unPixel Posté(e) le 3 janvier 2019 Posté(e) le 3 janvier 2019 Le 1/3/2019 à 9:38 PM, Mic13710 a dit : Ensuite, très grosse erreur, votre NAS est ouvert aux quatre vents ! Supprimez la règle du parefeu qui autorise les ports 80, 5000 et 443 pour tout le monde (ou limitez son empreinte géographique) et n'ouvrez pas le port 5000 (DSM) vers l'extérieur. Développer C'est pas comme si on était sur LE topic "sécurité" qui explique clairement comment ouvrir les ports et ce qu'il ne faut pas faire...🙄 0 Citer
Mic13710 Posté(e) le 4 janvier 2019 Posté(e) le 4 janvier 2019 @ZeusA mettre sur le compte d'une lecture en diagonale 😉 0 Citer
unPixel Posté(e) le 4 janvier 2019 Posté(e) le 4 janvier 2019 Oui, on va le prendre comme ça 😉 0 Citer
dadap94 Posté(e) le 4 janvier 2019 Posté(e) le 4 janvier 2019 Bonjour Mic13710, Merci pour votre aide. Le 1/3/2019 à 9:38 PM, Mic13710 a dit : Là, vous avez redirigé le 80 vers le 5000, ce qui à l'évidence ne peut pas convenir. Développer Dans les paramètres réseau du NAS j'ai laissé les ports DSM par défaut (5000 pour HTTP et 5001 pour HTTPS). J'ai donc redirigé le 80 de ma box vers le 5000 du NAS, ce qui me semblait logique. D'ailleurs lorsque je tape dans le navigateur de mon mobile https://ippubliquedemabox je vois bien apparaître la page de connexion de mon nas. Le problème c'est que le certificat n'est pas pris en compte. Si je comprends bien votre réponse le port 5000 est spécifique à DSM et le port http du nas est toujours 80 ? Le 1/3/2019 à 10:24 PM, Zeus a dit : C'est pas comme si on était sur LE topic "sécurité" qui explique clairement comment ouvrir les ports et ce qu'il ne faut pas faire...🙄 Développer Je vous rassure je n'ai activé cette règle que le temps d'essayer de générer le certificat. 0 Citer
Mic13710 Posté(e) le 4 janvier 2019 Posté(e) le 4 janvier 2019 Comme vous l'avez justement écrit, 5000 et 5001 sont les ports de DSM. Tout comme vous avez des ports spécifiques pour les applications (video station, audio station, etc...). Le 1/4/2019 à 1:58 PM, dadap94 a dit : Si je comprends bien votre réponse ......... le port http du nas est toujours 80 ? Développer Pas du tout et pas plus qu'un autre port. Si vous ne l'activez pas, il ne sera pas accessible, pas plus que le 5000 ou le 5001. D'où l'importance d'ouvrir le 80 sur le NAS et de préférence pour les deux seules adresses LE. Si vous voulez utiliser le 80 pour autre chose que la mise en place et le renouvellement du certificat, il faut alors passer par le reverse proxy. Les ports 80 et 443 sont les ports par défaut http et https. Si LE doit passer par le 80, c'est le 80 jusqu'au NAS sans translation de port. Si vous le redirigez vers le 5000, il est bien évident que vous accèderez au NAS avec le http://ippublique, mais seulement à DSM et dans ce cas LE ne pourra pas communiquer pour mettre en place le certificat. Ce qui fait que vous faite open bar sur votre NAS et il suffit de peu de chose (quelques secondes pour un hacker débutant) pour pirater votre NAS. 0 Citer
dadap94 Posté(e) le 4 janvier 2019 Posté(e) le 4 janvier 2019 Ok c'est clair. Du coup j'ai modifié la redirection sur l'interface de la bbox et dans le pare-feu du nas et ça m'a permis de générer le certificat. Merci beaucoup. 0 Citer
bugs denis Posté(e) le 4 janvier 2019 Posté(e) le 4 janvier 2019 Bonsoir et bonne année, Je suis en train d'installer un nouveau NAS chez moi, et j'applique ce tuto que j'avais suivi pour un autre. J'ai découvert récemment que la "compatibilité moderne" TLS/SSL pouvait cependant causer des problèmes avec Windows 7 qui n'aurait pas été mise à jour pour inclure le TLS 1.1 et 1.2. Normalement ce n'est pas un problème car les mise à jour se font automatiquement sauf en entreprise (si si ... là où je bosse). Webdav est chatouilleux là dessus Le problème plus génant est avec mailserver, je ne pouvait plus recevoir de mail avec la compatibilité moderne. la solution est pour mailserver de mettre la compatibilité intermédiaire (via le bouton paramètres personnalisés" Autre sujet, pour l'admin qui n'a pas de droit sur les dossiers partagés, j'ai touvé une astuce, c'est créer un groupe qui a accès à tout les répertoires et justete FTP comme application (mais peut être pas si bien) et mettre un user dedans le temps de faire certaine manips puis le sortir du groupe. Et c'est facile à auditer 0 Citer
D34 Angel Posté(e) le 22 janvier 2019 Posté(e) le 22 janvier 2019 (modifié) Bonjour Le 5/10/2017 à 7:31 PM, danielpm83 a dit : ... j'ai vraiment l'impression d'être à la ramasse étant le seul à poser autant de questions sur la mise en pratique ! Développer Citation Tu as bcp de lacunes en réseau, donc tu as du mal à comprendre => https://openclassrooms.com/courses/les-reseaux-de-zero Développer Moi aussi, j'ai beaucoup de lacunes et merci @Fenrir pour ce lien sans lequel je n'aurais jamais compris les histoires de masque de sous réseau ... et grand MERCI aussi pour ce tuto. J'ai dû le lire de très nombreuses fois car je suis débutant et certaines choses (comme le pare-feu) ne sont pas faciles à comprendre (mais j'avais, tout de même, compris que c'est par là qu'il fallait commencer ). Je n'ai pas lu tout le topic (10 pages, seulement ) ... j'avoue que, au début quand je lisais les commentaires, je ne comprenais même pas les questions que vous tous posiez ... ce n'est qu'en insistant que j'ai fini par capter. Bref, j'ai fini par sécuriser le minimum nécessaire (j'avais déjà activé le serveur de messagerie, il y avait donc urgence car je ne pouvais pas bloquer tous les accès externes ni laisser tout ouvert) et, désormais, je peux prendre mon temps pour ajuster en fonction de mes besoins à venir. Il me reste, tout de même une petite question : @ers31 a demandé : "Menu "avancé" dans "Accès externe" je ne comprends pas du tout cette partie, à quoi ça sert, que faut il renseigner ?" @Zeus a répondu : "Il faut renseigner les ports utilisés (5000 et 5001 par défaut) et le nom de domaine si tu en as un." Or, dans son tuto, @Fenrir avait écrit : "Attention, il faut vider ces champs si vous utilisez des noms de domaine ou des ports spécifiques (portail des application, reverse proxy, ...)." Je ne comprends pas cette phrase de Fenrir ... (aurait-ce un rapport avec les IP dynamiques ?) Puis-je avoir des précisions ? Voilà, encore merci à Mr Réseau pour ce tuto (que je n'ai trouvé bien qu'une fois que j'avais compris ) Angel Modifié le 22 janvier 2019 par D34 Angel 0 Citer
Mic13710 Posté(e) le 23 janvier 2019 Posté(e) le 23 janvier 2019 Cette partie "Accès externe" sert à renseigner le ndd et les ports http et https qui seront utilisés pour les liens externes vers le NAS. Indépendamment des liens vers Google Docs ou Pixlr dont parle la doc, ces informations sont nécessaires si vous avez un "vrai" nom de domaine, des ports d'accès différents de ceux par défaut et que vous vouliez partager des données avec d'autres. Il faudra alors indiquer le nom de domaine que vous avez renseigné dans votre reverse proxy pour accéder à vos fichiers, ainsi que les ports http et/ou https que vous utilisez lorsque vous vous connectez de l'extérieur pour que vos liens de partage puissent pointer vers vos données à partager. Par exemple, si vous avez créé dans votre reverse proxy le nom d'hôte file.mondomaine, port 443 qui pointe vers le port 7000 du NAS (file station), en renseignant comme nom d'hôte : file.mondomaine http : 80 https : 443, les liens de partage seront de la forme : https://file.mondomaine/sharing/UptAulFv5 Si vous avez gardé le port 5001, ce même lien sera de la forme : https://file.mondomaine:5001/sharing/UptAulFv5 Attention toutefois : le lien créé dépend du mode de connexion au NAS au moment de sa création. Si vous êtes connecté en http, le lien créé sera en http avec le port http renseigné. Si vous êtes en https, le lien sera en https. C'est un truc débile qui traine depuis une éternité dans dsm et qui n'a pas été corrigé par Synology. Je leur ai bien proposé de donner le choix à l'utilisateur du type de lien qu'il souhaite avoir mais ce n'est toujours pas corrigé. 0 Citer
D34 Angel Posté(e) le 23 janvier 2019 Posté(e) le 23 janvier 2019 Merci @Mic13710 pour cette réponse rapide. Je n'ai pas tout compris car certaines notions (reverse proxi, notamment) me sont encore abstraites. Ceci dit, je l'ai noté dans un petit coin de ma tête pour quand j'en aurai besoin (je m'en souviendrai quand je serai en situation). 0 Citer
unPixel Posté(e) le 23 janvier 2019 Posté(e) le 23 janvier 2019 Le reverse proxy de faire du multi domaine avec un domaine. Ex : ton domaine est ndd.tld Tu peux avoir : video.ndd.tld mail.ndd.tld cal.ndd.tld etc... 0 Citer
D34 Angel Posté(e) le 23 janvier 2019 Posté(e) le 23 janvier 2019 Merci @Zeus pour cette précision qui me servira quand j'en aurai besoin. Du reste, j'ai des questions relatives aux domaines/sous-domaines/multi-domaines mais ce n'est pas l'objet de ce topic ... alors ne le polluons pas 0 Citer
StéphanH Posté(e) le 29 janvier 2019 Posté(e) le 29 janvier 2019 (modifié) Bonjour, J'ai reçu un mail de Let's Envcrypt ce matin : Your Let's Encrypt client used ACME TLS-SNI-01 domain validation to issue a certificate in the past 60 days. Below is a list of names and IP addresses validated (max of one per account): TLS-SNI-01 validation is reaching end-of-life. It will stop working temporarily on February 13th, 2019, and permanently on March 13th, 2019. Any certificates issued before then will continue to work for 90 days after their issuance date. You need to update your ACME client to use an alternative validation method (HTTP-01, DNS-01 or TLS-ALPN-01) before this date or your certificate renewals will break and existing certificates will start to expire. Dans le doute, je me suis créé un nouveau certificat en remplacement de l'ancien, mais je ne sais même pas si c'est ce qu'il fallait faire ... Une idée ? Modifié le 29 janvier 2019 par StéphanH 0 Citer
Jeff777 Posté(e) le 29 janvier 2019 Posté(e) le 29 janvier 2019 (modifié) Bonjour, J'ai eu le même mail et j'ai contacté Let's Encrypt, Tom très sympa m'a renvoyé vers une précédente réponse : https://community.letsencrypt.org/t/synology-tls-sni-01-end-of-life-email/83064 En conclusion DSM n'utilise plus la validation ACME TLS-SNI-01 mais une validation http. Il faut donc ignorer ce mail. Pour en être sûr, il est conseillé de renouveler un certificat. Si ça marche c'est qu'il n'y a pas de problème. Et si on lit jusqu'à la fin : Modifié le 29 janvier 2019 par Jeff777 0 Citer
Mic13710 Posté(e) le 29 janvier 2019 Posté(e) le 29 janvier 2019 C'est bien dommage pour ceux qui ont le port 80 bloqué par leur FAI que le DNS-01 ne soit disponible que pour les adresses Synology. 0 Citer
unPixel Posté(e) le 29 janvier 2019 Posté(e) le 29 janvier 2019 Après c'est pas comme si on avait qu'un choix possible dans la création de son certificat. Je passe par acme pour avoir un certificat Wildcard et je m'en porte pas plus mal 🙄 0 Citer
septeven Posté(e) le 4 février 2019 Posté(e) le 4 février 2019 Salut, Tout d'abord merci à Fenrir pour son travail et à tous les autres pour leur participation - je n'ai pas encore tout lu des 22 pages, mais c'est déjà très enrichissant. Jusqu'à maintenant, mon NAS était ouvert vers l'extérieur - avec un mot de passe très fort, mais j'ai eu quand même dernièrement quelques tentatives de login (bloquées après 5 tentatives). Mon besoin d'accès extérieur est uniquement lié à l'accès aux fichiers (à certains de mes dossiers du moins) ainsi que l'accès à download station. Il y a t-il un moyen d'ouvrir uniquement le NAS pour ces services ? Merci 🙂 0 Citer
unPixel Posté(e) le 4 février 2019 Posté(e) le 4 février 2019 (modifié) Tu as une option depuis peu dans "Panneau de configuration > Portail des applications > Porfil de contrôle d'accès" ou tu peux limiter des services par accès LAN et VPN uniquement. Tu peux aussi limiter les services en n'ouvrant pas les ports sur ta partie routeur. Ex: service FTP, tu ouvres pas le port 21. Modifié le 4 février 2019 par Zeus 0 Citer
Jeff777 Posté(e) le 4 février 2019 Posté(e) le 4 février 2019 Bonjour, Il y a surement plusieurs méthodes. Moi je limiterais l'accès aux applications au groupe user et n'autoriserais que l'appli download Station et Filestation. Pour les tentatives d'intrusion on peut juste les limiter. Déjà il ne faut autoriser l'accès qu'aux pays de tes utilisateurs. 0 Citer
Jojo (BE) Posté(e) le 4 février 2019 Posté(e) le 4 février 2019 tu donc 2 solutions : tu te connecte en VPN come suggéré par @Zeus, tu n'ouvres sur ton routeur que les pots définis dans le portail d'application pour File et Download station, et surtout pas le 5000 0 Citer
Hitman_11 Posté(e) le 6 février 2019 Posté(e) le 6 février 2019 Bonjour, Aujourd'hui en faisant la config du second nas, j'ai un message d'erreur lors du paramétrage du pare feu. Savez vous m'indiquer mon erreur? Merci. 0 Citer
unPixel Posté(e) le 6 février 2019 Posté(e) le 6 février 2019 Tu t'es trompé dans la plage d'adresse 😉 C'est 192.168.0.0 1 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.