PiwiLAbruti Posté(e) le 22 septembre 2017 Posté(e) le 22 septembre 2017 Est-ce que tu constates une différence avec et sans cette configuration ? 0 Citer
GeoGregg Posté(e) le 22 septembre 2017 Posté(e) le 22 septembre 2017 (modifié) J'ai utilisé très peu QuickConnect, et j'arrivai à écouter de la musique à voir des photos, alors que là, je n'arrive à rien....trop,trop lent. Modifié le 22 septembre 2017 par GeoGregg 0 Citer
PiwiLAbruti Posté(e) le 22 septembre 2017 Posté(e) le 22 septembre 2017 Et tu penses trouver de l'aide en donnant si peu d'informations ? Commence déjà par regarder l'activité de ton NAS dans le moniteur de ressources. 0 Citer
GeoGregg Posté(e) le 22 septembre 2017 Posté(e) le 22 septembre 2017 (modifié) Voilà! peut-être que ça vient de ma connexion internet aussi. Modifié le 22 septembre 2017 par GeoGregg 0 Citer
Fenrir Posté(e) le 22 septembre 2017 Auteur Posté(e) le 22 septembre 2017 Cette configuration ne devrait pas avoir d'effets sur les performances. Par contre l'usage de quickconnect est toujours suivi de performances aléatoires. 0 Citer
GeoGregg Posté(e) le 23 septembre 2017 Posté(e) le 23 septembre 2017 Ok, merci je n'utilise pas quickconnect, je vais continuer comme ça. 0 Citer
sebgros Posté(e) le 24 octobre 2017 Posté(e) le 24 octobre 2017 bonjour, quelqu'un pourrait me confirmer que les règles de pare-feu suivantes sont correctes? https://img4.hostingpics.net/pics/1 [...] arefeu.png 1-la 1ère a été faite par DSM (enfin le pare-feu) pour les applis, je ne l'ai pas faite mais j'ai juste choisi de la garder. 2-pour la seconde, j'autorise mon routeur et tout son sous réseau, c'est ça? je ne vois pas la différence entre cette méthode et celle qui consiste à autoriser que la plage d'IP que j'ai configurée dans mon routeur (192.168.0.10 à 30). 3-la 3ème autorise les IP françaises 4-la dernière refuse tout le reste à noter que -pour le moment- je n'accède à mon Syno de l'extérieur que pour une tâche d'hyperbackup qui arrive chez moi en venant d'une IP française. je suis en fibre et mon IP ne change que rarement. Devrais-je donc changer la 1ère règle pour n'y laisser qu'hyperbackup? merci. 0 Citer
Mic13710 Posté(e) le 24 octobre 2017 Posté(e) le 24 octobre 2017 C'est sûr que vu comme ça, rien n'est bloqué. Aucun port d'une adresse venant de France n'est bloqué. Autrement dit, c'est open bar. Suivez l'exemple de Fenrir et n'ouvrez QUE les ports dont vous avez besoin. 0 Citer
sebgros Posté(e) le 24 octobre 2017 Posté(e) le 24 octobre 2017 (modifié) le pare-feu du routeur ne redirige qu'un port exotique vers le syno pour hyperbackup, ça ne fait pas l'affaire? après, je peux aussi n'autoriser que l'adresse IP d'où vient ce hyperbackup.. mais le pare-feu le verra t il comme tel ou comme une demande du routeur? Modifié le 24 octobre 2017 par sebgros 0 Citer
Mic13710 Posté(e) le 24 octobre 2017 Posté(e) le 24 octobre 2017 Si vous avez une parefeu sur le routeur, pourquoi pas, mais j'en doute et si c'est une box, il n'y a en principe pas de parefeu (la redirection de port n'est pas un parefeu). Dans vos paramètres vous n'autorisez d'abord que WebStation, PhotoStation et peut-être d'autres applis que je ne vois pas, puis ensuite vous autorisez tout dans la troisième règle. Donc open bar. Si vous voulez uniquement les applis de la règle 1, vous supprimez la règle 3 qui ne sert à rien. Et pour être cohérent, vous passez la règle 2 (vos IP privées) en position une, et la une en 2. 0 Citer
sebgros Posté(e) le 24 octobre 2017 Posté(e) le 24 octobre 2017 j'ai une livebox 4 sur laquelle il y a en effet la redirection de port et ce qui 'dit' être un pare-feu. ok pour inverser les 2 règles et supprimer la 3 mais qu'en est il de ma connexion hyperbackup entrante? elle sera considérée comme venant de la box et donc sur IP locale (vu que j'ai mis une redirection de port) ou bien elle sera considérée comme extérieure? 0 Citer
Mic13710 Posté(e) le 24 octobre 2017 Posté(e) le 24 octobre 2017 C'est le port qu'utilise le NAS pour l'application qu'il faut considérer. Si Hyperbackup utilise un port spécifique, il faut alors diriger un port externe spécifique vers le port spécifique du NAS et l'autoriser dans le parefeu. Je n'utilise pas hyperbackup pour des sauvegardes externes (mes sauvegardes ne sont qu'internes), et donc je ne connais pas le port si toutefois il y en a un exotique. 0 Citer
sebgros Posté(e) le 24 octobre 2017 Posté(e) le 24 octobre 2017 (modifié) il y a 6 minutes, Mic13710 a dit : C'est le port qu'utilise le NAS pour l'application qu'il faut considérer. Si Hyperbackup utilise un port spécifique, il faut alors diriger un port externe spécifique vers le port spécifique du NAS et l'autoriser dans le parefeu. c'est ce que j'ai fait au niveau du pare-feu de la boxe. un port exotique est redirigé vers l'adresse IP (interne) du NAS (6281 pour hyperbackup) pour reprendre un message précédent, ce n'est pas open bar au niveau de la box, un seul port est redirigé vers le NAS. ma question demeure : elle sera considérée comme venant de la box et donc sur IP locale (vu que j'ai mis une redirection de port) ou bien elle sera considérée comme extérieure? merci beaucoup pour votre aide Modifié le 24 octobre 2017 par sebgros 0 Citer
Fenrir Posté(e) le 24 octobre 2017 Auteur Posté(e) le 24 octobre 2017 règle automatique, on ne sait pas ce qu'elle fait (on ne voit pas tout) et ouvert depuis partout => à supprimer il y a une erreur (étonnant que le syno ait laissé faire) => 192.168.0.0/255.255.255.0 (je recommande 192.168.0.0/255.255.0.0) et il faut la passer en 1 (c'est probablement la règle qui sera la plus utilisée) open bar depuis la France (même si la box protège en ne transférant pas tous les ports, en cas de souci avec cette dernière ça sera tout de même open bar) => ajoute explicitement les ports que tu utilises depuis TOUTE la France ok Ce que j'indique reprend ce que t'as indiqué @Mic13710 à juste titre. Et pour l'IP, dans ton cas l'ip source sera l'ip Internet (publique) de la box d'en face, ça ne sera pas l'ip (publique ou locale) de ta box. =>si tu n'autorises que HyperBackup depuis l'extérieur (sans compter ta règle 1), remplace la règles 3 par : Port configuré pour HyperBackup (éventuellement modifié par ta box) --- TCP --- IP publique de la box d'en face --- Autoriser 0 Citer
sebgros Posté(e) le 24 octobre 2017 Posté(e) le 24 octobre 2017 (modifié) merci pour ces réponses 1-la règle 1 (automatique) a été créée par le DSM lui-même à chaque installation de paquet synoly. ok, je vire. 2-192.168.0.1, c'est l'adresse de ma passerelle et donc livebox...? peut-être l'avais-je changée à l'origine lors de la config mais le zéro ne mène nulle part. il y a un problème avec ça? quant a 255.255.0.0 c'est une erreur de ma part. j'ai 255.255.255.0 dans ip config. problème là aussi? 3-ok, nouvelle règle faite ce qui donne pour le moment (hormis l'erreur de masque de sous-réseau!!) https://www.hostingpics.net/viewer.php?id=726725Sanstitre.png Modifié le 24 octobre 2017 par sebgros 0 Citer
Fenrir Posté(e) le 24 octobre 2017 Auteur Posté(e) le 24 octobre 2017 Pour la règle 2, tu as mis une machine, c'est tout le "sous-réseau" qu'il faut autoriser. Si tu as mis "hôte unique", tu autorises seulement la box elle même (je ne parle pas du trafic qui vient de la box, mais de la box elle même) => donc pc ne devrait plus avoir accès au nas => ce dernier devrait t’empêcher de faire cette règle sauf dans 2 cas : le pare feu n'est pas activé tu utilises la fonction loopback de ta box (donc tu accèdes à ton nas par son nom de domaine public) 0 Citer
sebgros Posté(e) le 24 octobre 2017 Posté(e) le 24 octobre 2017 (modifié) je ne suis pas sur de te suivre là. ma box a pour IP 192.168.0.1 (j'ignore si c'est par défaut) et les machines connectées sont sur une plage de 192.168.0.10 à 192.168.0.30. le pare feu est bien activé. je ne crois pas utiliser de fonction loopback. et sur ce screenshot (où j'ai corriger le masque) , tout le sous réseau n'est-il pas autorisé? https://www.hostingpics.net/viewer.php?id=565113Sanstitre.png mon ip config https://www.hostingpics.net/viewer.php?id=152124Sanstitre2.png merci pour ton aide et ta patience Modifié le 24 octobre 2017 par sebgros 0 Citer
Fenrir Posté(e) le 25 octobre 2017 Auteur Posté(e) le 25 octobre 2017 192.168.0.1/255.255.255.0 = la machine qui a l'adresse 192.168.0.1 dans le réseau 192.168.0.0/24 (192.168.0.0 -> 192.168.0.255) 192.168.0.0/255.255.255.0 = le réseau 192.168.0.0/24 (192.168.0.0 -> 192.168.0.255) Pour le détail il faudrait que je te fasse un cours réseau => https://openclassrooms.com/courses/apprenez-le-fonctionnement-des-reseaux-tcp-ip/decoupage-d-une-plage-d-adresses-1 0 Citer
sebgros Posté(e) le 27 octobre 2017 Posté(e) le 27 octobre 2017 bon, si on reprend synthétiquement, je dois dans l'ordre faire une règle pour autoriser : mes machines locales qui sont sur les adresses de 192.168.0.10 à 192.168.0.30 la machine distante (en ip fixe) sur le seul port interne d'hyperbackup (elle est redirigée vers le nas dans la box) refuser tout le reste. j'ai bon cette fois? si oui, il y a un moyen sain de tester que le pare-feu fait bien son job? encore merci 0 Citer
Fenrir Posté(e) le 27 octobre 2017 Auteur Posté(e) le 27 octobre 2017 https://mxtoolbox.com/PortScan.aspx 0 Citer
toinoux50 Posté(e) le 17 novembre 2017 Posté(e) le 17 novembre 2017 Bonjour, j'ai suivi a la lettre et avec beaucoup d'intérêt le tutoriel pour sécurisé mon NAS j'ai effectué pas mal de vos recommandations. Seulement j'ai une question, j'ai créer comme conseillé un super admin qui s'occupe de gérer le NAS pour désactiver l'admin par défaut. Dans ce passage du tuto : Citation "Arrivez ici vous allez penser que ce compte (monadmin) est inutilisable. C'est faux, c'est un compte d’administrateur qui peut effectuer toutes les tâches d'administration, il n'a pas besoin de voir des vidéos, d'envoyer des photos, ...Donc maintenant vous pouvez/devez créer des comptes "normaux" (sans les droits d'administration) et le compte d'administration sera réservé aux tâches d'administration." Moi j'ai installé tout mes paquets et fait tous mes réglages time machine, download station, vpn et autres ... sur un autre compte administrateur de base "Toinou" que j'avais recréer vu que j'avais désactivé l'admin lors de ma première configuration. Comment faire pour réinstaller et remettre tous mes réglages dans mon compte super admin ? (que j'ai recréer en suivant ce tuto) avec une grande sécurité. pour ne garder qu'un compte de consultation par la suite ? J'ai bien pensé a mettre mon compte admin "Toinou" en super admin seulement l’intérêt si j'ai bien compris le tuto c'est de désactiver pratiquement toutes les fonctionnalités, ex : permission sur les applications, limite de vitesse, permissions dossier partagés.hors ce compte gère absolument tous mes réglages sans aucune limite de permission. Je m'embrouille peut être ou j'ai peut être mal compris Merci à tous pour vos conseils. Toinoux 0 Citer
Fenrir Posté(e) le 17 novembre 2017 Auteur Posté(e) le 17 novembre 2017 En fait dans le tuto, je donne juste la bonne pratique qui est qu'un admin doit pouvoir administrer mais n'a pas besoin d'accéder aux données. Tout en indiquant qu'un admin peut se remettre les droits si besoin. L'intérêt est que, si pour une raison ou une autre, ce compte arrive à accéder une des applications de gestion des fichiers (FileStation par exemple), il ne puisse pas faire grand-chose. Si c'est trop contraignant pour ton utilisation, tu n'es pas obligé de faire la même chose. nb : "bonne pratique" ne veut pas dire "pratique réaliste" pour tout le monde 0 Citer
Diabolomagic Posté(e) le 7 décembre 2017 Posté(e) le 7 décembre 2017 (modifié) Bonjour à tous, merci Fenrir pour ce tutoriel qui m'a bien maché le travail et dés plus instructif. Aprés plusieurs relecture de ton post j'ai toujours des points que je souhaiterai éclaircir car je n'arrive pas à me connecter à mon NAS depuis l'exterieur : Merci de votre clémence, le réseau (et le monde synology) n'est pas trop ma tasse de thé donc je m'excuse par avance du niveau de certaines questions. Pour autant je ne baisse pas les bras et j'aimerai comprendre. FREEBOX : Je posséde une Freebox Crystal, est ce normal qu'aprés avoir renseigné les ports à forwarder et avoir rebooté la box je n'ai aucun moyen de savoir si cela à bien été pris en compte. Je tombe sur une page vierge, comme si je n'avais créé aucunes régles, de même pour la réservation de l'adresse IP dans le DHCP, assez problématique car aucun moyen de savoir si les problémes qui en découles viennent de ma box ou/et de mon NAS (mal configuré) ... NAS : Dans accés externe/DDNS/ j'ai renseigné mon adresse IP au lieu de 1.1.1.1, j'ai cru comprendre que free fournissait une IP fixe mais n'en suis pas certain ? Dans accés externe/DDNS/ le nom d'hôte correspond bien au nom que j'ai donné au NAS ? Dans cette même rubrique quand je clic sur "test de connexion" le statut passe à "normal" qu'est que ça signifie ? Dans accés externe/avancé/ j'ai renseigné l'IP fourni par Free 78.*.*.*, vaut il mieux renseigner le nom d'hôte (nom du nas) ? Dans réseau/général/ Nom du serveur = nom du nas ? Dans réseau/paramétres DSM je n'ai pas créé le script de Fenrir car je n'ai pas souhaité rediriger les connexions HTTP vers HTTPS, ni coché "activer un domaine personnalisé" de quoi parle t'on un domaine active directory ? Dans Sécurité/Sécurité "Afficher la notification ...lorsque l'IP change" De quelle IP parle t'on ? Celle du NAS ? Dans Sécurité/Compte conseillez vous d'activer la protection du nom ? Dans Sécurité/Certificat j'ai créé un certif signé par let's encrypt et je l'ai passé par défaut, cependant y a t'il possibilité de désactiver le certif auto signé au lieu de le supprimer ? Dans Notification/Email, n'ayant pas de serveur SMTP à la maison j'ai configuré mon adresse Gmail, j'ai donc du autoriser Synology à avoir accés à ma BAL, y a t'il un risque ? Petit Hors sujet : Dans Materiel/Alimentation/UPS j'ai coché la case activer la prise en charger UPS, ainsi qu'éteindre l'ups lorsque le systeme passe en mode sécurité. Qu'entendent ils par "mode sécurité" ? Dans Materiel/Alimentation/UPS, même question mais pour le mode sans echec, je n'ai pas osé cocher la case ne sachant pas trop ce que ça implique ? Sur les recommandations du forum j'ai désactivé la mise en hibernation, j'ai cru comprendre que c'était préférable pour les DD. Dernier petit hors sujet, puis je désinstaller le paquet PHP 7.0 qui ne me sert absolument pas ou est ce que certaines autres applis ont en besoin ? Merci par avance de toute l'aide que vous pourrez m'apporter car j'ai conscience de demander bcp de chose. Bonne journée à vous. Modifié le 7 décembre 2017 par Diabolomagic 0 Citer
Fenrir Posté(e) le 7 décembre 2017 Auteur Posté(e) le 7 décembre 2017 Il y a 10 heures, Diabolomagic a dit : Je tombe sur une page vierge Essaye avec un autre navigateur (si tu utilises firefox, control+shif+r sur la page) Il y a 10 heures, Diabolomagic a dit : j'ai cru comprendre que free fournissait une IP fixe c'est bien le cas en dégroupé (partiel ou total) Il y a 10 heures, Diabolomagic a dit : Dans Sécurité/Certificat j'ai créé un certif signé par let's encrypt et je l'ai passé par défaut, cependant y a t'il possibilité de désactiver le certif auto signé au lieu de le supprimer ? Oui tu peux (dois) supprimer le certificat d'origine sans risques, il faudra peut être juste mettre l'autre par défaut avant Il y a 10 heures, Diabolomagic a dit : Dans Notification/Email, n'ayant pas de serveur SMTP à la maison j'ai configuré mon adresse Gmail, j'ai donc du autoriser Synology à avoir accés à ma BAL, y a t'il un risque ? Pas spécialement, mais dans gmail tu as ça : https://support.google.com/accounts/answer/185833?hl=fr Il y a 10 heures, Diabolomagic a dit : Dernier petit hors sujet, puis je désinstaller le paquet PHP 7.0 qui ne me sert absolument pas ou est ce que certaines autres applis ont en besoin ? Si une appli en a besoin le nas te le dira Pour le reste de tes questions, tu as la réponse dans le tuto ou dans la doc officielle : https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/AdminCenter/ControlPanel_desc 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.