[TUTO] Sécuriser les accès à son nas - DSM 6.x

[Invité]

Pour les 3 ère lignes tu as bien indiqué sous réseau ?

[damstopper]

Oui.

Voici une impression écran du profil. A moins que je sois bigleux, c'est tout pareil que Fenrir. Non?

[.Shad.]

@damstopper Tu tentes de te connecter en local ou à distance ? car si c'est à distance et que visiblement tu n'as pas encore mis en place le proxy inversé, tu bloques la connexion.
Il faut exposer le port de DSM et le rediriger depuis ta box vers ton NAS (c'est non conseillé, je t'explique juste pour la logique).

[damstopper]

@.Shad. C'est en local. Mon ordinateur est connecté au réseau en filaire...

Je ne comprends donc pas!

Je vais tenté de mettre en place le proxy inversé en croisant les bras...

[.Shad.]

Quel est le sous-réseau utilisé dans ton LAN (l'adresse IP de ton ordinateur par exemple) ?

[damstopper]

Tu veux dire l'adresse IP qu'on peut voir dans le panneau de configuration / Réseau / général / Passerelle par défaut?

 

[.Shad.]

Oui ou celle de ton PC, c'est pour être certain que tu ne t'es pas trompé de sous-réseau.

[damstopper]

Bonjour @.Shad.. Cette adresse IP est celle de ma box Orange. J'avais dû suivre des tutos pour paramétrer mon NAS suite à mon changement d'opérateur (anciennement FREE) qui m'avait provoqué des problèmes de connexion (plus d'accès à Plex ou via finder/explorer sur mon ordi).

Je pense que c'est ça. Du coup tu me conseillerais quoi à mettre en passerelle par défaut?

Merci

 

[.Shad.]

Si tu enlèves la règle de refus, est-ce que tu as encore le message d'erreur ?

[damstopper]

il y a 8 minutes, .Shad. a dit :

Si tu enlèves la règle de refus, est-ce que tu as encore le message d'erreur ?

Je ne pense pas que ça ait un lien. En effet, j'ai pris exactement le même profil que celui par défaut. j'ai "cloné" le profil, donc aucune différence de paramétrage entre les 2. Et il ne m'accepte pas le changement.

J'essaie malgré tout ton idée d'enlever la règle qui refuse tout. Et la contre toute attente mon changement de profil est pris! 😲J'essaie de remettre la règle, et là il me remet le profil précédent.

Je confirme donc le pare-feu ne veut pas la règle de refus.

Pourquoi? et quelle conséquence par rapport au tuto de @Fenrir sur la sécurité de mon NAS

[.Shad.]

Je ne vois pas pourquoi il accepterait la règle avec le profil défaut et pas avec un clone de ce profil.
La seule possibilité c'est que l'IP du périphérique avec lequel tu te connectes au NAS ne rentre pas dans le cadre de la liste blanche proposée par Fenrir.

Peux-tu simplement donner l'IP (privée) du PC avec lequel tu y accèdes ?

[Mic13710]

Si les règles sont identiques à celles du tuto, un blocage est impossible car les règles du tuto couvrent toute la gamme des IPV4 privées. La seule possibilité c'est que le masque de sous-réseau ne soit pas correct ce qui, comme le fait remarquer .Shad., bloquerait l'accès.

[damstopper]

Bonjour, 

En réponse à vos demandes voici l'IP privé de mon ordi : 192.168.1.30

J'avoue ne pas avoir tout compris avec le profil cloné, j'ai refait des tests et je n'arrive plus à remettre les paramètres par défaut. Mais en soit ce n'est pas grave car je voulais les changer. En revanche la règle du refus ne passe toujours pas.

Peut être que je devrai agir sur ma box??? Puisque la passerelle par défaut dans la rubrique Panneau de conf / Réseau / Général est celle de ma box...

Après tentative depuis un autre ordinateur pour voir si ça fait la même chose, et bien oui ... C'est à n'y rien comprendre et difficile à décrire puisque je ne sais pas précisément de quelles informations vous avez besoin pour m'aider.

Quand au masque sous réseau il ne fait pas partie de ceux de Fenrir. Mais lorsqu'on a 255.255.0.0, est ce que cela inclut tout ceux commençant par 255.255? Si oui alors, il n'y a pas de problème, à priori à ce niveau...

Modifié le 27 janvier 2020 par damstopper

[Mic13710]

Oula ! Le masque de sous-réseau permet de définir la plage d'IP.

Quel masque avez-vous mis pour les adresses 192.168.0.0 ?

[damstopper]

Bonjour @Mic13710 

Conformément au tuto de Fenrir, j'ai mis 255.255.0.0.

Sur mon réseau local j'ai 255.255.255.0. Serait-ce l'origine problème?

[.Shad.]

Non le premier englobe le deuxième.

Je ne vois franchement pas pourquoi ça marcherait avec le profil par défaut et pas avec un clone de celui-ci..

Modifié le 28 janvier 2020 par .Shad.

[damstopper]

Pas grave, ça a l'air de fonctionner maintenant. 

Merci.

Par contre j'ai un problème avec la mise en place du reverse proxy.

Je passe sur le topic spécifique pour expliquer mon problème.

[_Alex_]

Le 01/12/2016 à 19:33, Fenrir a dit :

Une recommandation, n'autorisez pas l'accès en direct à DSM (ports TCP 5000 et 5001 par défaut) depuis Internet mais servez vous du portail des applications (cf plus bas) pour limiter les accès aux seules applications nécessaires. Si vous devez administrer votre NAS depuis Internet, l'utilisation du Serveur VPN est vivement conseillée.

Merci pour le tuto.

J'ai dans un premier temps ouvert le NAS à internet mais je souhaite en revenir et supprimer tous les accès via le parefeu.

Or, lorsque je souhaite supprimer l'accès au port 5001

j'ai ce message qui apparaît:

Pas étonnant car j'accède au NAS via https://monnas.synology.me:5001/

Je m'emmêle un peu les pinceaux et, malgré lecture et relecture du tuto, je n'arrive pas à faire machine arrière et a accéder au NAS par son adresse IP.

Une idée?

Merci

 

[Jeff777]

Bonsoir,

Avant de condamner les ports dans le pare-feu:

1/Tu suis le tuto VPN serveur. En te connectant au NAS avec VPN c'est comme si tu te connectais en local. Donc plus besoin d'autoriser les ports 5000/5001 dans le pare feu.

2/Autre solution : tu suis le tuto reverse proxy. Cela revient à se connecter au NAS sur le port 443 (en https) puis, grâce au reverse proxy être redirigé vers le port 5000 en local. Donc là aussi plus besoin de condamner le port sur le pare feu puisque la requête sur le port 5000 est  en locale.

[_Alex_]

Merci,

J'ai attentivement lu ces 2 tutos et je souhaite effectivement suivre le tuto reverse proxy qui me paraît correspondre à mon attente. Par manque de temps je le ferais d'ici quelques jours/semaines.

Mon souci est surtout au niveau local où je n'arrive pas à me connecter à DSM via l'IP. Même le "find synology" ne trouve plus le NAS. Je dois sûrement

[Jeff777]

Même avec ton IP locale??     192.168.x.x:5000

[_Alex_]

Oui!

[Jeff777]

Tu es sûr de ton IP locale?  Vérifie que l'adresse locale du NAS figure bien sur le réseau (arp -a en ligne de commande)

Modifié le 1 février 2020 par Jeff777

[Remi7449]

Bonsoir,

Merci pour ce super tuto qui m'a permis de comprendre ce que je faisais après de nombreuses lectures ! 

Je m'attaque au reverse proxy. Petite question : il est écrit tout en bas "ps : cette configuration ne fonctionnera pas si vous avez activé la redirection HTTP vers HTTPS de DSM (cf remarque un peu plus haut)", OK mais ce que je ne pige pas c'est pourquoi ne pas configurer les adresses de destination en https:// au lieu de http:// comme sur le screen (l'option est possible lors de la création dans le menu reverse proxy). il y a surement une raison que je ne saisi pas 😌 ! 

Merci d'avance,

Rémi.

[Jeff777]

Bonjour,

Il y a 7 heures, Remi7449 a dit :

Je m'attaque au reverse proxy. Petite question : il est écrit tout en bas "ps : cette configuration ne fonctionnera pas si vous avez activé la redirection HTTP vers HTTPS de DSM

Il s'agit de l'option du panneau de config (réseau/paramètre du DSM). Celle-ci provoque des erreurs avec l'utilisation du reverse proxy. A la place, on utilise un fichier htaccess ou un fichier php pour faire de la redirection http vers https. Ceci permet de forcer l'échange en https depuis l'extérieur jusqu'au NAS. C'est seulement après cela que le revers proxy intervient, c'est à dire dans le réseau local.

Avantage de l'utilisation du reverse proxy : pas besoin d'ouvrir et de rediriger le port de l'application dans le pare feu du NAS et sur la box (ou sur le routeur), seul  le port 443 est utilisé sur le réseau externe et sera redirigé vers le NAS et autorisé dans le pare-feu  (ainsi que 80  si on fait la redirection http --> https. Sinon on interdit la connexion en http).

Le port de l'application n'est utilisé que sur le réseau local et là il n'est plus besoin de re-crypter les échanges ce qui serait inutile et contre-productif.

Mon langage n'est pas très technique mais je l'espère à peu près clair.

 

 

Modifié le 12 février 2020 par Jeff777