TuringFan

Bonjour à tous, J'ai suivi ce tuto avec succès, merci encore @oracle7 pour ça. Aujourd'hui je regarde les fonctions de cloud du NAS et en installant un client voici le message que j'obtiens. Est-ce lié à cette méthode de certification ou s'agit il d'autre chose, je ne maitrise pas. Cordialement,

Merci pour votre retour, je vais m'en inspirer.

@Juan luis et @oracle7, Merci pour vos conseils que je vais vais probablement suivre. Je n'ai pas la freebox mais j'ai un routeur MR22ac de Synology qui possède le paquet Download Station, probablement plus judicieux de l'utiliser ici avec un disque dur externe donc ? Pour comprendre, car je ne maitrise pas ces sujets, admettons que je fasse un téléchargement d'un fichier virolé avec mon routeur ou un périphérique de mon réseau (un PC par exemple) plutôt que mon NAS, puisque le fichier va se retrouver sur le même réseau n'y a t il pas un risque que le virus / randsomware se propage sur tous les périphériques de mon réseau ? En gros cela fait il une différence du point de vue sécurité de télécharger depuis mon PC, mon routeur ou mon NAS ? Enfin, quelle est la meilleur protection contre ce type d'attaque ? Une synchronisation du NAS avec un second NAS distant ? Si oui, ne vais je pas tous simplement dupppliquer les fichiers virolés et don le problème sur le secoind NAS ? Merci d'avance,

A priori oui : les même que sur mon iPad qui lui monte le tunnel VPN de façon fonctionnelle et qui est sur le même réseau local que mon NAS. Je souhaiterais que l'utilisation de Download Station lance automatiquement la connexion du VPN de sorte à ne jamais pouvoir utiliser Download Station sans être derrière un VPN. Très juste. Mais je trouve que faire ça depuis le NAS permet plus de choses : garder un accès direct depuis ton appareil (donc meilleur débit), lancer un téléchargement à distance, planifier (pour que cela se fasse la nuit par exemple), limiter le débit et/ou prioriser par application, etc. Mais à ce propos existe t il des "paquet antivirus" qui sacnnent le contenu du NAS ?

@Juan luis, Je n'utilise pas QuickConnect et il est désactivé chez moi (après lecture du tuto sécurisation de Fenrir). Mon NAS à bien un accès à internet car il est capable de télécharger des torrents (test fait légalement avec Internet Archive) et l'activation du VPN PPTP est bien fonctionnelle (l'IP Change). En revanche je n'arrive toujours pas à me connecter avec un protocole L2TP/IPSec sur mon NAS et cela fonctionne nickel avec la même configuration sur mon iPad qui est sur le même réseau (a priori pas un problème FW routeur donc). As tu une idée ? Pour info j'ai envoyé un message aux supports Syno et Hide My Ass. Enfin rien à voir mais je souhaite forcer une connexion VPN quand Download Station est utilisé : j'ai essayé en bloquant les trafics BT (bit torrent) et autorisant les autres sur l'interface LAN du FW du NAS et en faisant l'inverse sur l'interface VPN du FW du NA. L'utilisation de Download Station reste cependant possible sans le VPN. As tu une idée ?

Bonjour @Juan luis et merci pour ton post, A priori mon NAS j'accède bien à internet car la connexion VPN se monte bien en PPTP mais as tu une façon "concrète" de vérifier que l'accès au net se fait bien ? Sur le routeur (monté en DMZ d'une LiveBox) FW Accès au port 80 depuis France ou USA Accès au port 443 depuis France ou USA Accès au port DNS Server Accès au port VPN SSL Server Tout le reste bloqué Port Forwarding (uniquement avec le le NAS) 80 <-> 80 443 <-> 443 Autorisation du trafic PPTP Pass-through autorisé L2TP Pass-through autorisé IPSec Pass-through autorisé SIP Pass-through autorisé NAS (monté derrière le routeur) FW IP sources en 10.0.0.0/255.0.0.0 autorisées sur tous les ports IP sources en 172.16.0.0/255.240.0.0 autorisées sur tous les ports IP sources en 192.168.0.0/255.255.0.0 autorisées sur tous les ports IP sources France et USA autorisées vers port 80 IP sources France et USA autorisées vers port 443 Tout le reste bloqué A noter qu'une fois le tunnel VPN en PP2P monté (mon NAS est alors client de Hide My Ass) je peux toujours accéder à mon réseau (dont mon NAS) depuis l'extérieur en VPN SSL (mon périphérique est alors client d'un serveur VPN monté sur mon routeur). Cet article traite notamment du sujet. Merci d'avance,

Pour info @PiwiLAbruti, Si cela peut aider quelqu'un : cela fonctionne avec le protocole PPTP mais aucun des deux autres (L2TP/IPSec ou OpenVPN). A noter notamment qu'en PPTP il n'y a pas d'option en rapport avec un serveur distant derrière un NAT (contrairement aux deux autres propotocoles) : peut-être une piste mais la configuration sur les autres protocoles ne fonctionne ni avec cette option activée ni avec cette option désactivée. Cordialement,

Merci @PiwiLAbruti, J'ai bien tête que le serveur VPN sur mon RT et le client VPN sur mon NAS sont différents mais justement je ne savais pas s'il y avait des interférences. Je vais donc regarder comment configurer ces règles de routage. Merci encore,

Bonjour @PiwiLAbruti, Le sujet commence à dater mais je suis sur la configuration de mon réseau et je bloque sur la partie que je pensais "facile". J'ai actuellement un NAS monté derrière un routeur Synology. Je me connecte à mon réseau depuis l'extérieur uniquement via un tunnel VPN SSL (paquet VPN Plus sur le routeur). Mon routeur Synology est configuré en pass-through pour le traffic VPN Pour le moment cette configuration est pleinement fonctionnelle. J'ai par ailleurs un abonnement Hide My Ass (fournisseur VPN) et je souhaite connecter mon NAS en tant que client de ce service et c'est là que ça bloque. J'ai essayé en L2TP/IPSec et en OpenVPN, sur plusieurs serveurs HMA, en jouant sur l'activation / la désactivation des 4 options présentées (passerelle par défaut, autoriser d'autres appareils à se connecter, le serveur est derrière un NAT, reconnexion automatique) pour faire le test avec les 16 combinaison et rien : j'ai toujours une erreur de connexion. Je n'ai créé aucune règle spécifique dans le pare feu NAS, pare-feu RT ou en transmission de port. Aurais tu une idée d'où le problème peut venir ? Merci d'avance, Cordialement,

Merci pour les explications,

Bonsoir @oracle7, C'est bon tout fonctionne nickel ! Merci pour tes réponses sur le forum et les MP. Vivement ton prochain tuto ! Merci également @vincentbls pour le coup du saut de ligne à supprimer ! Par contre un truc que je ne suis pas certain d'avoir bien compris, à quoi correspond la partie ci-dessous (le https bloque systématiquement chez moi). Bonne soirée,

Merci pour ton retour @oracle7, J'ai bien ca.cer et chain.pem qui sont identiques au caractère près mais toujours ce problème d'illégalité du certifcat intermédiaire ! Je vais relancer une installation complète : y a t il une manipulation préliminaire spécifique à faire ? Comme par exemple supprimer certains dossiers/fichiers avant de relancer la génération ? PS : j'ai remarqué sur mon NAS que mon certificat Wilcard était pour "-" (soit rien en fait) bien qu'il soit le certificat par défaut. Est-ce normal ? Merci d'avance,

Bonjour @oracle7, Je viens d'essayer et toujours le même message d’erreur sur l'illégalité du certificat intermédiaire. je vais essayer d'investiguer car très contraignant : cela rend le VPN SSL inopérant. Cordialement,

Bonjour @oracle7, J'ai finalement l'impression que cela ne fonctionne pas : j'ai toujours un certificat intermédiaire illégal ! J'ai essayé sans mettre d'intermédiaire et ça marche ... pour un temps : je me suis en effet rendu compte que mon VPN ne fonctionnait plus, en allant dans le paquet VPN Plus il y a un message d'erreur en lien avec le certificat justement. As tu une idée ? Cordialement,

Au top ! Merci (encore) ! Pour info ça a fonctionné en important uniquement clef et certificat mais en laissant kle champs certificat intermédiaire vide.

@oracle7, Ok merci. Question très très très bête (mais pour le moment je ne fais que de la configuration sans mettre de données sur mon NAS) comment je fais pour récupérer les fichiers de Volume1\Certs\ndd.tld : où est l'explorateur de fichier ? Cordialement,

@oracle7, Je viens d'essayer d'exporter le certificat depuis le NAS vers le RT et visiblement j'ai un problème de mon côté. As tu la même chose ? Sais tu comment gérer ce problème ?

@oracle7, Merci pour ton retour. CA MARCHE mais uniquement en utilisant l'option par défaut http et port 5000, en effet mes premières tentatives étaient avec https et port 5001. En toute honnêteté ’avais opté pour le hhtps sans vraiment comprendre l'impact mais en me disant qu'un accès en https était toujours mieux qu'un http. En revanche peut être aucun rapport mais j'ai noté une différence avec ta console qui affiche : La mienne affiche la même chose sans l'avant dernière ligne : le "http.header" Par contre j'ai bien le http not restarded En espérant que mes remarques pourront également aider si certains ont les mêmes problèmes Merci encore @oracle7 Très clair, merci.

Bonjour, J'ai suivi le tuto mais j'ai une erreur lors du déploiement du certificat (méthode ajout) : Unable to authenticate to localhost:5001 using https. Savez-vous d'où cela peut venir ? J'ai probablement un problème côté caractères spéciaux que j'utilise pour mon login et/ou mdp. @oracle7 mentionne en effet le fait "d'échapper des caractères spéciaux" mais je ne comprends pas ce que cela veut dire. Quelqu’un pourrait il m'aider svp ? Merci d'avance,

Bonjour @oracle7, Merci pour ce super tuto que je suis en train d'appliquer pas à pas car je ne maitrise pas du tout le SSH et que j'ai en tête sa potentielle dangerosité si mal utilisé. Quelques questions mineures : A quoi va service cette adresse email ? Comment peut on la changer ensuite ? Pas super clair pour moi cette partie. Je comprends que cela sert à deux choses : ne pas avoir à retaper le code d'authentification à chaque fois et ne pas bloquer le déploiement du certificat. C'est bien cela ? Comment faire si justement on souhaite avoir à renseigner le code d’authentification systématiquement ? Comment faire si nous n'utilisons pour le moment pas la double authentification mais que dans le futur nous la mettons finalement en place : quels sont les manipulations coté certificat ? Encore merci pour ce super tuto, clairement un cran au dessus de ceux que j'ai fait jusqu'à maintenant, et qui a dû demandé beaucoup de travail et de temps de préparation .

@oracle7 et @GrOoT64, Complètement d'accord, je préfèrerais en invisible mais justement je ne parviens pas à avoir quelque chose d'opérationnel en dehors de la configuration visible permanente. Preneur de vos commentaires.

Merci @maxou56, Je vais de ce pas le modifier. Si je comprends bien le pare-feu du RT laisse l'accès ouvert par défaut depuis le LAN mais pour le parefeu du NAS il faut créer des règles même pour un accès depuis le LAN ? Concernant la modification du numéro de port, j'ai cru comprendre d'un post de Fenrir que cela amène plus de complexité que de sécurité car un scan de port est très rapide. Merci d'avance,

Merci @oracle7, Réponse au top comme d'hab ! Si je ne dis pas de bêtise donc, on passera dons tous au moins une fois par cette étape : lors de la première connexion ? Je crois que Fenrir explique que dans certain cas c'est la seule solution pour débugger ta machine mais effectivement dans un cas "grave" comme celui là on peut attendre d'être sur le LAN. A titre personnel j'ai ouvert le 22 sur NAS et RT uniuement aux IP de mon LAN.

Merci @GrOoT64, Il faut faire une redirection de qqelle nature : site web ? De mon côté j'ai l'impression que seuls les redirections visibles (l'URL change effectivement dans la barre d'adresse du navigateur) fonctionnent et que pour le client il faille indiuer la véritable adresse.

Bonjour, Super tuto que j'ai suivi a priori avec succès (dans le cadre d'un autre tuto sur les certificats wilcard de @oracle7 qui y fait référence). Je suis novice en réseaux et je souhaite comprendre ce que je fais. Le SSH est de langage utilisé pour directement parler au terminal du NAS / RT émulé par PuTTY ou WinSCP : est-ce bien ça ? Je ne maitrise pas du tout le sujet des clefs : pourquoi utiliser des clefs et en installer une sur le NAS / RT plutôt que de se contenter d'un accès avec logins + mdp ? Une fois la clef publique installée sur le NAS, et sous l'hypothèse que nous perdons la clef privée et/ou la passphrase associée, serait il possible de faire un reset du SSH et de recréer des clefs ? Pourquoi modifier le port 22 par défaut ? je croyais avoir lu un commentaire de Fenrir qui expliquait qu'une modification des ports par défaut était quasi inutile et apportait plus de complexité qu'autre chose car un scan des ports peut se faire très rapidement. Qu'en est il ? Un scan des ports permet il en plus de dire si le port est ouvert ou non à quoi il sert (ex : utilisé pour le SSH) ? Enfin sur j'ai changé le port SSH sur mon RT mais en choisissant d'ouvrir dans mon parefeu le port lié au service SSH (uniquement pour dfes IPs du LAN) mon nouveau porte apparait bien tout en conservant le port 22 (si je veux uniquement mon port personnalisé sans le 22, je dois le mettre à la main) : savez vous pourquoi ? @oracle7 preneur d'une de tes explication simple et efficace si tu en as une en stock. Merci d'avance à tous,