Acc

[klorydryk]

Bonjour,

Je suis en train de tester plusieurs protocoles permettant d'accéder d'un syno à un répertoire d'un autre syno. Je m'explique.

Nous sommes plusieurs maintenant dans mon entourage à avoir ce type de NAS. Et la fibre arrive ou est déjà là. Il semble naturel de pouvoir accéder depuis notre Nas au contenu d'un autre, directement depuis File Station.

- Pour le moment, c'est CIFS qui fonctionne, mais il semblerait que c'est un trou béant de sécurité, que j'aimerais bien refermer.

- J'ai donc testé le NFS, mais la partie sécurité (avec Kerberos3) n'apparaît pas sur mon DS213+, et la commande "mount" continue de m'insulter.

- Webdav a l'air de répondre à la question, mais ne permet d'accéder que depuis un client, et pas moyen à ma connaissance de monter un accès webdav dans le filestation

- Enfin, je teste depuis quelques jours BittorrentSync, pour lequel un paquet de la communauté est proposé, et ça fonctionne très bien (et est sécurisé), sauf que c'est loin d'être le fonctionnement simple d'un explorateur de fichiers (puisqu'il faut : dans le Nas source, déposer le fichier souhaité dans le répertoire synchronisé, puis dans le Nas cible, récupérer le fichier, avant de l'effacer du répertoire sync de la source - enfin bon c'est compliqué et oblige à accéder aux 2 serveurs).

Au final, rien de très fonctionnel, alors que ça semblerait extrêmement utile, non ?

Vous avez ce type d'utilisation ? Vous avez mis en place un process fonctionnel ?

[devo]

et un ptit vpn ?

[klorydryk]

et un ptit vpn ?

Le VPN pose, à mon humble avis, plus de problèmes qu'il n'en résout.

Tout d'abord, il me semble qu'on ne doit pouvoir se connecter qu'à un VPN à la fois (donc un seul lien). Sinon, la sélection de la porte de sortie va devenir compliquée. D'ailleurs, toute connexion y passera, dont le flux internet. Pas pratique. Mais peut-être existe-t-il un workaround permettant à tout un groupe de se retrouver sous le même VPN en redirigeant les accès internet de chacun vers sa propre connexion internet locale ?

D'autre part, de quel manière sera-t-il possible alors de parcourir le contenu du serveur source ? En revenant CIFS, mais cette fois en "local" ?

[devo]

a une époque je j'utilisais amachi pour créer un réseau local avec plusieurs amis, le partage de fichiers était donc très simple ...

a voir si ca peut se configurer sur un Syno ...

[BLS]

faut reconnaitre que l'intéret est limité ... c'est uniquement intéressant pour les gros transferts ; sinon rien n'empeche d'exploiter le fichier directement a distance depuis le PC qui utilisera le dit fichier ou de transférer le fichier en 2 étapes via un PC ... si c'est un seul fichier pas trop gros ...

sinon via un backup entre syno ya pas moyen ? via DSM ? en activant SSH 2 ... c'est assez niveau sécurité ...

sinon tant qu'a copier les fichiers des autres pourquoi pas essayer de faire une synchro entre nas ? c'est curieux, j'en parlais ici justement il y a quelques jours a peine:




hamachi sur syno ce serait le pied mais ne révons pas ... et puis sur PC je dois changer le métrique de la carte réseau virtuelle d'hamachi tout le temps pour pas avoir le même problème qu'avec un VPN , pour que le jeu passe par hamachi et pas par ma connecton internet (il semble que se problème soit davantage présent lorsque l'ordinateur a une ip fixe pour sa connexion internet, ce qui est le cas sur toutes mes machines) ... ... et puis c'est pas super stable ...

Modifié le 10 septembre 2013 par BLS

[CoolRaoul]

- Pour le moment, c'est CIFS qui fonctionne, mais il semblerait que c'est un trou béant de sécurité, que j'aimerais bien refermer.

Tiens je n'étais pas au courant

Tu pourrais nous communiquer des sources détaillées de l'info stp?

Modifié le 10 septembre 2013 par CoolRaoul

[klorydryk]

Je ne sais plus exactement où j'avais lu ça (discussion twitter ou autre), mais la fiche wikipedia anglaise explique dans la partie "sécurité" :

Over the years, there have been many security vulnerabilities in Microsoft's implementation of the protocol or components that it directly relies on,^[33][34][35] with the most recent vulnerability (at time of writing) involving the SMB2 implementation.^[36] Other vendors' security vulnerabilities lie primarily in a lack of support for newer authentication protocols like NTLMv2 and Kerberos in preference to broken protocols like NTLMv1, LanMan, or even plaintext passwords. Real-time attack tracking ^[37] shows that SMB is one of the primary attack vectors for intrusion attempts.

Or le syno ne propose pas de choisir un mode de chiffrement particulier, ce qui implique que nous sommes incapable de garantir celui qui serait réellement utilisé, s'il était effectivement question de chiffrement.

[CoolRaoul]

Oui, enfin de la à parler de "trou béant" .

D'autant plus que si les postes clients ne sont pas des antiquités, ce sont les methodes d'authentification les plus solides qui vont être négociées entres eux et le serveur samba de DSM.

Ensuite, tous les protocoles de ce genre (voir NFS par exemple) ont des vulnérabilités qui sont corrigées en général assez rapidement

Si il ne fallait utiliser que ceux n'ayant jamais eu de faille ne resterait plus que la remise via support externe de la main à la main.

Par contre, je reconnais bien volontiers que CIFS n'est pas forcément le plus adapté aux acces de type WAN (NFS pas trop non plus d'ailleurs).

Webdav me semble plus approprié et serait d'ailleurs possible en compilant et installant le module "davs" (ça a été abordé dans le forum) permettant faire un montage distant, mais AMHA ça reste de l'ordre du bricolage (d'autant plus que les informations d'authentifications sont fournies lors du mount et donc sont commune à tous les utilisateurs)

Maintenant la question est, est-il vraiment utile que les Synos se voient entre eux? Si chaque poste client a directement accès aux différents NAS (en utilisant webdav pour les serveur distants) qu'apporte de plus l'acces inter NAS via filestation?

Modifié le 11 septembre 2013 par CoolRaoul

[klorydryk]

L'idée est de transférer des fichiers d'un Nas à l'autre. Si on passe passe par un poste client, les données vont devoir transiter par ce poste client avant d'être réexpédiées vers le Nas de destination. Inutilisable pour des gros fichiers (et peu pratique), surtout qu'il faut conserver le poste client tant que le transfert n'est pas terminé, alors que les serveurs dialoguant entre eux peuvent gérer leur file d'attente sans que l'on ai à s'en occuper.

Lorsque je télécharge et installe un prestashop sur un serveur, par exemple, je ne m'amuse pas à télécharger le zip sur mon poste, le décompresser et l'envoyer par ftp. Je me connecte en SSH, je fais un wget suivi d'un unzip. C'est donc le serveur qui applique les différentes actions pour moi. C'est exactement ce que je veux faire là, mais avec des accès privés et permanents.

Mais je note que pour toi, CIFS est sécurisé (j'aurais bien aimé en avoir la certitude, avec le type de techno utilisée, par exemple dans la doc de Syno). Si c'est vraiment le cas, alors j'en reste là car c'est exactement ce que je souhaite mettre en place.

[CoolRaoul]

Juste un truc: si l'idée est d'avoir une synchro de certains dossiers entre les deux NAS, peut être que la fonctionnalité "syncho de dossier partagé" de DSM est à envisager aussi.

Je n'ai pas pratiqué le bidule, juste regardé l'aide en ligne.

Cependant, au delà de 2 NAS à synchroniser j'ai l'impression que c'est moins trivial

Voici ce que dit l'aide:

"Synchro du dossier partagé est un service réseau qui permet aux utilisateurs de synchroniser des dossiers partagés entre DiskStations. À partir de DSM 4.1, Synchro du dossier partagé fournit la fonctionnalité Synchro du dossier partagé à source multiple, qui permet à plusieurs clients de synchroniser leurs dossiers partagés vers un DiskStation."

A tester.

Modifié le 11 septembre 2013 par CoolRaoul

[bud77]

Je dirais BTsync sur tout les syno, et on en parle plus, synchro croisée sur tout les postes

Sinon j'ai entendu parler d'encfs, mais aucune idée si tu peux avoir plusieurs sources pour un même fs

[klorydryk]

Non, vraiment, je parle d'accès, pas de synchro. Comme un montage de disque "connecter un lecteur réseau" sous windows : étendre les accès possibles depuis le serveur, pas tout synchroniser en local.

[bud77]

Si tu veux juste "connecter un lecteur", çà sera en ssh, d'où ma suggestion du encfs ...

[CoolRaoul]

pas tout synchroniser en local.

Bien entendu, on ne propose pas de *tout* synchroniser.

Quel que soit l'outil de synchro utilisé on peut choisir de ne synchroniser que certains dossiers bien identifiés.

[klorydryk]

Un sys-admin en qui j'ai toute confiance me garantit que 2 Linux dialoguant pour entamer un partage CIFS choisiront la version de protection la plus haute possible. Donc qu'il ne devrait pas y avoir de problème dans ce protocole entre 2 synos.

Ce qui me dérange, c'est bien évidemment que nous n'avons pas cette information du degré de sécurisation. Et que des mots de passe de compte du NAS transitent par ce biais.

Modifié le 15 septembre 2013 par klorydryk

[Brunchto]

ton pb n'est pas un pb synology, mais un pb de réseau...

ce qui devrait se faire, c'est de monter un VPN entre tes deux sites au niveau des routeurs et que le trafic intersites circule dans ce VPN (ca suppose effectivement des routeurs qui puissent le faire) ou de prendre une LS entre tes deux sites.

[klorydryk]

Bonjour Brunchto.

Comme j'expliquais plus haut, il ne s'agit pas de monter un lien entre 2 sites, mais de monter une sorte de bibliothèque entre un certain nombre de synos (nous en sommes déjà à 4 DS213+ dans la famille). Qu'au lieu d'avoir à me connecter sur l'interface web de chacun d'entre eux pour récupérer des fichiers, je n’eusse qu'à parcourir mon arborescence locale !

[Brunchto]

J'ai bien compris. mais ce que tu veux faire ne fonctionnera pas et/ou ne sera pas sécurisé (CIFS open bar sur internet a moins que vous ayez tous des IP fixes).

[klorydryk]

Nous avons tous des IP fixes. De quelle manière ça devient open-bar, le CIFS ? (en l'occurrence, pour ça le devient avec des IP non fixes ?)

[bud77]

Vous voulez une "bibliothèque", mais il faut plutôt vous poser la question de où sera hébergé la "bibliothèque" (car il faudra obligatoirement un point d'entrée unique pour tous)

Et y'a plein d'autres façon que le CIFS, donc tu devrais plutôt creuser ces autres pistes au lieu de perdre du temps sur une solution que tu n'aimes pas

[PiwiLAbruti]

Je trouve ce cas d'utilisation très intéressant car Synology n'y a pas encore apporté de solution simple.

L'inclusion de WebDAV à FileStation serait une possibilité, mais ça reste du WebDAV (peu performant).

Sinon pour faire passer les protocoles de partage locaux (SMB, AFP, NFS) à travers internet entre plusieurs noeuds, il y a T inc.

Il s'agit d'un VPN décentralisé et redondant : http://www.tinc-vpn.org/goals/

Malheureusement c'est assez technique à mettre en place, même si ça peut énormément se simplifier avec une interface graphique (une grande partie de la configuration est automatisable).

Pour en revenir au sujet, ça permettrait d'interconnecter les 4 NAS de manière sécurisée et de monter directement les partages de chaque NAS dans FileStation.

On l'avait testé il y a quelques temps avec Diaoul et on avait réussi à faire communiquer l'intégrité de nos réseaux locaux avec cette solution. Du peu qu'on a testé c'était parfaitement stable (aucune coupure en quelques heures d'utilisation).

Par contre, on n'a pas voulu le distribuer pour plusieurs raisons:

• Les réseaux locaux à interconnecter doivent avoir des adresses de réseau différentes (>99% des utilisateurs en 192.168.1/24).
• Dans notre cas d'utilisation (bridge inter-LAN), Tinc a plus sa place sur un routeur avec firmware alternatif que sur un NAS à cause du routage des paquets (NAS en passerelle des clients du LAN, chemins de routage non-optimaux, ...).
• Le paquet aurait intéressé 10 curieux dans le monde.

[klorydryk]

@bud77

Ah mais je n'ai pas dit que je n'aimais pas le CIFS ! J'ai juste besoin de confiance dans la sécurité du machin.

Quant à la question d'où sera hébergé la bibliothèque... Si je comprends bien ce que tu as en tête, ce serait un disque virtuel contenant l'ensemble des médias répartis eux chez chacun d'entre nous. Ce n'est pas ce que j'imaginais, mais c'est intéressant.

Je me contentais de pouvoir monter sur mon syno (mais avec les différents comptes que j'ai sur les machines distantes) autant de répertoires distants que de machines / répertoires qui m'intéressent.

Par exemple :

Sur le Syno1 j'ai accès à /videos, /music et /photos

Sur le Syno2 j'ai accès à /music et /photos

Je suis intéressé par les vidéos et music de Syno1, et par music du 2 -> je monte (dans un répertoire /Distant pour limiter le bordel) 3 répertoires :

/Distant/vidéos1 -> Syno1videos

/Distant/music1 -> Syno1music

/Distant/music2 -> Syno2music

Ainsi, lorsque je veux récupérer quelque chose, je n'ai pas à aller faire de téléchargements HTTP en me loguant sur l'interface du distant, mais juste à faire un glisser/déposer.

@Piwi

Je regarde cette proposition technique de ce pas ! Merci

Modifié le 15 septembre 2013 par klorydryk

[bud77]

Moi, je n'ai rien en tête, c'est juste ce que tu écrit plus haut ...

Avoir une interface, c'est bien beau, mais tu perds toutes les fonctionnalité d'un FTP ou autre

Exemple tout bête, micro coupure réseau, ton DL plante, faut recommencer de 0

Un FTP aurait permis de reprendre là ou çà a planté

[atdd10]

Bonjour,

Je suis en train de tester plusieurs protocoles permettant d'accéder d'un syno à un répertoire d'un autre syno. Je m'explique.

Nous sommes plusieurs maintenant dans mon entourage à avoir ce type de NAS. Et la fibre arrive ou est déjà là. Il semble naturel de pouvoir accéder depuis notre Nas au contenu d'un autre, directement depuis File Station.

- Pour le moment, c'est CIFS qui fonctionne, ....

Bonjour,

pourait tu expliquer comment tu fait ton montage stp

ca fait un moment que je tente de faire la même chose mais sans succé !

Merci