[TUTO] Sécuriser les accès à son nas - DSM 6.x

[Pingouindunas]

Pour le parefeu du nas, j'ai décoché la 3ème ligne en partant du bas. Et ça fonctionne aussi. C'est vrai que cela était en double emploi avec l'avant dernière règle.

Je désactiverai l'avant dernière ligne quand j'aurai fait le test à l'extérieur, en attendant que le nas soit en prod.

Je vais maintenant me mettre au serveur VPN car effectivement, la sauvegarde à mettre en place concerne des données sensibles : commerciales, comptables, financières, etc ....

J'ai bien compris qu'il est impératif d'installer un serveur VPN pour plus de sécurité.

Cela va être un nouveau challenge que d'étudier le serveur vpn 😉

@Mic13710  m'avait conseillé le serveur dns. Je ne voulais pas trop m'y plonger mais tout compte fait, je me plonge dans le grand bain avec les serveurs vpn. Ce n'est sans doute pas aussi ardu que les dns. Mais je vais essayer.

J'aurai probablement l'occasion de vous retrouver dans les commentaires du tuto des serveurs vpn.

 

[Fenrir]

J'ai balayé vos différents message et je suis content que ce post soit toujours autant actif 😁

Par contre je n'ai pas le temps ni le courage de tout lire en détails pour recoller les morceaux 🙄

Si vous avez encore des points de blocage, n'hésitez pas à faire un récapitulatif détaillé d'où vous en êtes et de ce qui ne fonctionne pas, ça permettra aux personnes de passage (moi inclus) de mieux cerner le problème mais surtout, ça vous permettra peut être de comprendre par vous même ce qui coince et comment avancer 😋

[Pingouindunas]

Bonjour à tous,

J'ai essayé l'accès au nas depuis internet.

Ça marche mais à une condition :

petit rappel : le sous domaine a été obtenu en créant un dynhost auprès d'ovh (dynDNS) merci à @Zeus qui me l'avait recommandé

si je tape : sous-domaine.ndd:5001, j'obtiens l'erreur suivante qui était affichée sur 3 lignes :

Citation

Réponse du navigateur  : Erreur en se connectant directement en 5001 :

400 Bad Request 

The plain http request was sent to https port.

nginx

Par contre, si je tape sous-domaine.ndd:5000, il me convertit l'url en sous--domaine.ndd:5001 et on arrive après 5 minutes environ à la page d'authentification du dsm. J'en ai profité pour me connecter pour vérifier si cela restait aussi lent. Ensuite, il a fallu 2 minutes environ (je m'attendais pas que ce soit aussi lent, je n'ai donc pas chronométré).

J'ai réussi à me logguer et j'arrive bien au tableau de bord du dsm.

Nota : ici, j'ai une bande passante adsl de 3 M environ. Je me suis connecté à la tpe pour lancer le test de l'accès du nas depuis internet. Ce qui explique aussi la lenteur de la connexion.

Question :

erreur en 5001 ?

Faut-il s'authentifier en 5000 pour qu'il puisse passer ensuite de lui-même en 5001 ?

 

[unPixel]

Je te conseille surtout de mettre en place un proxy inversé pour passer uniquement par le port 443 😉

Tuto sur le forum !

 

[Pingouindunas]

Ok. J'étudie en ce moment le tuto serveur vpn.

Ce sera l'étape suivante si j'y arrive.

 

[9re9os]

Es-tu bien certain d’avoir fait ta requette en https pour le port 5001 et non en http ?

Déjà ça. Après, concernant la lenteur, il conviendra de tester depuis des installations plus rapides. Si ton serveur est derrière une connexion lente, ça peut ne pas être surprenant.

(Edit : suppression du bégaiement)

 

[Pingouindunas]

il y a 55 minutes, 9re9os a dit :

Es-tu bien certain d’avoir fait ta requête en https pour le port 5001 et non en http ?

C'est-à-dire comment la formuler exactement en https ?

J'ai tapé dans la barre d'adresse : sous-domaine.ndd:5001 (voir erreur plus haut), et ensuite sous-domaine.ndd:5000

J'utilise Firefox et c'est lui, qui ajoute selon les cas, http ou https. C'est peut-être cela que  tu voulais que je précise ?

 

[9re9os]

Oui, que ce soit sur tel ou navigateur, il faut que tu retapes l’ensemble de ta requête en commeçant par https.
Du moins temps que tu n’auras pas installer un serveur web pour coller à la racine du dossier « web » créé, un fichier .php contenant un script de redirection http->https qui t’evites de le preciser.
Mais ça sera pour après ;) avec le reverse proxy ^^
Refais l’essai complet :
https://sousdomaine.ndd.fr:5001

[Pingouindunas]

Effectivement, en tapant https://sousdomaine.ndd:5001 Il n'y a pas d'erreur et on arrive bien sur la page d'identification DSM sans souci.

 

[camdel]

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

mais les ports restent inaccessibles

@PiwiLAbruti C'est à dire ? Je ne comprends pas comment ils doivent être alors. Comme ça ?

 

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

Est-ce que l'adresse IP privée du NAS renseignée dans cette règle est bien la bonne ?

A vous de me le dire. Je fais à la hauteur de ce que je comprends. Synology Assistant (utilitaire) me donne cette information et c'est aussi ce que me dit ma box.

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

poste une capture de cette règle

De quelle règle parle-tu ? de la 5ème ? Je ne comprends pas quel détail en plus je peux donner.
J'ai sélectionné : 

• Sélectionner application intégrées -> 80, 443, 6690
• IP Spécifique -> Hote -> IP.INTERNE.DU.NAS

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

Au passage, est-ce que l'adresse IP du NAS est fixée ou attribuée par DHCP ?

C'est commence à devenir du chinois pour moi. Dans Panneau de configuration > Réseau > Interface réseau "Définir la configuration réseau  automatiquement (DHCP)" est coché comme indiqué dans le tuto de @Fenrir. "Définir comme valeur par défaut" est coché également (comme dans le tuto)

Le 04/12/2018 à 16:09, PiwiLAbruti a dit :

Si elle este attribuée par DHCP, assure-toi de créer un bail de réservation pour qu'elle ne change pas

Je ne comprends pas. Soit plus explicite stp, je suis novice 😊!

Le 04/12/2018 à 16:49, Zeus a dit :

Gaffe aussi que le soucis vienne pas du routeur si c'est celui intégré dans la box opérateur.

@Zeus Comment je vérifie cela ?

Pour info à chaque fois que je jette un oeil à la box les règles Upnp (je ne sais pas ce que sait mais visiblement à la lecture de ce fil ça a l'air d'être important) change toutes seules et repassent sur Yes au lieu de No : 

 

Le 05/12/2018 à 00:28, Fenrir a dit :

n'hésitez pas à faire un récapitulatif détaillé d'où vous en êtes et de ce qui ne fonctionne pas,

@Fenrir j'en suis au même point que quand je suis arrivé sur ce forum 😭

Merci par avance de votre coup de main.

Modifié le 6 décembre 2018 par camdel

[Pingouindunas]

Bonsoir à tous,

Je prends le train en marche pour @camdel

Je me permets de répondre  en tant que grand débutant comme toi.

Je viens de lire la fin de ton message. Mais j'ai remarqué à la fin de ton dernier post, tu dis ceci :

Citation

Pour info à chaque fois que je jette un oeil à la box les règles Upnp (je ne sais pas ce que sait mais visiblement à la lecture de ce fil ça a l'air d'être important) change toutes seules et repassent sur Yes au lieu de No : 

Ayant lu plusieurs fois le tuto, j'ai retenu qu'il fallait désactiver Upnp et DMZ. Or je vois que ta box est activée en Upnp. Donc, normal que tes valeurs changent tout le temps. Je pense  que les autres bien plus avisés que moi te confirmeront (j'espère ne pas me tromper du tuto).

Sur ma box, Upnp et DMZ sont désactivés et c'est presque un jeu d'enfant de paramétrer ce que l'on veut (du moment que l'on sait ce que l'on veut faire). ;-)

J'ai réussi à connecter mon nas depuis l'extérieur.

 

 

 

 

[PiwiLAbruti]

Il y a 2 heures, camdel a dit :

De quelle règle parle-tu ?

De la règle PAT/NAT configurée sur le routeur/box.

[camdel]

Le 06/12/2018 à 21:45, Pingouindunas a dit :

Or je vois que ta box est activée en Upnp.

@PingouindunasJ'ai beau basculer "Yes" sur "No" des 2 lignes et enregistrer la modif, quand je reviens voir quelque temps après c'est repassé sur Yes tout seul. Je ne sais pas quoi d'autre faire sur ce point...

 

Le 06/12/2018 à 21:54, PiwiLAbruti a dit :

la règle PAT/NAT configurée sur le routeur/box

@PiwiLAbruti Comme postée précédemment depuis le debut de mes question sur le forum, je remets la capture ci-après

Le 06/12/2018 à 19:22, camdel a dit :

Si elle este attribuée par DHCP, assure-toi de créer un bail de réservation pour qu'elle ne change pas

Et sur cette question ? Je ne comprends pas. Tu me donne plus d'élément stp ?

Merci par avance de vos retours.

[Pingouindunas]

Il y a 14 heures, camdel a dit :

J'ai beau basculer "Yes" sur "No" des 2 lignes et enregistrer la modif, quand je reviens voir quelque temps après c'est repassé sur Yes tout seul. Je ne sais pas quoi d'autre faire sur ce point..

Bonjour,

Tu dois avoir une option pour désactiver l'upnp et dmz dans les options générales ou avancé.

C'est quoi comme box à tout hasard ?

[camdel]

il y a 37 minutes, Pingouindunas a dit :

C'est quoi comme box à tout hasard ?

@PingouindunasIl y a bien une option pour désactiver Dmz mais pas Upnp. C'est une "b-box 3V+" fourni par le FAI dénommé Proximus (gros opérateur belge, puisque je suis en Belgique).

Après quelques recherche il apparait qu'il ne serait pas possible de désactiver l'Upnp sur cette box. Je ne sais pas vraiment ce que ça implique dans mon cas. Je veux bien une explication, svp.
Merci !

Modifié le 10 décembre 2018 par camdel

[Pingouindunas]

il y a 25 minutes, camdel a dit :

C'est une "b-box 3V+" fourni par le FAI dénommé Proximus (gros opérateur belge, puisque je suis en Belgique).

Je n'ai pas d'idée.

Peut-être chercher de ce côté : forum du FAI.

ou celui-ci (concerne aussi proximus) : au autre forum sur Proximus

Modifié le 10 décembre 2018 par Pingouindunas
ajout

[camdel]

@Pingouindunas merci, je suis déjà allé scruter ce terrain là et c'est là que j'ai appris qu'il ne serait pas possible de désactiver l'Upnp sur cette box (contrairement à la version précédente).
Par contre je n'ai toujours pas saisi quel impact ça a ? Saurais-tu m'expliquer ou me rediriger vers une ressource pour compréhensible pour novice ?

Merci par avance.

[PiwiLAbruti]

@camdel : Si l'adresse IP qu'on ne voit pas sur la règle NAT est bien l'adresse IP privée du NAS, la règle est bonne.

Le problème se situerait donc ailleurs, mais là j'ai du mal à voir où.

[Pingouindunas]

Il y a 4 heures, camdel a dit :

Par contre je n'ai toujours pas saisi quel impact ça a ? Saurais-tu m'expliquer ou me rediriger vers une ressource pour compréhensible pour novice ?

Je ne sais pas trop mais cela expliquerait sans doute tes problèmes de configuration (j'avais vu dans le tuto qu'il fallait désactiver upnp et dmz).

Après, je suis un éternel débutant.  Je laisse le soin aux plus experts de te répondre.

Par contre, je n'ai pas d'autres ressources à te proposer.

[camdel]

Il y a 1 heure, PiwiLAbruti a dit :

est bien l'adresse IP privée du NAS, la règle est bonne

@PiwiLAbruti Donc la règle est bien la bonne... 😭
Tu n'as vraiment aucune autre idée 🙏 ?

@Pingouindunas merci quand même, j'apprécie.
 

[CPS31]

Bonjour à tous,

Je dois configurer un routeur Orange (Flybox 4G) de la même manière que pour une Livebox avec ses règles NAT/PAT

Est-ce que certains d'entre vous disposez de ce matériel car je n'arrive pas à trouver les menus nécessaires (sécurité, Parefeu) pour configurer ses règles dans la console d'administration. Je n'ai trouvé aucune doc technique sérieuse chez Orange.

Des copies d'écran seraient un must.

Merci d'avance.

[Einsteinium]

Pas d’ouverture de port possible, il n’y a que Bouygues qui permet cela à ce jour, si tu veux y accéder à distance, il faudra passé par quickconnect.

Il est plus intéressant de passé par une puce Free greffée sur le compte de quelqu’un pour avoir l’illimité niveau data, la 200Go... c’est Peu...

[unPixel]

Je crois que c'est possible aussi avec Free mais il faut créer un tunnel VPN, un truc dans le genre et je crois qu'il faut un second serveur VPN à l’extérieur.

[dadap94]

Bonjour à tous,

Tout d'abord un grand merci à Fenrir pour ce tuto, et à tous ceux qui ont apporté leurs précieux conseils dans les messages suivants.

Je suis intéressé par la mise en place du certificat et la redirection automatique vers https car je souhaite fournir un accès sur internet à mon NAS. J'essaye de suivre les étapes mais il semble que mon certificat ne soit pas pris en compte. Je dispose de la version DSM 6.2.1-23824 Update 4 sur un modèle DS218play. Et je fais les manip depuis Chrome sur un macbook (mais ça je pense que ça ne change rien).

Etant fortement incompétent en réseau, je n'ai pas la certitude d'avoir effectué les étapes correctement :

Redirection des ports 80 et 443 : mon routeur est ma bbox, voici les règles que j'ai implémentées (l'adresse masquée est l'adresse privée du nas et j'ai laissé les ports 5000 et 5001 par défaut) :

 

 

Ensuite sur le pare-feu du nas j'ai ouvert les ports 5000 et 5001 (et dans le doute les ports 80 et 443 également) pour tout le monde :

 

J'ai également activé le domaine personnalisé (le même que j'avais déclaré dans quickconnect, mais j'ai désactivé quickconnect) :

 

Et dans la config DDNS j'ai respecté le même nom de domaine et j'ai mis l'adresse externe de ma bbox :

 

Ensuite j'ai ajouté un certificat Let's encrypt pour remplacer le certificat par défaut. J'ai renseigné le nom de domaine défini en nom d'hôte DDNS (toto.synology.me), et la même adresse email. J'ai laissé "autre nom de l'objet" vide.

Quand je lance la génération du certificat, il redémarre le serveur web et ensuite j'ai le message suivant :

 

J'en déduis (à tort ?) que le certificat ne s'est pas correctement installé, sinon il me mettrait automatiquement en https non ?

Et quand j'essaye en 4G depuis un téléphone portable (via l'adresse https://toto.synology.me) j'ai un message d'erreur synology disant qu'ils ne trouvent pas la page.

 

Quelqu'un a une idée de mon (ou mes) erreur(s) ?

Merci d'avance pour votre aide.

Modifié le 3 janvier 2019 par dadap94

[Mic13710]

Pour pouvoir mettre en place votre certificat LE, il faut que le port 80 soit ouvert ET redirigé vers le NAS.

Là, vous avez redirigé le 80 vers le 5000, ce qui à l'évidence ne peut pas convenir.

Ensuite, très grosse erreur, votre NAS est ouvert aux quatre vents ! Supprimez la règle du parefeu qui autorise les ports 80, 5000 et 443 pour tout le monde (ou limitez son empreinte géographique) et n'ouvrez pas le port 5000 (DSM) vers l'extérieur.

Pour le port 80, inutile de l'ouvrir pour toutes les adresses mais uniquement pour les deux adresses IP de LE.

Allez faire un tour sur le tuto du serveur DNS et sur mon retour en page 2 du dit tuto où vous trouverez des infos sur le certificat et le reverse proxy.