CyberFr

@Jeff777, @oracle7, merci pour les infos. Pu*ain, avec un NAS il y a toujours du boulot en perspective 🧑‍🎓

Dans Firefox j'ai juste une préférence "Activer le mode HTTPS". Il n'est pas fait mention de HSTS.

C'est ce que j'ai fait depuis un certain temps dans la mesure où je ne souhaitais pas activer le HSTS. Dans mon exemple ndd.fr ne désigne pas un reverse proxy mais je dispose par ailleurs d'un reverse proxy pour accéder à DSM en HTTPS. De plus Web Station est installé, ainsi il suffit de taper ndd.fr pour accéder au site Web en HTTPS. Bon, je vais m'intéresser au HSTS. C'est quoi au juste le preload ? Vu le contexte géopolitique ça va devenir plus courant 🤢

Là je colle. J'ai préféré ne pas activer le HSTS car il est appliqué quelque soit le site, c'est forcé par le navigateur. J'ai lu quelque part (mais ou ?) qu'il est déconseillé de l'activer.

Effectivement, si tu passes par un reverse proxy c'est lui qui fera la translation en HTTPS, c'est le cas chez moi. Mais si tu te connectes simplement en tapant ndd.fr:5001 tu accèdes à l'interface de DSM en HTTP. La redirection n'opère pas. Par contre si je tape www.ndd.fr j'accède bien au site Web en HTTPS grâce au fichier .htaccess.

Le titre du fil de discussion est "Un point sur les certificats". Difficile de tester un certificat si l'on ne se connecte pas en HTTPS. Effectivement j'ai mis en place une redirection HTTP vers HTTPS en créant un fichier .htaccess à la racine de Web Station mais la redirection n'opère que sur le site Web et pas sur l'interface d'administration de DSM.

Notre ami a déjà bien du pain sur la planche, alors ajouter DNS Server risque de l'embrouiller un peu plus 🤩 Inutile de l'ouvrir en effet. Mais si tu tapes https://ndd.fr:5001 dans ton navigateur, tu dois te connecter à DSM en HTTPS sur le port sécurisé (5001 par défaut de mémoire ou celui que tu as défini).

J'avais pourtant écrit : Quand tu te connectes en HTTPS avec une adresse IP locale, le nom de domaine n'y figure pas donc cet avertissement est normal. Je te conseille vivement de relire le tuto "Pourquoi et comment utiliser un nom de domaine" et de revenir sur le forum si des choses t'échappent.

Bonjour, En complément de la remarque de @Jeff777 j'ajoute qu'un certificat est toujours associé à un nom de domaine et jamais à une adresse IP en dur. Je te recommande de lire [TUTO] Pourquoi et comment utiliser un nom de domaine ?

Si le problème concerne aussi les administrateurs il faudra peut-être envisager un reset du NAS.

Tu as fait quelle fausse manœuvre pour perdre l'accès à DSM à part débrancher le NAS ?😍

Bonjour @Mickaël DRJ, Voici ce qu'indique la doc d'OpenVPN dans le fichier de config : Tu peux ajouter si tu n'utilises pas DNS Server l'adresse IP publique de ta box. dhcp-option DNS XX.XX.XX.XX Tu seras ainsi certain que tu utilises toujours les mêmes serveurs DNS que ce soit au niveau du NAS (Passerelle par défaut) ou du Mac/PC (Ethernet sur la box) avec ou sans connexion VPN.

Bonjour @Mickaël DRJ, Dans Réseau > Général, j'ai indiqué comme passerelle par défaut celle de la box internet. Il n'est pas nécessaire, contrairement à la copie d'écran, de configurer manuellement les serveurs DNS car ce sont les serveurs configurés au niveau de la box qui seront utilisés. Dans ton cas ceux de Google. Tu peux utiliser les serveurs DNS de Quad9 qui sont tout aussi efficaces que ceux de Google et qui respectent ta vie privée. Serveur principal : 9.9.9.11 Serveur secondaire 149.112.112.11 J'ai renseigné manuellement les serveurs DNS parce que j'ai mis en œuvre le paquet DNS Server sur le NAS.

Oups ! Tout à fait. Avec le recul la mémoire flanche. N'hésite pas à revenir vers nous si tu as d'autres besoins qui nécessitent une aide.

C'est pourtant bien le dossier photos qui était sélectionné sur ta copie d'écran d'où mon affirmation. J'y reviens plus loin. Le serveur multimédia permet de mettre à disposition sur les appareils compatibles DLNA/DMA les fichiers musicaux stockés sur le NAS. Le serveur créée un dossier partagé music dans lequel figurent ces fichiers musicaux. Si ton seul but est de mettre à disposition des morceaux de musique pour ton entourage, nul besoin d'un login et d'un mot de passe. Il suffit de disposer d'un appareil compatible DLNA, une télé ou une radio Internet par exemple. Je croyais que tu n'utilisais pas le dossier photos ? C'est pourtant ce dossier qui sert de support à Synology Photos. Le but d'un NAS est justement de centraliser les ressources. Il suffit que tu déplaces les photos qui sont actuellement sur le PC vers le NAS et la personne agée dont tu parles n'utilisera plus que Synology Photos. Ce n'est pas plus simple ainsi ? Mais je ne suis pas sûr d'avoir bien compris quels sont tes besoins. Un bref exposé de ta part nous permettrait de t'aider. Je te conseille pour le reste (création de 2 comptes utilisateurs, connexion d'un smartphone) de digérer ce que tu connais déjà et d'attendre un peu. Paris ne s'est pas fait en un jour 🙂

J'imagine que tu ne te connectes pas à google (ou plutôt Alphabet maintenant) en entrant leur adresse IP ? J'en déduis, peut-être à tort, que tu passe par leur nom de domaine. wikipedia est un nom de domaine tout comme comme google, speedtest ou nas-forum. Pet-être que speedtest n'accepte pas les connexions VPN. Tu devrais essayer un autre site. Es-tu sûr d'utiliser la dernière version d'OpenVPN téléchargée sur leur site officiel https://openvpn.net/vpn-client/ ? Je n'ai pas les mêmes copies d'écran que toi. Tu te connectes en VPN pour que la liaison soit sécurisée et tu utilises les services DNS de Google ? Cette option devrait disparaître d'OpenVPN. Tu as mis quelque chose dans le fichier de config dans la rubrique dhcp-option DNS ? Et en complément de ce que dit @MilesTEG1 (qui m'a grillé au passage !) quel serveurs DNS as-tu renseigné au niveau du NAS ?

Lis bien le tuto sur VPN SERVER Concernant OpenVPN, ce qui complique les choses est qu'il n'est pas supporté nativement par macOS ou Windows. Mais moi et d'autres peuvent te fournir des fichiers de configuration prêt à l'emploi qui fonctionnent sur Mac/PC et iOS.

J'ai commencé avec L2TP/IPSec dont l'avantage est qu'il est intégré à macOS ou Windows. Mais ce protocole, de mémoire, ne savait pas gérer les proxy inversés. Je me suis alors rabattu sur OpenVPN.

Bienvenue sur le forum @Maccauv, tu verras, c'est une mine d'informations. Je te conseille, si ce n'est déjà fait, de prendre connaissance de ce tuto [TUTO] Sécuriser les accès à son NAS.

Qui dit smartphone Android sous-entend accès externe même si c'est sur le réseau local. Tu disposes d'un autre accès externe nécessaire aux mises à jour de DSM. Comme tu n'as défini qu'un seul compte sur le NAS qui est un compte d'administrateur tout ton entourage dispose d'une arme thermonucléaire concernant les données stockées sur le NAS puisqu'un administrateur a tous les droits par nature. Sans compter que si tout le monde dispose du même mot de passe, les chances sont fortes que ce mot de passe soit divulgué même sans aucune intention de nuire. À toi de décider si tu peux perdre toutes les données stockées sur le NAS. Tu dis avoir lu le tuto "Comment sécuriser les accès à son NAS". Tu devrais le relire à tête reposée car il me semble que l'essentiel t'a échappé. Tu pourrais aussi te pencher sur la logique de Synology Photos que @oracle7 a brièvement évoquée. Parce que utiliser l'explorateur de fichiers pour visionner des photos revient à se priver de toute la puissance de cette application.

@subvap, Tu devrais prêter attention à ce que te dit @oracle7. D'autre part il semble que tu n'as pas lu le tuto Sécuriser les accès à son nas qui indique dans le détail les risques liés à une connexion externe et les mesures à prendre pour y faire face. Raté, tu as tout faux 🙂 Il faudrait qu'il y ait un admin et plusieurs utilisateurs. Si ces derniers sont incapables de mémoriser un login et un mot de passe, il ne te reste plus qu'à revendre ton NAS. Quand j'allume mon Mac, on me demande un mot de passe, quand tu allumes ton PC, on te demande un mot de passe. Pourquoi en serait-il autrement pour un NAS où les risques sont bien plus critiques à cause de la cybercriminalité ?

Bonjour @subvap, Il est déconseillé pour des raisons de sécurité d'activer l'utilisateur guest. Par contre tu peux créer un lien de fichier dans File Station en allant dans le menu "Action" et en choisissant "Partager". Seul le dossier sélectionné sera accessible. Ce sera à toi de décider s'il faut un mot de passe ou non, etc.

Bonjour @krapomatic, Tu essaies de supprimer des fichiers qui se trouvent sur le NAS depuis un Mac ? Personnellement je ne rencontre pas ce type de problème sauf pour des fichiers très volumineux et complexes, typiquement une image de Time Machine. Tu es bien administrateur sur le Mac ? Tu te connectes en AFP ou en SMB ?

Je ne les utilise pas, désolé. Mais souvent concernant les applications Synology tu peux choisir HTTP ou HTTPS. À vérifier donc. Tu parles d'un VPN commercial ou d'une connexion VPN au NAS ? Dans ce dernier cas tu peux utiliser le paquet VPN Server.

Bonjour, J'avais le même niveau que toi lorsque j'ai acquis mon premier NAS et que je me suis inscrit sur le forum. Je pense avoir bien progressé grâce aux tutos et à l'aide des contributeurs. Bienvenue.