S

[ZRunner]

Bonjour,

Je n'ai pas trouvé ma réponse jusqu'à présent et je lance donc ma question ici

Voici mon utilisation : j'ai un syno (un DS415+) que je dois utiliser de manière pro pour échanger des infos avec une quinzaine de clients. Mon idée est donc de créer un répertoire générique client puis un répertoire par client et de leur donner à chacun un droit sur son seul répertoire (afin qu'il puisse lire, déposer et modifier les docs qui s'y trouvent). Je pense que le DSM doit être suffisant pour créer des droits sur chaque répertoire et d'éviter qu'un client ne puisse voire les dossiers des autres (y compris le nom du dossier).

Mon Syno est branché directement sur ma freebox. J'ai cru comprendre que pour des raisons de sécurités, je devais installer l'appli VPN ! J'ai trouvé un tuto qui explique comment faire un VPN avec ma Freebox.

Mes questions :

1. Est-ce que vous pensez que je dois vraiment mettre un VPN ?

2. pour mes accès d'un peu partout (Mac, PC depuis mon bureau, Ipad, i-bidules), dois-je configurer sur chaque machine un accès VPN pour avoir accès à mes données sur le syno ?

3. pour mes clients, comment cela se passe t il ? ils doivent chacun configurer un accès VPN ?

4. ma solution sera suffisament sécurisée ainsi ou ais-je loupé d'autres trucs à comprendre et mettre en oeuvre ?

Merci pour vote aide !!!

[domlas]

Pour ce même genre d'usage (plusieurs personnes différentes ne devant avoir accès qu'à certains "dossiers partagés" bien spécifiques je me sers beaucoup du serveur FTP intégré au syno.

D'une part j'ai créé des "dossiers partagés" personnalisés comme "documents de toto", "photos de jules" et "textes de Sidonie".

Par ailleurs j'ai créé les "utilisateurs" suivants (avec leurs mots de passe) dans le DSM "Toto", "Jules" et "Sidonie".

Ensuite j'ai attribué des "privilèges" à ceux-ci. "Toto" a le "privilège" "lecture/écriture" sur le DP "Documents de Toto", "Jules" aura le privilège sur "photos de Jules" etc.

Je valide la fonction "serveur FTP" dans le syno.

Sur la freebox il te faudra rediriger le port 21 (FTP) vers le syno. Ainsi que la plage de ports 55536 à 55567 vers le syno.

Pour tes utilsateurs ils peuvent se servir d'un outil formidable comme filezilla. Il leur suffit alors de renseigner l'hôte = ton adresse IP publique fixe donnée par Free, dans identifiant le nom du dit utilisateur (comme Jules par exemple) et son Pass. Dans port = 21

Après validation il verra se lister sur la fenêtre de droite la liste des DP que tu lui autorises ainsi que le contenu de ce (ou ces) dossiers partagés..

Il peuvent aussi utiliser un simple navigateur en tapant l'adresse suivante = ftp://indentif:pass@IPfree:21 qui listera les DP autorisés et leurs contenus.

Je me sers de ce système à longueur de journées (et de nuits) entre moi et ma fille à 1000Km), son photographe, son monteur vidéo, son imprimeur pour le suivi d'édition de son magazine culturel.

Je m'en sers aussi pour la gestion et les sauvegardes des 6 boutiques de mon copain.

La gestion de VPN est possible mais plus complexe et est plus réservée à des liaisons poste à poste peu mobiles. Le gros intérêt est pour une déportation de "travail à domicile" ce qui permet d'avoir chez soi un ordi qui travaillera à l'exact identique que si il était dans l'entreprise.

Quand à la "sécurisation" grand dada du moment, de bons mots de passe et l'évitement complet et draconnien des sites douteux (pornos, jeux, piratage, P2P etc) réduit à au moins 99% les risques.

En 15 ans je n'ai eu qu'une vague attaque au début durant les heures de gloire de Napster...

[pews]

Le VPN entre ton syno et ta freebox ne sert à rien. Tu es sur le même reseau local. Un VPN permet d'étendre un réseau local sur de l'internet en chiffrant les données. SI tu es chez toi avec tes équipements, ca ne sert à rien de monter un VPN vers ton NAS. Si tu as l'extérieur, ca dépend de ce que tu veux faire.

Moi par exemple, mon NAS est chez ma femme, et moi je me suis paramétré un VPN entre mon PC portable et le NAS car je suis à distance et ca me permet d'accèder à tous mes dossiers dans l'explorateur comme si j'étais chez ma femme. Comprendo ?

Ce que je ferais à ta place:

- créer les utilisateurs en activant l'accueil utilisateur. Chaque utilisateur aura un accès à son repertoire personne : Hometoto, Homeclaire, Homelolo...

- Creer un dossier partagé en donnant à chaque utilisateur les droits en lecture / Ecriture = c'est ton répertoire commun.

- Monter un tunnel VPN entre tes clients vers ton syno. Ils auront ainsi dans l'explorateur windows accès à leurs repertoires comme s'ils étaient sur ton réseau local.

J'espère que tu as une connexion fibre ou de la VDSL sinon ca va ramer quand ils vont pousser un fichier sur le NAS.

[pews]

Et pour sécuriser ton architecture, je pense qu' il faudrait que ton NAS soit dans une DMZ. Ainsi, tes clients auront accès en local qu'a ton NAS et pas directement à ton réseau local chez toi pour éviter d'une part qu'ils puissent se connecter à tes équipements multimédias et cela évite aussi la propagation de virus ou autre...

[ZRunner]

Merci pews,

Oui, c'est très clair. Dans mon cas, j'accède effectivement à 99% de l'extérieur et j'ai besoin d'avoir accçès à toutes les données qui sont sur le syno.

- Monter un tunnel VPN entre tes clients vers ton syno. Ils auront ainsi dans l'explorateur windows accès à leurs repertoires comme s'ils étaient sur ton réseau local.

Peux tu m'expliquer ?

- je pense qu' il faudrait que ton NAS soit dans une DMZ.

idem, si tu peux m'expliquer comment faire (désolé, je débute vraiment mais j'ai soif de comprendre ).

[pews]

Le VPN permet d’étendre le réseau local à travers Internet. Ce qui veux dire que tes clients accéderont aux dossiers de ton NAS comme s'ils étaisent chez toi. Tes clients iront dans l'explorateur de fichier pour accèder à ton nas et pourront ouvrir les fichiers, les copier, les déplacer, les supprimer...

Pour la DMZ, tu peux lire des explications ici.

Il faut que tu te documentes sur les concepts avant de les mettre en oeuvre.

[ZRunner]

Merci en tout cas, tes explications sont très claires.

[gaetan.cambier]

c'est une très mauvaise iddée la dmz :

la dmz, tel que defini sur le freebax revolution et la plupart des box internet, c'est uniquement la redirection de tous les port ver une ip

--> le nas sera accessible par internet en direct, sans protection

et ca n'isolera en rien du réseau local

[domlas]

En question de sécurité il est préférable d'éviter le DMZ.

Ouvrir un DMZ est en gros comme laisser sa porte blindée grande ouverte en priant que les cambrioleurs ne s'en aperçoivent pas.

[pews]

Effectivement, je n'avais pas creuser la DMZ à la Free, et si je comprends bien, tous les ports sont redirigés vers la DMZ... C'est dommage que tu ne puisses pas sélectionner les ports à rediriger vers ta DMZ.

Donc DMZ à la free = mauvaise idée. Il vaut mieux laisser le NAS sur ton réseau local mais tes clients se connecteront à ton réseau local en VPN alors... Faut avoir confiance en tes clients

[franck61700]

Bonsoir,

je m'incruste le sujet est intéressant .

J'ai une question au sujet de la méthode proposée par Domlas :

est ce que la méthode est valable aussi avec le FAI numéricable ? ( la redirection vers le syno du port 21 et la palge de ports 55536 à 55567 vers le syno ).

Merci.

[domlas]

A priori il ne devrait pas y avoir de problème. La box de Numéricable (que je ne connais pas) doit très certainement renfermer un routeur des plus classiques et qui doit donc pouvoir être paramétré comme tous les autres routeurs.

[franck61700]

Merci Domlas pour la réponse.

J'ai été dans mon routeur pour rediriger les ports et dans la ligne à remplir il y a la case Protocole à remplir :soit TCP, soit UDP, soit les deux.

j'ai lu un peu de documentation et franchement je ne sais pas lequel choisir ; si par défaut je mets "Les deux" est ce que cela "pénalise" mon installation ou

bien il faut mettre impérativement le bon protocole ?

Merci

***** EDIT : j'ai trouvé la bonne documentation : j'ai obtenu des réponses ( mais pas tout ) *****************

Merci

Modifié le 17 décembre 2014 par franck61700