Pare Feu = Passoire En Vpn Pptp ?

[jcpamart]

Bonjour à tous

J'ai configurer le client VPN en PPTP et le pare feu ne propose de protéger que le lan ou PPOE.(DSM 5 dernier en date).

Du coup, le syno est tout nu sur l'extérieur

On ne peut pas protéger la connexion PPTP ??

Merci à tous

JC

[CoolRaoul]

On ne peut pas protéger la connexion PPTP ??

Non est ce n'est pas faute de l'avoir répété sur le forum

Le VPN est prévu pour relier de façon sécurisée deux sites de *confiance* à distance via un lien public. (et pas pour télécharger du warez sans se faire choper par hadopi )

Synology part du principe que le site à l'autre bout du tunnel VPN est une extension du LAN local (ce qui est l'approche "pro" du concept de VPN) et pas besoin de firewall dans ce cas.

Voir ce que j'avais écrit sur le sujet il y a peu:

[jcpamart]

Ok d'acc, merci Raoul.

Cela dit, on peut quand même partir du principe que relier 2 réseaux de confiances peuvent quand même apporter une sécurité dans la frontière de chacun des réseaux. Évidemment, je comprends la notion "pure" du VPN, mais quitte à avoir un FW, autant lui donner la possibilité de s'appliquer sur une connexion PPTP.

Ok vu et encore merci.

Je vais sécuriser l'autre bout de mon réseau.

Résolu, bonne journée

[CoolRaoul]

Cela dit, on peut quand même partir du principe que relier 2 réseaux de confiances peuvent quand même apporter une sécurité dans la frontière de chacun des réseaux. Évidemment, je comprends la notion "pure" du VPN, mais quitte à avoir un FW, autant lui donner la possibilité de s'appliquer sur une connexion PPTP

Un VPN relie deux segments distants de réseau pour les transformer en un segment unique (bien que virtuel et réparti sur deux sites).

C'est plutôt le genre de topologie ci dessous qu'on rencontre:

+-Site 1-+ +------------------- Site 2 --------------------+

|[Lan 1] | <--- (VPN) ---> | [Lan 2] <--- [firewall] ---> [reste du réseau]|

+========+ +-----------------------------------------------+

Modifié le 8 juin 2014 par CoolRaoul

[jcpamart]

Effectivement, tu as bien raison

Pas de soucis pour mettre un seul pare feu au bout du schéma

Merci

[modjor]

J'ai créé une serie de scripts pour palier a ce "leger" desagrement:

https://github.com/Modjor/transblocker

ces scripts permettent de connecter une connection vpn (pptp ou openvpn), de configurer le firewall, et d'associer transmission a la carte reseau virtuel du vpn.

Raoul: Le vpn n'est pas uniquement utiliser pour relier 2 segment de reseau privé... mais egalement pour anonymiser/crypter etc... le traffic reseau a desination/source d'internet via des providers VPN. Mais il semble en effet que synology ne retiennen que la liaison de deux LAN - ce qui est malheureusement une vision plutot restreinte de la notion de vpn

enjoy!

Modifié le 23 juin 2014 par modjor

[CoolRaoul]

Raoul: Le vpn n'est pas uniquement utiliser pour relier 2 segment de reseau priv

[modjor]

je parle effectivmeent de cryptage lorsque tu n'as pas la chance d'etre seul sur ton segment de reseau (bien evidemment que le traffic n'est pas crypté tout au long avec un vpn...): des colocs, une connection internet partage, un bureau etc... plein de cas de figures ou le cryptage sur le lan local meux s'averer souhaitable si ce n'est necessaire (dans mon cas j'ai un de mes syno au bureau, avec 2000 employés partageant mon lan...)

Concernant la partie telechargement et hadopi, c'est effectivement un autre cas de figure possible, et accesoirement synology propose quand meme dans ses packages le download station... donc oui, il me semble bien que de ne pas ajouter la possiblite de firewallé par defaut la connexion VPN est un enorme trou de secu. Meme dans le cas ou ton syno se connecte a un autre LAN via vpn (il est pargaitement possible de ne pas avoir completement la main sur le lan auquel tu te connectes...). Bref, esperons que syno pallie rapidement a ce gros gros manque....

Je ne casse pas du sucre sur le dos de syno pour le fun (je suis plutto tres satisfait de mes different nas et recommande reguliermeent ce materiel), mais la ya faute limite grave

[CoolRaoul]

je parle effectivmeent de cryptage lorsque tu n'as pas la chance d'etre seul sur ton segment de reseau (bien evidemment que le traffic n'est pas crypt

[modjor]

Bof... , la aussi je trouve étrange de vouloir à priori masquer ses flux de données de ses collègues ou de ses colocs tout en sachant que tout va passer en clair à l'autre bout sans s'en inquiéter plus que ça.

Si on est préoccupé de sécurité, me semble que c'est plus la fonction VPN *serveur* du Syno qui est utile. Dans mon cas par exemple je peux utiliser un client VPN sur mon smartphone que je connecte à mon serveur OpenVPN à domicile lorsque je suis sur un hot-spot wifi ouvert.

Mais pas la peine de se fatiguer à imaginer des usages spécifiques et plus "justifiés" du VPN en mode *client* pour accéder au net, je ne suis pas naïf, et après tout ce n'est pas mes oignons.

Quand tu as 2000 personnes pouvant intercepter ton traffic... ce ne sont pas tous des "potes" ... quoi de plus naturel de vouloir crytper un minimum le traffic... pour exactement les meme raisons que lorsque tu te connectes a un hotspot public... il est tout de meme bien plus simple d intercepter du traffic sur un lan (arp poisining / attaque de type man in the middle) que sur le backbone de mon fournisseur vpn avec un ip publique....

Je n'imagine pas des usages fantasmagorique... je constate seulement certains usages que je peux avoir et somme toute assez classiques des VPN dits public. Sans remettre en cause egalement l'existance des usages possibles concernant hadopi.

Le serveur VPN du syno n'est interessant que pour se connecter de l'exterieur a son syno... quid de la connexion dy Syno a un reseau exterieur...??? Comme je citais precedemment, je peux parfaitement vouloir me connecter un a VPN privé (je ne parle meme plus de vpn publique ici), et ne pas faire confiance a l'ensemble des postes se trouvant sur le LAN distant (et ne pas etre admin de la passerelle distante pour securiser mon syno)

Pourquoi d’ailleurs proposer de firewaller l'interface LAN en suivant ton raisonnement...? dans ce cas autant rester "openbar" sans aucun firewall apres tout.. faisons confiance aux collegues.... ou toute autre personne se connectant au lan auquel j'appartient et sur lequel je n'ai pas toujours des possiblite de controle total.

N'importe quel station de travail Windows ou linux ou Mac etc... aujourd'hui possède un firewall active par defaut et ce meme dans le cas d'une connexion a un reseau local - fort heureusement!!. Cela me semble assez dingue de prétendre qu'il faut faire confiance a ces collegues et surtout a leurs machines, ou aux machines de ses collocs: mon colloc ne veux peux etre pas m'attaquer, mais qui me dit que sa machine est safe et qu'il est competant pour juger de l'etat de sa machine?

Mais oui, désactivons donc les firewall, laissons n'importe qui/quoi scanner nos ports, traffic etc.... après tout la securite n'est qu'un point de detail de l'informatique....

Edit: un autre usage extrememnt classique du vpn public (tellement evident que j'ai oublie de le citer): lorsqu'il n'est pas possible / simple de configurer la redirection de port sur le routeur fournissant l'acces internet au lan, il est plus qu’intéressant de pouvoir se connecter a un vpn et obtenir une ip publique sur le NAS afin d’accéder a certains services du NAS depuis l'exterieur. Ce n'est pas pour ca que j'ai envie que TOUT les services soient accessibles de l'exterieur.

Modifié le 23 juin 2014 par modjor

[jcpamart]

Salut à tous,

Je vois que le sujet regagne en intérêts. Tant mieux pour tous histoire de débattre et de faire avancer la communauté syno.

Perso, je vois pas l'acharnement de Raoul dans cette histoire d'hadopi dans la mesure, (ou il a été dit plus haut), le syno propose un download station. Rappelons en effet, qu'hadopi n'est qu'une petite invention franco-française, qui n'aura le mérite que de couter plus à la communauté et qu'elle n'est issue qu'à la suite de nombreux lobbying qu'il est inutile de discuter sur ce sujet. Et que le P2P est légal dans d'autre pays de la CE.

D'un point de vue technique, le VPN devrait pouvoir se sécuriser sur le NAS en lui même, partant du principe que c'est une machine reliée à un autre réseau tout simplement.

Reste enfin, que l'accès au syno peut se faire depuis des endroits qui ne peuvent être by-passé que par d'autres VPN, je pense notamment à des Intranets que certaines sociétés briquent un peu trop fort à mon goût. Ce qui n'empêche de garder un aspect secure du syno.

Merci à tous de votre participation, le travail continue visiblement....

JC