[TUTO] Sécuriser les accès à son nas - DSM 6.x

[Pingouindunas]

Actuellement, j'ai bien un ndd acheté chez ovh mais  il héberge un site web.

Si un jour, je passe le site en https, j'aurai besoin du certificat attenant au ndd.

Donc, en premier :

Acheter un autre ndd chez ovh ou il faut seulement aller sur ovh cocher une option ?

Voici ce que je peux trouver dans le compte du ndd che zovh : il y a différents onglets dont  Zone DNS et Serveurs DNS, Redirection, Dynhost,

Dans Zone DNS, on peut cliquer sur Ajouter une entrée, réinitialiser ma zone DNS, modifier le ttl par défaut, modifier en mode contextuel, et supprimer la zone DNS.

Dans Serveurs DNS, il y a activer anycast et modifier les dns

Dans Redirection, il y a ajouter une redirection et exporter en csv.

Dans Dynhost, il y a pas grand'chose. voir copie d'écran ci-dessous.

Je ne vois pas DDNS dans les onglets ou options.

Que dois-je faire pour les DDNS puisque l'on n'a pas d'IP fixe ?

Merci.

 

[Pingouindunas]

Je viens de trouver certainement la piste des ddns chez ovh.

Il faut se créer un dynhost.

Pour en créer un, (je vais attendre confirmation : je ne vais pas faire n'importe quoi quand même), je vais donc sur création.

2 questions me viennent à l'esprit :

il faut indiquer un sous-domaine  au ndd actuel : je peux indiquer par exemple syno.ndd_actuel_ovh ?

il faut indiquer l'ip actuelle de la destination, c'est quoi et c'est où ?

Je suis largué, là !

 

 

[9re9os]

l'Ip actuelle est ton IP publique.

un coup de IPCONFIG -all ou via une recherche sur internet (cherches "IP"... ça va être simple)

Oui tu peux indiquer syno.ndd_actuel etc

Après, une fois fait, il te faudra créer un identifiant de connexion. Regardes sur la droite dans l'onglet DynHost sur la page OVH.

 

Pour ton parefeu, vires la ligne 5000-5001. Ainsi que la ligne 80,443 ->192.0.2.3

Ensuite reviens par ici.

[Pingouindunas]

Heu, je connaissais la réponse mais je n'y pensais plus. Désolé 😞

Sinon, l'ip publique serait laquelle car il y en a 3 en jeu. Je m'explique :

Dans un premier temps, le nas est chez moi et je règle la sécurité du nas aux petits oignons grâce à vous 😀

Ensuite, quand il sera prêt, je vais l'emmener au bureau pour copier le dossier partagé en local.

Et enfin, j'irai emmener le syno chez la personne de confiance (ici, je n'ai pas beaucoup de bande passante) pour installer définitivement le syno.

Cela me donne 3 IP publiques. Laquelle prendre ? Logiquement, ce serait celle où est stocké le dossier partagé : j'ai bon ou pas ?

Quelle ip publique renseigner sur le compte ovh pour créer un dynhost ?

 

[9re9os]

@Mic13710 Bonjour,

Si le nas n'autorise que la connexion via ports 80 et 443, et que l'on accède à l'ensemble des applications par reverse proxy ;

Si le nas, donc, n'autorise plus le 5000 et 5001 autrement que par connexion VPN,

comment procèdet-t-on à un partage ponctuel de fichier via le clic droit sur filestation ?

Je cherchais à comprendre pourquoi j'en étais arrivé à conserver mes ports 5000 et 5001 ouverts, et pourquoi je faisais de la translation (= translation pour l'esthétique  du lien de partage).

Parce que si j'ai bien tout compris, en n'autorisant 5000 et 5001 qu'en LAN, et en ne faisant plus de redirection routeur -> nas, plus d'accès possible par un lien. 

 

@Pingouindunas

il y a 8 minutes, Pingouindunas a dit :

Quelle ip publique renseigner sur le compte ovh pour créer un dynhost ?

J'aurai tendance à te dire de faire la config sur la base de ton IP Publique actuelle, ça te permet de tout mettre en place.

Puis quand tu seras sur prêt à copier le dossier partagé en local, tu n'auras besoin de faire de paramètres sécu.

Enfin, bien plus au clair des config, lors de l'installation en lieu et place définitive, tu rechercheras l'IP publique finale et modifieras le DynDNS en conséquence.

Sauf si tu veux passer tes nuits chez la personne de confiance pour mettre en place DynDNS et certif à la fin (perso j'ai commencé par là, alors ça me semble assez bizarre de finir par là).

L'IP publique ne sera pas celle de ton syno, mais bien celle de la internetBox chez la personne de confiance. L'adresse donc, fournie par le FAI.

Modifié le 2 décembre 2018 par 9re9os

[9re9os]

J’insiste pour comprendre et donc je reformule :

-Utiliser le reverse proxy permet de limiter drastiquement le nombre de ports ouverts donc de tout faire transiter par le 443 pour être ré adressé correctement ensuite.

-Par ailleurs si on veut pouvoir faire ponctuellement du partage de fichiers par un lien, on doit tout de même autoriser l’accès (translation ou pas) par le 5001.
Sauf que dans ce cas, le reverse proxy n’est plus pertinent puisque il est plus court de rentrer ndd.fr:5001 (dans toutes les appli mobiles) plutôt que file.ndd.fr:443 ou audio.ndd.fr:443 etc... suivant les appli utilisées.

Quelque chose m’échappe.
Peut-être le process serait-il de fermer le 5001 de façon générale (j’ai un reverse proxy aussi pour l’accès DSM = dsm.ndd.fr:443 qui redirige vers le localhost:5001 - ou j’ai toujours le choix d’y accéder par VPN) et de ne l’ouvrir que lors des partages de liens. Mais ça me semble inconfortable et laborieux, comme méthode.

Si une bonne âme peut m’éclairer j’en serai bien reconnaissant ^^

[unPixel]

Citation

-Par ailleurs si on veut pouvoir faire ponctuellement du partage de fichiers par un lien, on doit tout de même autoriser l’accès (translation ou pas) par le 5001.
Sauf que dans ce cas, le reverse proxy n’est plus pertinent puisque il est plus court de rentrer ndd.fr:5001 (dans toutes les appli mobiles) plutôt que file.ndd.fr:443 ou audio.ndd.fr:443 etc... suivant les appli utilisées.

Absolument pas. Le partage de fichiers chez moi fonctionne via le reverse proxy et donc par le port 443 !

Le lien ressemble à : https://file.ndd.tld/xxxx

Modifié le 2 décembre 2018 par Zeus

[Mic13710]

Les adresses des liens sont fonction des paramètres que vous avez indiqué dans les accès externes.

Pour utiliser les ports 80 et 443 avec votre nom de domaine, vous modifiez les options avancées comme suit :

Nom d'hôte ou IP statique : votre ndd pour accéder à File Station (pour moi c'est file.monndd)

DSM (http) : 80

DSM(https) : 443

Avec ces paramètres, si vous vous connectez au NAS en https, les liens générés seront sous la forme :

https://votre ndd pour accéder à File Station/sharing/et le numéro du lien

Vous n'utilisez plus le port 5000 ou 5001 😊

il y a 5 minutes, Zeus a dit :

Le partage de fichiers chez moi fonctionne via le reverse proxy et donc par le port 443 !

A condition d'avoir fait ce que j'indique ici !

[unPixel]

En effet, je me suis trompé dans mon post, mon lien de partage ressemble bien à ça :

https://file.ndd.tld/sharing/xxxx

[Mic13710]

Parce que tu as indiqué file.ndd.tld et le port 443 pour le https (je me rappelle même que c'est moi qui t'ai donné la soluce). Sinon, tes liens seraient avec l'adresse par défaut pour atteindre le NAS et le port par défaut (5001), même avec le reverse proxy.

[9re9os]

Genial messieurs ! Merci à vous.
Ça parait tellement évident comme ça et ça tombe sous le sens. C’est réglé. Bonne soirée.

[unPixel]

il y a 16 minutes, Mic13710 a dit :

(je me rappelle même que c'est moi qui t'ai donné la soluce).

C'est possible oui 😉

[camdel]

Le 27/11/2018 à 04:37, Fenrir a dit :

@camdel : dans ton FW, aucune règle n'autorise la connexion au port 5001 depuis Internet (ta règle 5 autorise le nas à se connecter à lui même).

@Fenrir J'ai donc retiré le port 5001 de la ligne 5. J'ai ajouté tout en haut des règles, en première ligne donc, une nouvelle règle autorisant le port 5001 pour "Tous". Cf. screenshot ci-dessous. Mais ça ne fonctionne toujours pas. Qu'est ce que j'ai pu faire de travers ?

Merci par avance de tes réponses.

 

[unPixel]

Bonjour @Fenrir,

Voici deux petites choses qui ont changées ou été ajoutées sur DSM par rapport à ton tuto si tu veux le modifier 😉

Partie MAJ de DSM (changement minime).

Il n'y a plus l'option pour télécharger automatiquement une nouvelle MAJ et ne pas l'installer.

Sécurité et accès à un domaine :

On peut depuis DSM 6.2.1 limiter un peu plus l'accès à un domaine en particulier uniquement en local et/ou par VPN par exemple sans forcément tout bloquer.

Pour se faire, il faut aller dans "Panneau de configuration > Portail des applications > Profil de contrôle d'accès".

Là, on peut créer un profil comme ci-dessous :

 

Puis on va dans notre proxy inversé, on choisit le domaine souhaité comme ci-dessous et on valide l'option.

[PiwiLAbruti]

@camdel : Les deux premières règles sont inutiles puisque les 3 règles suivantes (réseaux privés) répondent déjà à ce besoin.

[Pingouindunas]

Bonjour à tous,

J'arrive à me connecter depuis l'extérieur sur mon nas. Mais les règles du parefeu nas et (ou) box m'empêchent d'obtenir un certificat (message erreur).

Voici les règles du parefeu nas :

Celles de la box :

Le message d'erreur LE :

Qu'est-ce qui cloche pour empêcher le certificat chez let's Encrypt ?

Merci.

 

[camdel]

Il y a 4 heures, PiwiLAbruti a dit :

@camdel : Les deux premières règles sont inutiles puisque les 3 règles suivantes (réseaux privés) répondent déjà à ce besoin.

@PiwiLAbruti Ok, je note et retire. Alors comment dois-je procéder pour accéder à mon NAS depuis internet ? Quelle règle dois-je écrire ?

A toutes fins utiles, je reprécise que même en désactivant le pare-feu je n'ai pas accès à mon NAS depuis internet.

Modifié le 3 décembre 2018 par camdel

[PiwiLAbruti]

il y a 36 minutes, camdel a dit :

[...] je n'ai pas accès à mon NAS depuis internet

1. Est-ce que le port concerné (tcp/5001 ou tcp/443 si reverse proxy) est bien redirigé depuis le routeur vers le NAS ?
2. Est-ce que le port est autorisé dans le pare-feu du NAS ?
3. Est-ce que le port est bien vu comme ouvert depuis http://canyouseeme.org/ ? (Si oui, restreindre immédiatement la zone géographique qui a accès à ce port dans le pare-feu du NAS)
4. Quelle adresse utilises-tu pour accéder à ton NAS depuis internet ? (donne-la en MP vu que c'est une information sensible)

[camdel]

Il y a 15 heures, PiwiLAbruti a dit :

Est-ce que le port concerné (tcp/5001 ou tcp/443 si reverse proxy) est bien redirigé depuis le routeur vers le NAS ?

oui tcp/5001 sur IP interne du NAS (IP fournie par Synology Assistant pour être sûr)

Il y a 15 heures, PiwiLAbruti a dit :

Est-ce que le port est autorisé dans le pare-feu du NAS ?

Je pensais que oui mais il semblerait que je ne comprenne pas bien comment le faire. Je suis preneur d'un peu plus de détail/explication.

J'ai une règle qui est supposée faire cela : 5001/TCP/Belgique&France/Autoriser

Je reprécise à toutes fins utiles que même avant le tuto, sans pare feu donc, je n'arrivais pas à joindre le NAS depuis l'extérieur sauf par QuickConnect.

Il y a 15 heures, PiwiLAbruti a dit :

Est-ce que le port est bien vu comme ouvert depuis http://canyouseeme.org/ ? (Si oui, restreindre immédiatement la zone géographique qui a accès à ce port dans le pare-feu du NAS)

Non.
L''IP suggérée par canyouseeme.org est bien la même que je retrouve dans DDNS / adresse externe Ipv4 mais sur le port 5001 j'obtiens "I could not see your service on ADRE.SSE.EXT.ERNE on port (5001) Reason: Connection timed out"

Il y a 15 heures, PiwiLAbruti a dit :

Quelle adresse utilises-tu pour accéder à ton NAS depuis internet ? (donne-la en MP vu que c'est une information sensible)

MP

[PiwiLAbruti]

Vérifie que QuickConnect est bien désactivé.

il y a 6 minutes, camdel a dit :

L''IP suggérée par canyouseeme.org est bien la même que je retrouve dans DDNS / adresse externe Ipv4 mais sur le port 5001 j'obtiens "I could not see your service on ADRE.SSE.EXT.ERNE on port (5001) Reason: Connection timed out"

Rien ne sert d'aller plus loin tant que ce test n'est pas concluant. Il faut reprendre les points 1. et 2.

Est-ce que le routeur dispose d'un pare-feu ?

Est-ce que les règles sont bien configurées dans le contexte "Toutes les interfaces" du pare-feu du NAS ? (liste déroulante en haut à droite qui n'apparaît d'ailleurs pas dans ta précédente capture)

Poste à nouveau une capture d'écran des règles de translation (NAT/PAT) du routeur et des règles du pare-feu du NAS.

[camdel]

Merci pour le suivi @PiwiLAbruti

Il y a 5 heures, PiwiLAbruti a dit :

Est-ce que le routeur dispose d'un pare-feu ?

 

Oui

• Low: All connection attempts coming from the WAN or initiated from the LAN are permitted
• Medium: All connection attempts coming from the WAN are rejected with the exception
  of those that have been authorized through port forwarding, DMZ or remote access configuration.
  All Services initiated from the LAN are permitted.
• High: All connection attempts coming from the WAN are rejected with the exception of those
  that have been authorized through port forwarding, DMZ or remote access configuration.
  Services initiated from the LAN are restricted to the ones authorized via the rules set in the firewall 
  (common services are covered by default).

Il y a 5 heures, PiwiLAbruti a dit :

Est-ce que les règles sont bien configurées dans le contexte "Toutes les interfaces" du pare-feu du NAS ? (liste déroulante en haut à droite qui n'apparaît d'ailleurs pas dans ta précédente capture)

Oui

[PiwiLAbruti]

Le profil de pare-feu du routeur est bon :

Medium: All connection attempts coming from the WAN are rejected with the exception
of those that have been authorized through port forwarding, DMZ or remote access configuration.

La configuration du pare-feu du NAS est bonne le temps de faire les tests, mais les ports restent inaccessibles.

Est-ce que l'adresse IP privée du NAS renseignée dans cette règle est bien la bonne ? Sinon, la règle de redirection de port serait erronée (poste une capture de cette règle).

Au passage, est-ce que l'adresse IP du NAS est fixée ou attribuée par DHCP ? Si elle este attribuée par DHCP, assure-toi de créer un bail de réservation pour qu'elle ne change pas.

[unPixel]

Gaffe aussi que le soucis vienne pas du routeur si c'est celui intégré dans la box opérateur. J'ai récemment dépanner quelqu'un via Teamviewer et le soucis venait de sa Freebox qui ne voulait pas ouvrir les ports vers le NAS alors qu'il disait le contraire.

Après plusieurs redémarrage, c'était revenu à la normale.

[Pingouindunas]

Bonsoir à tous,

Me revoilà. Ça avance dans le bon sens. J'ai réussi à obtenir le certificat que je n'arrivais pas à obtenir à cause de la non ouverture du port 80 sur la freebox.

En revérifiant la config de la box, j'ai vu qu'il y avait une règle obsolète sur le port 80 qui concernait une adresse ancienne Mac. J'ai l'impression que la box prenait d'abord l'ancienne règle qui se trouvait plus haut dans la liste. Je l'ai supprimé et le port 80 est maintenant ouvert. J'ai vérifié avec canyouseeme. C'est bon.

Je vous adresse les règles de mon parefeu nas pour vérifier si c'est correct ou pas.

 

Demain, je vérifierai l'accès extérieur du nas avec mon smartphone. Je serai obligé de me rapprocher de l'émetteur. Je ferai donc cela en plein jour.

Un grand merci à tous qui m'ont aidé.

 

[9re9os]

[mention=75507]Pingouindunas[/mention]

Précises toutefois, pour qu’on ne te tombe pas dessus ;) que 5000 et 5001 sont activés le temps de mettre en place le VPN, et pour pouvoir tester dès demain, en plein jour ^^, si tout est bien accessible.

 

Qu’ensuite tu attaqueras le serveur VPN, qui dans ton cas, parait plus pertinent et plus urgent à mettre en place qu’un serveur DNS et du proxy inversé. Car pour rappel ^^ tu prepares un serveur pour de la sauvegarde délocalisée et via internet, de données d’une TPE.

 

Néanmoins, jettes un oeil sur la 3e régle en partant d’en bas. Tu dois avoir des cases cochées qui font double emploi avec ton avant dernière règle.