😉
  18. @Iron126 Bonjour, Il faut taper " sudo -i " : avec " -i " et pas seulement " i " plus un espace entre " sudo " et " -i " Si tout est bon tu auras une ligne de ce type : kevin.regis13@DS220plus:~# ---> le # indique que tu es bien sous root Cordialement oracle7😉
  19. @Kramlech Bonjour, je vais donc moi aussi y aller de mon commentaire histoire de remettre les choses à leur place sans aucune polémique de ma part. C'était bien tout le sens de mon commentaire initial mais tel que tu me cites cela laisse à penser que je dis le contraire alors que j'ai bien dit en début de phrase que c'était une mauvaise pratique avec toutes les conséquences que cela impliquait. Donc, je vois pas d'inconvénient à ce que mes propos soient cités mais je ne souhaite pas qu'ils soient tronqués donc déformés et du coup sujets à être mal interprétés ensuite. Maintenant quand je dis une c...ie, j'admet tout à fait d'être repris et corrigé au besoin. Qui n'en dit pas ? Cordialement oracle7😉
  20. @Mickaël DRJ Bonjour, Bah NON, tu as tout faux et c'est une très mauvaise pratique car indirectement tu (et certainement idem pour tes utilisateurs locaux) prends l'habitude de déroger aux alertes de sécurité de ton navigateur Web et tôt ou tard tu feras de même sur la toile avec un site non sécurisé et là tu prends de gros risques. Maintenant ce que j'en dis , c'est toi qui voit ... Cordialement oracle7😉
  21. @Jeff777 Bonjour, C'est exactement ce à quoi je pensais en proposant une redirection de Reverse Proxy sur par ex : www.domaine.tld. Mais s'il réduit l'accès à son site sur son domaine SEUL, je crains qu'il s'interdirait de fait l'accès à son NAS et à d'autres applications depuis l'extérieur avec des sous-domaines spécifiques, non ? Je dis une co...ie ? Cordialement oracle7😉
  22. @Jacky_5 Bonjour, En première approche si j'étais toi je regarderai à faire cela au moyen d'une redirection de Reverse Proxy de ton domaine vers ton site sur le NAS : voir le TUTO. Cordialement oracle7😉
  23. oracle7

    Présentation Jacky_5

    @Jacky_5 Bonjour, Bienvenue à toi sur ce forum, tu as dû voir que c'est une mine d'informations. J'invite à regarder et suivre ces deux TUTOs pour t'assurer que tu as bien démarré. TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Cordialement oracle7😉
  24. @Mic13710 Bonjour, SI je peux me permetttre, cela est bien dit dans le TUTO Badblocks : Cordialement oracle7😉
  25. @Mic13710 Bonjour, Dommage car je trouvais que 14 ans était un must ...🤣 Cordialement oracle7😉
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.