Aller au contenu

Messages recommandés

Posté(e) (modifié)

Oui ok pour le lan. Donc ça implique de devoir jongler dans ses favoris... Pas des plus pratiques, mais ça fonctionne

pas nécessairement, trop tard pour détailler, mais il y a plein de façon de faire

Si c'est le cas, c'est effectivement plus simple via une passerelle et un reverse proxy tout simplement. Puis une limitation d'accès qu'à la passerelle pour éviter tout accès extérieur. (Même pas certain que le VPN soit indispensable au fonctionnement, juste que ça t'assure le chiffrement)

oui et non

le vpn est effectivement là pour sécuriser le canal de com, mais il permet aussi de faire l'identification fiable du client

c'est comme l'https et le login/password du site de ta banque

sans l'un ou l'autre, c'est tout de suite moins sécurisé

-pas de login/password (pas d'identification) et tout le monde peut accéder à ton compte

-pas de https (canal sécurisé) et toutes les grandes oreilles peuvent connaitre ton login/password

le vpn c'est juste un moyen "simple" de faire le 2 d'un coup

Modifié par Fenrir
Posté(e) (modifié)

Oui et ça rend le service d'autant plus sex !

Mais je possède mon nom de domaine donc le choix se fera par une bonne config DNS

Ou je peinais à avancer c'était ça comment faire le lien permanent entre syno et "pseudo serveur synology quick connect qui n'en est pas" :P

Le VPN c'est la piste ça me paraît clair

Que penses-tu de ça alors

une passerelle FW Reverse proxy comprenant le serveur VPN

Un lien VPN avec lcé SSH entre syno et passerelle

Les règles serait de rediriger le trafic qui pointe vers monsyno.mondomaine.tld vers mon syno

Je pourrais faire du "port translating" en toute transparence non !?

genre monsyno.mondomaine.tld/FS qui pointe vers le port de FiIeStation par exple?

Le système d'id doit être une astuce consistant à ajouter le NDD à la suite de l'id en question donc je m'en passe,

Et tout ça sans que jamais l'ip publique "abritant" mon syno ne soit divulgué au delà de ma passerelle ?

Faut que je retourne à la clope ! -_-

Merci Fenrir pour tes lumières :)

tu complique pour rien

oubli le reverse proxy

Etape 1

a-installe une passerelle bien sécurisée

b-ajoute lui un serveur openvpn

c-créé un compte pour ton client (login+pass+certificat)

d-configure ton client pour passer par ce vpn pour aller vers le syno (voir vers le reste du monde pendant que tu y es, si le débit est suffisant)

Etape 2 : même chose coté syno

a-sécurité

b-serveur openvpn

c-compte pour la passerelle

d-client sur la passerelle

Etape 3

le reste c'est juste du routage (sur la passerelle) pour que ce qui arrive via le vpn1 soit routé dans le vpn2

ou alors tu remplace l'étape2 par la 1 en remplaçant client par syno (pas certain que ça soit possible sur le syno par contre)

ps : je fais trop de fautes, il est l'heure d'aller au dodo

bonne nuit ;)

Modifié par Fenrir
Posté(e) (modifié)

Pfff j'en ai pris plein la cervelle B)

Good night

Je laisse une dernière (double) petite question :

C'est une hérésie d'envisager ça sur dédié OVH par exemple !?

Si le disque de la distrib est sous LVM crypté par exemple !?

@+

Modifié par Ridfa
Posté(e)

pas nécessairement, trop tard pour détailler, mais il y a plein de façon de faire

oui et non

le vpn est effectivement là pour sécuriser le canal de com, mais il permet aussi de faire l'identification fiable du client

c'est comme l'https et le login/password du site de ta banque

sans l'un ou l'autre, c'est tout de suite moins sécurisé

-pas de login/password (pas d'identification) et tout le monde peut accéder à ton compte

-pas de https (canal sécurisé) et toutes les grandes oreilles peuvent connaitre ton login/password

le vpn c'est juste un moyen "simple" de faire le 2 d'un coup

Ok, je vois à un détail prêt le : "simple".

Personnellement c'est tout sauf "simple" point de vu client un VPN, ça implique configuration OBLIGATOIRE pour pouvoir aller sur le NAS sur un client lambda, c'est bien si tu ne te sers que d'un client, si tu changes régulièrement de façon aléatoire, c'est quasi inutilisable (contrairement au reverse-proxy comme le proposait Ridfa)

PS : Je pourrais être intéressé par un tel fonctionnement, particulièrement comme celui que décrivait Ridfa plus haut, mais un VPN côté client c'est juste rédhibitoire pour ma part...

Posté(e)

On s'est fait botté le c*l par les gallois :(

Pfff j'en ai pris plein la cervelle B)

Good night

Je laisse une dernière (double) petite question :

C'est une hérésie d'envisager ça sur dédié OVH par exemple !?

Si le disque de la distrib est sous LVM crypté par exemple !?

@+

Non, même si ça implique d'avoir un minimum confiance en l'hébergeur.

OVH, tout comme Iliad et quelques autres, présentent mêmes quelques avantages par rapport à amazon(aws/ec2)/google (apps/compute engine)/ms (azure), ... : ils sont français et leurs datacenter sont (pour les principaux) en france

=>soumis aux lois françaises (même si avec la LPM ont est mal barré, c'est toujours moins pire que dans certains pays)

=>moins de problèmes de latence et de peering car physiquement plus proche qu'un datacenter en Irlande ou dans le Delaware

Le fait que ton disque soit chiffré est toujours un plus (par contre ça va être plus compliqué de le redemarrer à distance :P ) mais attention à mettre un frein au mode parano.

Si tu en es là, n'oubli pas les antirootkit, grsec, selinux, ... en gros, tu vas probablement passer plus de temps à sécuriser ta passerelle que tu ne vas l'utiliser.

Je ne dis pas que c'est mal, je le fais de temps en temps pour garder la main, mais il faut savoir rester raisonnable.

A titre perso (et pro aussi), quand j'ai besoin de confidentialité (qui est un aspect de la sécurité), j'héberge moi même, dans un placard (ou un datacenter), dont je suis le seul (avec mes collègues pour le mode pro) à avoir les clefs.

Pour le reste je me contente la plupart du temps de sécuriser les com et les accès logiques, pour l'accès physique, je fais confiance, sinon on ne s'en sort plus.

Ok, je vois à un détail prêt le : "simple".

Personnellement c'est tout sauf "simple" point de vu client un VPN, ça implique configuration OBLIGATOIRE pour pouvoir aller sur le NAS sur un client lambda, c'est bien si tu ne te sers que d'un client, si tu changes régulièrement de façon aléatoire, c'est quasi inutilisable (contrairement au reverse-proxy comme le proposait Ridfa)

PS : Je pourrais être intéressé par un tel fonctionnement, particulièrement comme celui que décrivait Ridfa plus haut, mais un VPN côté client c'est juste rédhibitoire pour ma part...

Pour ça que "simple" était entre guillemets, mais ça reste moins compliqué à mettre en place coté serveur.

Pour les clients lambda, j'ai 2 réponses faciles :

1-accéder à des données sensibles depuis un poste qu'on ne maitrise pas est un hérésie (keylogger, vers, ...)

2-la plupart des systèmes intergent plusieurs clients vpn en standard (à commencer par ipsec) et il existe de nombreux vpn "click & connect" (qui s'installent à chaud, voir de manière volatile)

Mais je suis d'accord, un reverse proxy est plus confortable si on ne souhaite accéder qu'à des services compatibles (donc pas de cifs/nfs par exemple).

Après, comme dit avant, il faut trouver un équilibre entre le confort, la sécurité et la paranoïa.

  • 4 ans après...
Posté(e)
Le 21/02/2014 à 01:16, Fenrir a dit :

tu complique pour rien

oubli le reverse proxy

 

Etape 1

a-installe une passerelle bien sécurisée

b-ajoute lui un serveur openvpn

c-créé un compte pour ton client (login+pass+certificat)

d-configure ton client pour passer par ce vpn pour aller vers le syno (voir vers le reste du monde pendant que tu y es, si le débit est suffisant)

 

Etape 2 : même chose coté syno

a-sécurité

b-serveur openvpn

c-compte pour la passerelle

d-client sur la passerelle

 

Etape 3

le reste c'est juste du routage (sur la passerelle) pour que ce qui arrive via le vpn1 soit routé dans le vpn2

 

ou alors tu remplace l'étape2 par la 1 en remplaçant client par syno (pas certain que ça soit possible sur le syno par contre)

 

ps : je fais trop de fautes, il est l'heure d'aller au dodo

 

bonne nuit ;)

Bonsoir a tous,

 

Pour l'étape 1, la passerelle ça peut etre une simple box?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.