[TUTO] Sécuriser les accès à son nas - DSM 6.x

[asimpleuser1]

Merci beaucoup, cela est fait!

[camdel]

Bonjour,

Je fait parti des 5% évoqués par @Fenrir au debut de son tuto et de surcroit je suis tout à fait novice en réseau.

J'ai suivi le tuto plus de 3 fois et lu les 18 pages de commentaires sans trouver la solution à tous mes problèmes rencontrés.

 

Mon souhait : créer un environnement sécurisé pour mon activité professionnelle (je suis photographe et vidéaste)

Mes besoins : pouvoir partager mes productions (essentiellement partage de dossiers), permettre l'upload de fichiers à des profils restreint (via comptes utilisateurs présent au Middle East, Asie, USA, Europe), stocker le contenu de manière sécurisé (backup avec Backblaze), pouvoir me connecter en local ou distance (mon métier me fait voyager régulièrement).

 

Note : Le monde du réseau m'est obscur. J'en saisi quelques briques mais je ne souhaite plus y passer davantage de temps pour un besoin aussi basique. Ce n'est ni mon métier, ni un centre d'intérêt actuel. Je peux sûrement révolutionner ma manière de travailler mais ma priorité actuelle est que ces fonctionnalités de base soient opérationnelles, un intérêt peut être peut-être suivra.

 

Le tuto a été scrupuleusement suivi, mais que cela soit avec ou sans le pare-feu, je n'arrive pas à accéder à nomdhote.synology.me et n'est aucune idée d'où ça peut venir, ça fait déjà plus de très longues heures que je suis sur le sujet...

 

Je pense que ça vient principalement des points suivants et souhaite votre expertise :

 

1. Nom d'hôte VS Domaine : Si il y a 2 nom il s'agit sûrement de 2 chose différentes... J'ai un ndd pour mon site, hébergé chez OVH. Je ne sais pas si je peux avoir le même nom de domaine à la fois pour le NAS et mon site web, tout en conservant l'hébergement chez OVH (plus simple pour moi) et ainsi bénéficier de la même adresse, plus simple notamment aux yeux de mes clients. Si c'est possible, je ferai peut être cela dans un second temps mais il me faut filer un lien vers un tuto très détaillé.
Dans l'immédiat  pouvez-vous me confirmer que Domaine et Nom d'hôte peuvent être identique ?

 

2. Certificat SSL était expiré (+de 3 mois), je l'ai renouvelé, avec peine (erreur port 80), mais au final je ne sais comment il me semble désormais valide (cf. image ci-dessus).

 

3. Sécurité/Pare-feu : J'ai un énorme questionnement que la partie pare-feu avec l'IP renseignée en ligne 4. J'ai renseigné la même chose que @Fenrir mais n'ai pas saisi si il s'agit d'un exemple ou s'il faut que je renseigne une autre IP. Si oui laquelle ?

J'ai désactivé le VPN pour le moment, en attendant de résoudre déjà cela.

 

4. Https : J'ai toujours la page "Votre connexion n'est pas privé , Malveillant etc." Comment virer cette page d'erreur et arriver directement sur la page de login?

 

5. Je ne sais pas ce qu'il faut écrire dans la box 

Citation

si votre NAS est derrière une Box, il faudra aussi transférer (forward) les ports sur cette dernière

 

6. Upnp :  Cherchant des solutions, en lisant les commentaires je suis allé dans ma config de ma box et ai regardé si Upnp était désactivé. Je n'ai aucune idée de ce que 'est ni à quoi ça sert. Mais du coup j'ai suivi ce qui était conseillé et désactivé ces lignes. J'ai bien fait ou je dois remettre "Yes" ?

 

7. Conseiller de sécurité : j'ai décoché ce qui était en rouge comme l'a fait @Ric67, désormais tout est vert : c'est une manière un peu bizarre de résoudre des alertes. Anyway, vous savez mieux que moi.

 

Merci beaucoup par avance de vos réponses.

Modifié le 3 novembre 2018 par camdel

[Fenrir]

1-si tu as une IP internet fixe, configure un enregistrement DNS de type A sur ton interface OVH qui pointe sur ton adresse IP, si ton ip est dynamique, il te faut une système de mise à jour automatique (je crois que les syno savent le faire pour OVH) ou tu peux faire un alias (type CNAME) qui pointe sur un truc en synology.me

2-tu dois accéder à ton nas avec le même nom que celui présent dans le certificat, si ton certificat est valide pour toto.synology.me, tu dois accéder à ton nas avec l'adresse toto.synology.me

3-la ligne 4 est une ligne d'exemple, elle n'est pas obligatoire, heureusement pour toi cette adresse ne sert que dans les documentations

4-cf point 2, pour que ça fonctionne aussi en local (chez toi), il faudra suivre le tuto DNS

5-pour rendre le nas accessible sur ton port 5001 (par exemple), tu dois remplir comme suit (de gauche à droite) : Enable/None/TCP/5001/5001/5001/ip privée du nas/rien/un commentaire

6-il vaut mieux couper l'upnp, c'est dangereux (j'explique pourquoi dans le tuto)

7-il ne faut pas tout décocher, seulement les alertes qui sont normales par rapport aux réglages (dans mon tuto je ne change pas les ports par défaut, donc c'est voulu, mais ici il y a d'autres alertes qu'il faut évaluer)

[TabasKo]

Merci à vous pour ce super tuto, beaucoup j'ai appris plein de chose que j'aurai pas pensé à faire dans mon coin.

C'est complet, c'est fluide, et surtout c'est très clair ! Bravo et merci.

[camdel]

Merci @Fenrir pour tes réponses.

Dans l'état actuel, j'en suis au même stade et ne peux toujours pas accéder à mon NAS depuis l'extérieur 😭.

Je vais simplifier.
Je mets donc mettre de côté l'utilisation de mon ndd. Cela rajoute une couche de complexité pour moi à ce stade, car il semble que j'ai une IP dynamique (elle a changé après avoir éteint--rallumé la box). Je regarderai cela une fois que j'aurai réussi à avoir accès avec une simple adresse synology de type : toto.synology.me

J'ai revérifié une ultime fois : tout semble conforme au tuto.

J'ai ouvert le port 5001 qui si je comprend bien est sensé me permettre d'accéder à l'interface de gestion.
J'ai bien renseigné l'ip du NAS (adresse confirmée par l'utilitaire Synology Assistant). Et j'ai bien définit les 2 lignes Upnp sur "No".

Mais je n'arrive cependant toujours pas à accéder à toto.synology.me (j'obtiens un "ERR_CONNECTION_TIMED_OUT") et n'en trouve pas la raison.

Pour tester j'ai désactivé le pare-feu pour vois si ça vient de là et ... ça marche pas non plus, impossible de me charger toto.synology.me j'obtiens le même message d'erreur.

Vous avez une suggestion ?

Remarque : je vois que ma box a une adresse IPv6 et prefix IPv6. Et aussi PPP "enable". Est-ce que ça pourrait venir de là ?

 

Modifié le 8 novembre 2018 par camdel

[Mic13710]

il y a 47 minutes, camdel a dit :

J'ai ouvert le port 5001

Où ça ?

[camdel]

il y a 19 minutes, Mic13710 a dit :

Où ça ?

Sur la Box.

 

[Fenrir]

Tu as bien coupé l'IPv6 sur le NAS ?

Si oui, vas sur ce site https://ipv4.fenrir.fr/ et relève l'ip indiquée (Source IPv4 address: xxx.xxx.xxx.xxx)

Puis sur ton poste, entre la commande suivante : nslookup toto.synology.me 80.67.169.1

Et compare l'ip retournée dans la réponse avec celle relevée avant

=>si ce n'est pas la même, c'est probablement ta configuration DDNS qui ne fonctionne pas correctement

[9re9os]

Bonjour à toutes et tous,

Après 6 ans d'utilisation de mon NAS en mode débutant, j'ai fini par prendre mon courage à deux mains...

Ce n'était pas facile, et ce n'est finalement pas un tuto pour grand débutant, mais pour débutant acharné motivé et qui veut en découdre avec la sécu !

Bon, là, je finis tout juste les 18 pages de commentaires qui, comme tout bon forum, m'ont évité de poser encore et encore les mêmes questions que mes ptits copains et d'entamer un peu plus la lassitude de ceux qui savent et pour qui c'est quand même bien plus simple ^^

Donc merci à vous tous de m'avoir appris plein de trucs, et grand merci à toi Fenrir pour ta patience et le partage de tutos. (J'ai épinglé dans un coin pas loin, le lien pour les 30 heures de formation).

J'ai bien galéré quand même, et maintenant ça marche comme il faut (A part quelques trucs, mais surtout liés à la config des permissions sur Photo Station, malgré le tuto de InfoYann, ça ne marche pas dans ma config).

Ce matin j'ai commencé à entrer le mot de passe de mon compte Admin spécial super pouvoirs, je passais juste une tête ici pour faire une pause. Allez, c'est pas tout ça mais j'y retourne ; me reste encore 132 caractères à entrer pour accéder au bureau du DSM , à moins que ça ne soit 133 ? rhaaa mince, je suis bon pour recommencer la saisie depuis le début ! 😅

Plus sérieusement, j'attaque dès lundi le tuto sur les DNS, puis ensuite celui sur le serveur VPN. A moins que l'inverse soit plus judicieux ? A voir... 

Ca fait plus de 20 ans que j'ai une bécanne sous les doigts, mais le domaine des réseaux est toujours resté nébuleux pour moi. Je bidouillais jusqu'à ce que ça fonctionne. Et ça finissait par fonctionner. Pareil ici avec ce tuto. Mais pour une fois, à force de lecture et relecture du tuto et des interventions, ce n'était plus des bidouilles à l'aveugle ou simplement mimétiques, mais un début de compréhension 😉 Non seulement j'vais me coucher moins con, mais pas peu fier, et bien reconnaissant.

Néanmoins, juste une question, mais sans grand rapport, juste un constat/surprise suite à mon changement de statut de compte admin, vers un compte user pour mon usage de tous les jours :

un utilisateur simple ne peut-il pas utiliser la fonction "partager" un fichier depuis DS File, pour créer un lien de partage à communiquer à un proche ?

ça ne me servait pas régulièrement, mais quand même. Un peu embêté de devoir accéder à mon super administrateur qu'à plein d'pouvoirs mais avec un pass à rallonge qui me demande près de 1 min de saisie 😂 (voire 3 quand je pense à autre chose en même temps et qu'il faut tout recommencer par crainte de se refaire bloquer IP et compte comme ça m'est déjà arrivé 3 fois aujourd'hui !) juste pour aller créer un partage fichier. Ou bien je n'arrive pas à cocher la bonne case ?

Bref, pas ultra bloquant comme question mais si, à tout hasard c'était juste une mauvaise manip de ma part, je suis preneur d'un coup de main.

Merci encore.

[Mic13710]

Je n'ai pas essayé à partir de DSFile, mais pour qu'un utilisateur simple puisse créer des liens partagés, il faut lui donner les droits.

A partir du compte admin, File Station, paramètres, liens partagés, dans Partager les liens de fichier, valider "Tous les utilisateurs" ou "Utilisateur/Groupe spécial" selon que vous voulez donner les droits à tout ou partie de vos utilisateurs , OK. Ca devrait résoudre votre demande.

Et pour vos mdp (pas seulement celui de votre NAS), je vous conseille d'utiliser un gestionnaire de mdp comme par exemple Keepass qui est excellent. Associé à Kee, il fait l'auto-remplissage de vos identifiants sur vos pages de connexion.

[9re9os]

Bonjour Mic13710, c'était bien cela. Génial. Merci.

Ah oui, et pour keepass, oui, je l'utilise sur mon tel, mais plus sur mon poste fixe depuis un bon moment. Le copier-coller est dès lors plus compliqué. Mais c'était une pointe d'humour pour dire que j'avais bien compris qu'il fallait avant tout un super pswd.

Bon dimanche.

[camdel]

Le 09/11/2018 à 22:06, Fenrir a dit :

nslookup toto.synology.me 80.67.169.1

l'IPV6 est bien désactivé sur le NAS
@Fenrir nslookup m'a bien renvoyé l'IP indiqué sur le lien que tu m'as donné.

Que me conseilles tu de regarder ensuite ?

Modifié le 15 novembre 2018 par camdel

[camdel]

Quelqu'un peux me venir en aide ?

[Fenrir]

Le port est bien autorisé depuis l'exterieur dans le FW du nas ?

Tu test bien depuis un poste externe à ton lan (en 4G par exemple) ?

Tu test bien avec l'ip : https://ip.publique.du.routeur:5001 ?

[camdel]

Merci de revenir suivre mon affaire @Fenrir

Le 21/11/2018 à 23:03, Fenrir a dit :

Le port est bien autorisé depuis l'exterieur dans le FW du nas ?

FW c'est pour "pare-feu" j'imagine. Je dirai que oui, mais je peux me tromper. Voici une copie écran :

et aussi dans la box

Le 21/11/2018 à 23:03, Fenrir a dit :

Tu test bien depuis un poste externe à ton lan (en 4G par exemple) ?

oui depuis mon téléphone

Le 21/11/2018 à 23:03, Fenrir a dit :

Tu test bien avec l'ip : https://ip.publique.du.routeur:5001 ?

Que cela soit avec https://ip.publique.du.routeur:5001 ou avec https://toto.synology.me ça ne fonctionne pas.

Dans le premier cas (https://ip.publique.du.routeur:5001)

• Chrome indique : "Ce site est inaccessible. IP.DU.NAS n'autorise pas la connexion."
• Firefox indique : "La connexion n’est pas sécurisée. Les propriétaires de IP.DU.NAS ont mal configuré leur site web. Pour éviter que vos données ne soient dérobées, Firefox ne s’est pas connecté à ce site web."
  Puis en cliquant sur "Avancé" Firefox m'indique "IP.DU.NAS utilise un certificat de sécurité invalide. Le certificat n’est valide que pour toto.synology.me. Code d’erreur : SSL_ERROR_BAD_CERT_DOMAIN"

Depuis la 4G :

• https://ip.publique.du.routeur:5001 avec Chrome me dit : "Ce site est inaccessible. IP.DU.NAS a mis trop de temps à répondre. Essayez les suggestion ci-dessous: Verifier la connexion ERR_TIMED_OUT".
• https://toto.synology.me/5001  avec Chrome me dit : "Ce site est inaccessible. https://toto.synology.me est inacessible. ERR_ADDRESS_UNREACHABLE"

Depuis mon ordi en wifi ça ne charge pas et ça me dit  "Ce site est inaccessible toto.synology.me a mis trop de temps à répondre. Essayez les suggestions ci-dessous : Vérifier la connexion, Vérifier le proxy et le pare-feu ERR_CONNECTION_TIMED_OUT"

Voilà.

Ca t'aide à m'aider ?

[j3r3m51]

Bonjour et merci de ce tutoriel ô combien utile !

J'ai quelques sous-domaines et ai donc configuré un proxy inversé dans le Portail des applications. Cela fonctionne parfaitement bien lorsqu'on accède directement à mes sous-domaines en HTTPS.

Afin de conserver le fonctionnement de mes sous-domaines, j'ai désactivé la redirection automatique du Syno HTTP -> HTTPS et ai mis en place le petit script fourni.

Le script PHP fait bien son office pour mes sous-domaines, mais plante totalement le site web hébergé. Il semble qu'un reload infini tente de s'effectuer sur celui-ci et ai ensuite bloqué par le navigateur.

Erreur sous Firefox :

Citation

La page n’est pas redirigée correctement

Une erreur est survenue pendant une connexion à www.domaine.fr.

 La cause de ce problème peut être la désactivation ou le refus des cookies.

Erreur sous Safari :

Citation

Safari ne parvient pas à ouvrir la page

Trop de redirections sont survenues en tentant d'ouvrir https://domaine.fr. Ceci peut se produire lorsque vous ouvrez une page qui est redirigée vers une autre page laquelle se redirige à son tour vers la page originale.

 

J'ai essayé de modifier le nombre de redirections maximales de Firefox (en les passant de 20 à 200), mais le résultat, bien plus long à se manifester, reste malheureusement le même. Une idée de l'origine du problème ?

[Fenrir]

@camdel : dans ton FW, aucune règle n'autorise la connexion au port 5001 depuis Internet (ta règle 5 autorise le nas à se connecter à lui même).

@j3r3m51 : le pb vient surement de ton site qui tente une redirection https->http

[Pingouindunas]

Bonjour à tous,
Pour une TPE de 6 personnes, je leur avais conseillé de mettre en place une sauvegarde à distance. Je leur ai fait acheter un DS218J.  Je n'imaginais pas la tâche aussi ardue pour mettre en place cette sauvegarde ! J'espère arriver à m'en sortir grâce à vous. 🙂

Pour l'instant, je le garde chez moi le temps de le paramétrer comme il se doit et comme vous le conseillez au travers de ce tuto.
J'en profite pour féliciter notamment Fenrir d'avoir écrit ce tuto qui permet à beaucoup de débutants de s'en sortir dans la config de leur nas.

J'ai donc suivi le tuto pour l'appliquer.

Il sera placé à distance de la TPE (chez une personne de confiance). Il va sauvegarder (méthode incrémentielle) et se connecter par internet au dossier partagé du pc qui contient les données.

J'ai besoin de la connexion à distance et que la sauvegarde s’exécute : pas de multimédias et autres ; seulement la sauvegarde à distance VERS le nas. J'ai installé Cloud Station Server et backup sur mon pc.
J'hésite à utiliser Quickconnect car vous ne le recommandez pas trop du point de vue sécurité.
L'alternative est le ddns. Et là, je bute. Je ne sais pas quoi mettre comme nom d'hôte. J'ai mis un nom au hasard : je ne sais pas où l'on peut le trouver.
Dans l'onglet DDNS de l'accès externe, il affiche quand même normal dans la case Statut.

Où trouver le nom d'hôte ?

J'ai d'autres questions car j'ai trébuché plus loin dans le tuto (http et https et aussi le certificat).

Merci d'avance à ceux qui me répondront.
Cordialement,

[j3r3m51]

Il y a 12 heures, Fenrir a dit :

@j3r3m51 : le pb vient surement de ton site qui tente une redirection https->http

Merci de ton retour.

Après vérification, je n'avais pas de redirection HTTPS->HTTP enclenchée. J'ai solutionné le problème en vérifiant simplement si le protocole était déjà en HTTPS avant d'effectuer la redirection, de la manière suivante :

Citation

<?php
$http_host = $_SERVER['HTTP_HOST'];
if ($_SERVER['HTTPS'] != 'on')
{
  header("Location: https://$http_host",TRUE,301);

  exit;
}
?>

 

Modifié le 27 novembre 2018 par j3r3m51

[Pingouindunas]

Bonjour à tous,

Je reprends mon post du haut de la page en ayant complété et listé tous les problèmes de configuration liés à la sécurité. Cela devrait être plus facile pour vous d'avoir une vue d'ensemble de mes problèmes.
Pour rappel, le nas sera utilisé depuis le net pour sauvegarder le dossier partagé qui se trouve à la TPE.

Je suis bloqué sur 4 endroits différents dans la config de sécurité :

1) Dans Accès externe, onglet DDNS : le nom d'hôte :
que faut-il renseigner ? Où l'obtenir ?
J'en ai mis 1 nom d'hôte au hasard pour l'instant pour pouvoir continuer la config.

2) Paramètres DSM :
C'est un peu le même problème que camlet décrit à la page précédente mais mon nas est situé à l'extérieur de la TPE, donc à l'extérieur du dossier à sauvegarder.
 Pour info : On est en Ip dynamique que ce soit à la TPE, au domicile où sera installé le nas pour effectuer la sauvegarde.
 
Quel nom de Domaine :
La TPE possède un nom de domaine pour son site web. Puis-je l'utiliser pour renseigner le nom de domaine personalisé (A mon avis, je ne suis pas certain que ce soit possible. Donc, je demande confirmation.

Je n'ai pas bien compris si le nom de domaine sert à la connexion du nas sur le web.
S'il faut s'en créer un, je le ferai chez ovh car on a déjà un domaine chez eux.

Pour l'instant, je n'ai donc pas rempli "Activer un nom de domaine personalisé" dans les paramètres DSM.

3) Sécurité, onglet certificat :
pour l'instant, j'ai le certificat créé par défaut : synology.com
Puis-je le garder ou en créer un auprès de let's encrypt ?
Si création auprès de let's encrypt, que faudrait-il comme renseignements à savoir ?

4) Erreurs signalées par le conseiller de sécurité :
a) 1 paramètre du compte n'est pas activé : les règles de force ne répondent pas aux exigences pour le travail et l'entreprise.
J'ai créé les 3 utilisateurs avec mot de passe à 10 caractères mélangés : majuscules, minuscules et chiffres.

 

b) 2 paramètres réseau sont recommandés d'être modifiés : les numéros de port http et https de DSM n'ont pas changé par rapport à la valeur par défaut.

 

Pouvez-vous m'aider ?

Merci.

Cordialement,

 

 

[Pingouindunas]

Bonjour à tous,

Je progresse lentement mais sûrement vu que je recherche en même temps beaucoup dans la doc et sur le net.

J'ai trouvé pour mon problème de force de mot de passe. Il fallait cocher aussi caractères spéciaux (dans le tuto, la copie d'écran ne montre pas qu'il fallait cocher caractères spéciaux).

Je m'attaque maintenant à la gestion des ports et au certificat let's encrypt.

J'ai vu ici : https://www.nextinpact.com/news/98199-lets-encrypt-et-dsm-6-0-comment-creer-certificat-pour-votre-nas-synology.htm qu'il falalit d'abord configurer les ports de la box pour pouvoir obtenir un certificat.

J'ai donc réglé le parefeu du syno comme ceci :

 

Les 2 dernières lignes avant la dernière sont en double emploi. Mais je ne sais pas laquelle supprimer. L"avant avant dernière est obtenue par l'assistant synology et l'avant dernière en adaptant les règles du tuto.

Ensuite, comme le parefeu syno m'affiche cette recommandation :

J'ai donc modifié aussi le parefeu de la box (Freebox) comme ceci :

j'ai ouvert le ports suivants sur la box :

port externe 5000 en TCP vers le port 5000 du nas

port externe 5001en TCP vers le port 5001 du nas

et le port externe 6690 en TCP vers le 6690 du nas.

Je souhaiterais avoir votre avis sur la config des ports car je sais que cela peut être très dangereux pour la sécurité.

Ai-je fait les bons réglages ?

Merci à ceux qui me répondront et à ceux pourront m'aider.

 

[Bef]

Bonjour Fenrir,

Merci pour ton tuto.

Mon but est d'accéder depuis internet sur mon mobile avec DS audio, à mon NAS.

J'ai appliqué scrupuleusement ton tuto "securiser les accès a son nas".

je rentre l'adresse dans dsaudio, mais il me dit que mon nas n'es pas connecté.

Pourrais-tu stp m'aider :

- à me confirmer les éléments de l'adresse à saisir dans DS audio, par rapport aux éléments de config saisie dans le NAS ?

- si je dois faire quelquechose sur mon routeur ? et/ou mettre en place un VPN ? et si VPN, m'orienter sur la partie exacte de ton tuto VPN server ?

Je trouve que dans ton tuto, qui est très bien fait, à m'ent donné, tu ne nous oriente pas vers le routeur et/ou le VPN avec les manip à faire. Du coup, la connection entre ds audio et NAS kapout...

Merci d'avance parce que là, je suis embourbé 😞

 

En fait l'idée je pense, mais je ne sais pas trop encore, en fait j'imagine que pour ds audio, ds vidéo, de photo et ds surveillance camera, il faut que l'accès par mobile soit simple (mais sécurisé) pour ma famille et moi, et tous le reste par VPN pour moi.

[Bef]

Et ou est-ce que je peux trouver mon ip public ?

[9re9os]

@Pingouindunas, bonjour.

Je suis passé par là il y a peu, donc c'est encore frais. Sans rentrer dans le détails de tous tes points évoqués, je réponds en vrac, il est tard...

Pour le certificat, tout le monde recommande de passé par lets encrypt. Il te faut, sur le firewall du nas, autoriser les 2 IP des serveurs lets encrypt sur le port 80. Tu rediriges également pour le faire, le port 80 de ton routeur vers l'adresse LAN de ton nas.

Pour le Conseiller de Sécurité, tu peux désactiver certains paramètres de recommandations, comme les caractères alpha dans les mots de passe ou les changements de port par défaut ssh et dsm. Il ignorera ces éléments.

Ne rediriges pas les ports 5000 et 5001 de ton routeur vers le nas. Soit tu changes ces ports par défauts puis tu refais ta redirection, soit tu peux rediriger un port différent, vers le port 5000. Ça peut faire des noeuds au cerveau mais ça reste basique (par exemple tu rediriges le port 2000 sur ton routeur (c'est un exemple) vers le port 5000 du nas. En LAN le dsm sera donc accessible depuis ton IP_LOCAL:5000 et en WAN, le dsm le sera depuis IP_PUBLIQUE:2000. Pas très orthodoxe (parce qu'en cas de création de lien de partage de fichiers, il te faut aller faire une petite indication de ces ports dans le DSM... bref! Perso je n'ai pas de noeud au cerveau ;) ) mais ça m'a servi le temps de mettre en place le tuto et les nombreux suivants de Fenrir que j'ai suivi, à mon rythme. 

En fait, Fenrir notamment, mais d'autres aussi, conseillent de ne pas vraiment changer les ports par défaut. Mais de prendre le temps de lire et relire le tuto pour configurer Parefeu/redirections de ports/Reverse Proxy/Certificat aux petits oignons.

A la lecture de tes questions, et vu le temps que tu passes à les poser précisément, distinctement, et accompagné de screen, j'aimerai, avec bienveillance, te conseiller de lire (si ce n'est pas déjà fait), l'ensemble du sujet, donc l'ensemble des interventions. Ça fait de la lecture, un peu de temps à passer, mais pour au final, t'apercevoir que tu y trouveras toutes les solutions à tes blocages, ainsi que les 2 IP de lets encrypt ;) (c'est pour cela que je ne te les donne pas ici :P , elles sont déjà quelque part sur ce fil )

 

Modifié le 1 décembre 2018 par 9re9os

[Pingouindunas]

Bonjour à tous,

Il y a 9 heures, 9re9os a dit :

... Mais de prendre le temps de lire et relire le tuto pour configurer Parefeu/redirections de ports/Reverse Proxy/Certificat aux petits oignons.

A la lecture de tes questions, et vu le temps que tu passes à les poser précisément, distinctement, et accompagné de screen, j'aimerai, avec bienveillance, te conseiller de lire (si ce n'est pas déjà fait), l'ensemble du sujet, donc l'ensemble des interventions. Ça fait de la lecture, un peu de temps à passer, mais pour au final, t'apercevoir que tu y trouveras toutes les solutions à tes blocages, ainsi que les 2 IP de lets encrypt ;) (c'est pour cela que je ne te les donne pas ici :P , elles sont déjà quelque part sur ce fil )

 

Tout d'abord merci de ta réponse 9re9os et de me proposer des solutions.

Sinon, j'en suis à ma troisième lecture du tuto ! Mais j'ai l'impression de me perdre là-dedans. Si j'avais su que je me lançais dans une galère pareille, je ne l'aurai pas fait. J'en suis à mon 7ème jour de lecture, de recherches sur le forum et ailleurs.

J'essaie cet après-midi les solutions que tu proposes.

Je donnerai des nouvelles après.

En tout cas, un grand merci et je le répète : bravo aux contributeurs du forum, en particulier à Fenrir qui a écrit ces tutos et aussi aux autres qui ont ajouté des remarques.