Fenrir Posté(e) le 21 février 2014 Partager Posté(e) le 21 février 2014 (modifié) Oui ok pour le lan. Donc ça implique de devoir jongler dans ses favoris... Pas des plus pratiques, mais ça fonctionne pas nécessairement, trop tard pour détailler, mais il y a plein de façon de faire Si c'est le cas, c'est effectivement plus simple via une passerelle et un reverse proxy tout simplement. Puis une limitation d'accès qu'à la passerelle pour éviter tout accès extérieur. (Même pas certain que le VPN soit indispensable au fonctionnement, juste que ça t'assure le chiffrement) oui et non le vpn est effectivement là pour sécuriser le canal de com, mais il permet aussi de faire l'identification fiable du client c'est comme l'https et le login/password du site de ta banque sans l'un ou l'autre, c'est tout de suite moins sécurisé -pas de login/password (pas d'identification) et tout le monde peut accéder à ton compte -pas de https (canal sécurisé) et toutes les grandes oreilles peuvent connaitre ton login/password le vpn c'est juste un moyen "simple" de faire le 2 d'un coup Modifié le 21 février 2014 par Fenrir 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 21 février 2014 Partager Posté(e) le 21 février 2014 (modifié) Oui et ça rend le service d'autant plus sex ! Mais je possède mon nom de domaine donc le choix se fera par une bonne config DNS Ou je peinais à avancer c'était ça comment faire le lien permanent entre syno et "pseudo serveur synology quick connect qui n'en est pas" Le VPN c'est la piste ça me paraît clair Que penses-tu de ça alors une passerelle FW Reverse proxy comprenant le serveur VPN Un lien VPN avec lcé SSH entre syno et passerelle Les règles serait de rediriger le trafic qui pointe vers monsyno.mondomaine.tld vers mon syno Je pourrais faire du "port translating" en toute transparence non !? genre monsyno.mondomaine.tld/FS qui pointe vers le port de FiIeStation par exple? Le système d'id doit être une astuce consistant à ajouter le NDD à la suite de l'id en question donc je m'en passe, Et tout ça sans que jamais l'ip publique "abritant" mon syno ne soit divulgué au delà de ma passerelle ? Faut que je retourne à la clope ! Merci Fenrir pour tes lumières tu complique pour rien oubli le reverse proxy Etape 1 a-installe une passerelle bien sécurisée b-ajoute lui un serveur openvpn c-créé un compte pour ton client (login+pass+certificat) d-configure ton client pour passer par ce vpn pour aller vers le syno (voir vers le reste du monde pendant que tu y es, si le débit est suffisant) Etape 2 : même chose coté syno a-sécurité b-serveur openvpn c-compte pour la passerelle d-client sur la passerelle Etape 3 le reste c'est juste du routage (sur la passerelle) pour que ce qui arrive via le vpn1 soit routé dans le vpn2 ou alors tu remplace l'étape2 par la 1 en remplaçant client par syno (pas certain que ça soit possible sur le syno par contre) ps : je fais trop de fautes, il est l'heure d'aller au dodo bonne nuit Modifié le 21 février 2014 par Fenrir 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ridfa Posté(e) le 21 février 2014 Auteur Partager Posté(e) le 21 février 2014 (modifié) Pfff j'en ai pris plein la cervelle Good night Je laisse une dernière (double) petite question : C'est une hérésie d'envisager ça sur dédié OVH par exemple !? Si le disque de la distrib est sous LVM crypté par exemple !? @+ Modifié le 21 février 2014 par Ridfa 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Vinky Posté(e) le 21 février 2014 Partager Posté(e) le 21 février 2014 pas nécessairement, trop tard pour détailler, mais il y a plein de façon de faire oui et non le vpn est effectivement là pour sécuriser le canal de com, mais il permet aussi de faire l'identification fiable du client c'est comme l'https et le login/password du site de ta banque sans l'un ou l'autre, c'est tout de suite moins sécurisé -pas de login/password (pas d'identification) et tout le monde peut accéder à ton compte -pas de https (canal sécurisé) et toutes les grandes oreilles peuvent connaitre ton login/password le vpn c'est juste un moyen "simple" de faire le 2 d'un coup Ok, je vois à un détail prêt le : "simple". Personnellement c'est tout sauf "simple" point de vu client un VPN, ça implique configuration OBLIGATOIRE pour pouvoir aller sur le NAS sur un client lambda, c'est bien si tu ne te sers que d'un client, si tu changes régulièrement de façon aléatoire, c'est quasi inutilisable (contrairement au reverse-proxy comme le proposait Ridfa) PS : Je pourrais être intéressé par un tel fonctionnement, particulièrement comme celui que décrivait Ridfa plus haut, mais un VPN côté client c'est juste rédhibitoire pour ma part... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 22 février 2014 Partager Posté(e) le 22 février 2014 On s'est fait botté le c*l par les gallois Pfff j'en ai pris plein la cervelle Good night Je laisse une dernière (double) petite question : C'est une hérésie d'envisager ça sur dédié OVH par exemple !? Si le disque de la distrib est sous LVM crypté par exemple !? @+ Non, même si ça implique d'avoir un minimum confiance en l'hébergeur. OVH, tout comme Iliad et quelques autres, présentent mêmes quelques avantages par rapport à amazon(aws/ec2)/google (apps/compute engine)/ms (azure), ... : ils sont français et leurs datacenter sont (pour les principaux) en france =>soumis aux lois françaises (même si avec la LPM ont est mal barré, c'est toujours moins pire que dans certains pays) =>moins de problèmes de latence et de peering car physiquement plus proche qu'un datacenter en Irlande ou dans le Delaware Le fait que ton disque soit chiffré est toujours un plus (par contre ça va être plus compliqué de le redemarrer à distance ) mais attention à mettre un frein au mode parano. Si tu en es là, n'oubli pas les antirootkit, grsec, selinux, ... en gros, tu vas probablement passer plus de temps à sécuriser ta passerelle que tu ne vas l'utiliser. Je ne dis pas que c'est mal, je le fais de temps en temps pour garder la main, mais il faut savoir rester raisonnable. A titre perso (et pro aussi), quand j'ai besoin de confidentialité (qui est un aspect de la sécurité), j'héberge moi même, dans un placard (ou un datacenter), dont je suis le seul (avec mes collègues pour le mode pro) à avoir les clefs. Pour le reste je me contente la plupart du temps de sécuriser les com et les accès logiques, pour l'accès physique, je fais confiance, sinon on ne s'en sort plus. Ok, je vois à un détail prêt le : "simple". Personnellement c'est tout sauf "simple" point de vu client un VPN, ça implique configuration OBLIGATOIRE pour pouvoir aller sur le NAS sur un client lambda, c'est bien si tu ne te sers que d'un client, si tu changes régulièrement de façon aléatoire, c'est quasi inutilisable (contrairement au reverse-proxy comme le proposait Ridfa) PS : Je pourrais être intéressé par un tel fonctionnement, particulièrement comme celui que décrivait Ridfa plus haut, mais un VPN côté client c'est juste rédhibitoire pour ma part... Pour ça que "simple" était entre guillemets, mais ça reste moins compliqué à mettre en place coté serveur. Pour les clients lambda, j'ai 2 réponses faciles : 1-accéder à des données sensibles depuis un poste qu'on ne maitrise pas est un hérésie (keylogger, vers, ...) 2-la plupart des systèmes intergent plusieurs clients vpn en standard (à commencer par ipsec) et il existe de nombreux vpn "click & connect" (qui s'installent à chaud, voir de manière volatile) Mais je suis d'accord, un reverse proxy est plus confortable si on ne souhaite accéder qu'à des services compatibles (donc pas de cifs/nfs par exemple). Après, comme dit avant, il faut trouver un équilibre entre le confort, la sécurité et la paranoïa. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Papag Posté(e) le 1 mars 2018 Partager Posté(e) le 1 mars 2018 Le 21/02/2014 à 01:16, Fenrir a dit : tu complique pour rien oubli le reverse proxy Etape 1 a-installe une passerelle bien sécurisée b-ajoute lui un serveur openvpn c-créé un compte pour ton client (login+pass+certificat) d-configure ton client pour passer par ce vpn pour aller vers le syno (voir vers le reste du monde pendant que tu y es, si le débit est suffisant) Etape 2 : même chose coté syno a-sécurité b-serveur openvpn c-compte pour la passerelle d-client sur la passerelle Etape 3 le reste c'est juste du routage (sur la passerelle) pour que ce qui arrive via le vpn1 soit routé dans le vpn2 ou alors tu remplace l'étape2 par la 1 en remplaçant client par syno (pas certain que ça soit possible sur le syno par contre) ps : je fais trop de fautes, il est l'heure d'aller au dodo bonne nuit Bonsoir a tous, Pour l'étape 1, la passerelle ça peut etre une simple box? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 4 mars 2018 Partager Posté(e) le 4 mars 2018 ça dépend de ce que tu souhaites faire 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Papag Posté(e) le 11 mars 2018 Partager Posté(e) le 11 mars 2018 Me connecté en direct tout en concervant la sauvegarde photo 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 11 mars 2018 Partager Posté(e) le 11 mars 2018 =>oui la plupart des box peuvent faire l'affaire 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.