Aller au contenu

[TUTO] Sécuriser les accès à son nas - DSM 6.x


Fenrir

Messages recommandés

  • 3 mois après...

Bonjour à tous, 

J'ai suivi ce tuto, mais depuis que j'ai activé le pare-feu et configuré les restrictions (semblables à celle de @Fenrir sauf celle qui te sont propres) je n'ai plus accès au DSM 'Échec de la connexion en raison de problèmes réseau' . Le NAS étant pas à côté de moi, est-ce qu'il y a un moyen de revenir en arrière ? En parallèle j'essayais de m'y connecter en VPN mais je n'y parviens pas... 

Merci pour votre aide précieuse 

Lien vers le commentaire
Partager sur d’autres sites

@Grafyx88

Bonjour,

Tu te connectes comment à ton NAS, avec quel type d'URL : http(s)://@IPexterneNAS:5000(5001) ou https://tonDomaine.tld ? (@IPExterne = @IP de ta box)

Les ports 80 et 443 sont-ils bien transférés (NAT) de ta box vers le NAS ?

Les ports 80, 443, 5000 et 5001 sont-ils bien ouverts/autorisés dans le pare-feu du NAS ?

Sur ton réseau local que donne un " ping @IPexterneNAS " ?

Depuis l'extérieur (par ex avec un Tél 4G pas en Wifi !) dans un navigateur Web : tapes l'URL https://tonDomaine.tld:5001 --> tu dois atteindre le NAS.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Hello @oracle7
 

Edit : je me suis connecté, mais rien ne s'ouvrais et en actualisant, j'ai de nouveau l'erreur ... j'y comprend rien

Pour finir de répondre à tes question : 
 

Citation

Les ports 80, 443, 5000 et 5001 sont-ils bien ouverts/autorisés dans le pare-feu du NAS ?

j'ai suivi les autorisations comme ici (voir pj)
 

Citation

Sur ton réseau local que donne un " ping @IPexterneNAS " ?

Je n'ai pas accès au reseau local du NAS. 
 

Citation

Depuis l'extérieur (par ex avec un Tél 4G pas en Wifi !) dans un navigateur Web : tapes l'URL https://tonDomaine.tld:5001 --> tu dois atteindre le NAS.

qu'est-ce que c'est .tld ?? 'tonDomaine' étant le nom du compte du nas ? 


Merci beaucoup !! 

s14.png

Modifié par Grafyx88
Lien vers le commentaire
Partager sur d’autres sites

@Grafyx88

Bonjour,

Dans ton pare-feu, c'est quoi l'@IP source 192.0.2.3 ? Parce que comme c'est une @IP dite privée (192.x.x.x) et par conséquent non routable sur Internet, tu n'atteindras jamais via les ports 80 HTTP ou 443 HTTPS ton NAS depuis cette @ à l'extérieur. Il te faut ouvrir ces ports à toutes les sources. Eventuellement tu peux restreindre à la France mais tu ne pourras pas alors atteindre certains sites tels que les serveurs Let'Encrypt pour ton certificat SSL qui eux sont aux USA. Mais c'est toi qui voit ...

Pour ton réseau local tu peux aussi "réduire la voilure" en autorisant que 255 machines (ce qui est déjà bien suffisant) au lieu des 65435 actuelles permises. Pour cela tu modifies la règle 192.168.0.0/255.255.0.0 par 192.168.x.0/2555.255.255.0. (x dépendant de ton sous-réseau local actuel)

il y a 47 minutes, Grafyx88 a dit :

qu'est-ce que c'est .tld ?? 'tonDomaine' étant le nom du compte du nas ? 

Quand tu utilises un nom de domaine personnalisé xxxxxx.tld (ou ndd.tld) dont tu es propriétaire ou qu'il a été obtenu gratuitement avec Synology en xxxxx.synology.me, alors pour ce nom de domaine le TLD, abréviation de Top Level Domain (domaine de premier niveau), est le dernier segment du nom de domaine – la partie qui vient après le point final. L’exemple le plus courant est le .com, mais il y a tout un monde de TLDs différents (.fr, .us, .org, .eu, .gouv, etc....). Pour Synology c'est ".me".

Non, l'appelation 'tonDomaine' n'est pas le nom du NAS ni celui du compte qui te permet de te connecter au NAS. Je te renvoie à ce TUTO : Pourquoi et comment utiliser un nom de domaine. Tu comprendra mieux de quoi il en retourne et à quoi cela sert. En très gros, cela te permet d'utiliser un nom plutôt qu'une @IP (voit cela un peu comme un alias de l'@IP. C'est plus facile à retenir et surtout à saisir dans une URL.

D'une façon général, tout ce paramétrage d'administration du NAS est de préférence à faire avec une connexion locale au NAS. On peut le faire aussi à distance mais il faut qu'un miminum ait été fait en préalable en local.

Je le répète, ton NAS doit être sécurisé et accessible de l'extérieur AVANT de configurer un VPN sinon tu risques d'empiler les déconvenues et cela devient difficiles ensuite à corriger.

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

@Grafyx88

Bonjour,

Il y a 1 heure, Grafyx88 a dit :

je n'ai plus accès à rien, ni au DSM, ni autre .. depuis que j'ai mis le pare-feu en place.

Dans ce cas, tu es bon pour un reset du NAS (mode 1 devrait suffire).

Un reset mode 1 ou 2 n’affecte pas les données mais il vaut mieux prévenir et donc être prudent et faire une sauvegarde au préalable !

Actions du Reset mode 1 (qui permet de reprendre la main quand on a fait des bêtises lors de la configuration) :

  •       La valeur par défaut du compte admin sera restaurée.

  • Le port de gestion de l'IU sera réinitialisé sur 5000/5001.

  • L'IP, le DNS, la passerelle et les autres interfaces réseau seront réinitialisées sur DHCP.

  • PPPoE sera désactivé.

  • Le blocage automatique sera désactivé.

  • Les règles du pare-feu seront désactivées.

  • Les dossiers chiffrés seront démontés et la fonctionnalité Monter automatiquement au démarrage sera désactivée.

  • Le cluster high-avalability sera supprimé.

  • Le cluster Virtual Machine Manager sera supprimé.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

  • 4 semaines après...

Bonjour,

En suivant ce tuto, ainsi que le tuto sur pourquoi utiliser un nom de domaine et le tuto sur le reverse proxy, j'avais enfin réussi à tout faire fonctionner et pour une raison obscure, un jour (y a quelques semaines), je me suis rendue compte que je n'arrivais plus à atteindre le NAS avec mon nom de domaine ! J'obtiens pour toutes mes adresses : Le navigateur n'arrive pas à ouvrir la page car le serveur sur lequel la page est située ne répond pas.
Pourtant, j'ai rien changé à la config" La seule chose qui est intervenue est la mise à jour de DSM qui s'est enclenchée. Je suis actuellement à la version DSM 7.0.1-42218 Update 3.

Je suis retournée dans les tutos, j'ai révisé les procédures, et tout semble conforme.
Mon DDNS a un statut normal, les ports 80 et 443 sont ouverts dans le pare-feu pour le Canada et la France et sur le routeur également. (voir capture).

Je suis repassée à travers le tuto sur la sécurité, réviser les config du reverse proxy, renouvelé le certificat LE, j'ai réinitialisé le certificat de synology, recréer un certificat LE, supprimer le certificat synology... J'ai redémarré le NAS... Sait-on jamais... Marche pas plus.

Lorsque je fais un ping, ça me répond Name or service not known et je sais pas pourquoi ni comment arranger ça...

Est-ce qu'une bonne âme aurait une idée de par où je pèche ?
Merci

Pare-feu.png

Lien vers le commentaire
Partager sur d’autres sites

Alors correction !!!
Je viens de me rendre compte que depuis l'extérieur, le reverse proxy et mon nom de domaine fonctionne... Par contre, j'accède à rien à partir de ma connexion locale 😩.

J'ai un peu trop sécurisé le local 😄


J'accède à DSM par mon iplocale:5000 uniquement. J'accède au application IOS par iplocale.
Sur mon réseau local, si je mets video.mondomaine.tld = échec.
Sur mon téléphone en LTE video.mondomaine.tld = accès à la page d'authentification.

Est-ce qu'il y a un réglage quelque part qui empêche le local d'accéder ?
 

Modifié par MelleLals
Lien vers le commentaire
Partager sur d’autres sites

@MelleLals

Probablement que le loopback ne fonctionne plus chez votre FAI, ce qui expliquerait ce comportement. Vos requêtes sont toutes résolues par vos serveurs DNS externes. Si votre FAI interdit le loopback, les adresses envoyées en interne ne peuvent aboutir.

Le moyen de le contourner est d'utiliser un serveur DNS local comme celui de Synology. Votre problème n'a rien à voir avec la sécurité et donc votre demande n'est pas formulée au bon endroit. Je vous invite à aller faire un tour sur le tuto de Fenrir concernant le serveur DNS.

 

Lien vers le commentaire
Partager sur d’autres sites

Le 23/04/2022 à 19:21, MelleLals a dit :

Alors correction !!!
Je viens de me rendre compte que depuis l'extérieur, le reverse proxy et mon nom de domaine fonctionne... Par contre, j'accède à rien à partir de ma connexion locale 😩.

J'ai un peu trop sécurisé le local 😄


J'accède à DSM par mon iplocale:5000 uniquement. J'accède au application IOS par iplocale.
Sur mon réseau local, si je mets video.mondomaine.tld = échec.
Sur mon téléphone en LTE video.mondomaine.tld = accès à la page d'authentification.

Est-ce qu'il y a un réglage quelque part qui empêche le local d'accéder ?
 

Bonjour,

as tu essayer : https://nom.synology.me/video

 

image.png.30cffe7b3bc0867a33e714ba94a481bb.png

Modifié par toutnickel
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

J'ai commencé ce matin à suivre le tuto pour sécuriser au maximum.

J'ai commencé par désactiver QuickConnect qui avait été activé à l'installation du NAS avec l'assistant Synology.

Mon accès DNS était déjà en place (NomAccès.synology.me)

J'ai ensuite désactivé SMB et laissé AFP car j'accède essentiellement à mon NAS depuis mon Mac.

Et là, je n'accède plus à rien du tout 😰

  • Accès QuickConnect bien entendu HS
  • Accès en local via son IP fixe 192.168.0.3:6521 (port pour http) ou 192.168.0.3:8423 (port pour https) avec redirection vers https coché dans les paramètres --> Ce site est inaccessible192.168.0.3 a mis trop de temps à répondre.
  • Accès DDNS via https://NomAccès.synology.me:57807/ depuis mon Mac pour accéder à DSM --> Ce site est inaccessible NomAccès.synology.me a mis trop de temps à répondre. (je ne sais pas d'où sortait ce port 57807 par contre, mais tout fonctionnait bien jusque là)
  • J'ai ensuite essayé de voir ce que donnait les accès créés spécialement pour mon expert-comptable sur 2 dossiers du NAS et c'est pareil. 

Bref, c'est un peu la panique et j'ai vraiment besoin d'aide pour reprendre la main et me sortir de cette impasse svp 😬

Problème réglé après avoir éteint, puis rallumé le NAS même si la méthode parait étrange.

Modifié par Agima
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, Agima a dit :

192.168.0.3:6521 (port pour http) ou 192.168.0.3:8423 (port pour https)

 

il y a une heure, Agima a dit :

C'est quoi ces numéros de ports exotiques ? Ils ne se sont pas autogénérés, c'est toi qui a du les renseigner à un moment donné ...

Maintenant, si tu n'arrives vraiment plus à accéder au DSM, la solution de secours est le reset de mode 1.

Attention :

Citation

Remarques :

  1. Une fois votre Synology NAS réinitialisé via le Mode 1, les paramètres suivants sont définis :
    • Le compte admin est restauré à sa valeur par défaut et son paramètre d'authentification à 2 facteurs est désactivé.
    • Le port de gestion de l'interface utilisateur est réinitialisé à 5000/5001.
    • IP, DNS, passerelle et autres interfaces réseau sont réinitialisées sur DHCP.
    • PPPoE est désactivé.
    • Le blocage automatique est désactivé.
    • Les règles de pare-feu sont désactivées.
    • Le cluster high-availability est supprimé.
    • Le cluster Virtual Machine Manager est supprimé.
    • Les dossiers chiffrés sont démontés et la fonction Monter automatiquement au démarrage est désactivée. Pour des raisons de sécurité, si le chiffre est une clé machine, il est supprimé du Gestionnaire de clés. Pour savoir comment conserver la clé machine pour déchiffrer les dossiers partagés après la réinitialisation, reportez-vous à cet article.

 

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Je poste sur ce super tuto qui m'a énormément appris sur la sécurité internet. Je vais pouvoir p-e contribué

SFR (RED) m'a migré en IPV6 sans me demander mon avis. Plus rien qui marche, la totale, redirection OVH, mes services, mon VPN ect...

Au lieu de "forcer" auprès du fournisseur un retour en IPv4 full stack comme j'ai pu lire à droite a gauche et après une première demande ou on a fait style de pas me comprendre : je me suis lancé dans la config. J'ai lu tes avertissements concernant le IPV6 @Fenrir

Sur ma box SFR dans le menu IPV6 j'ai en plus de général qui résume :

Pare Feu => ici j'ai renvoyé les demandes de 3 ports extérieur vers mon NAS, le vpn et 2 autres ports.
UPNP V6 : Desactivé
Blocage Ping entrant : Désactivé
DMZ pour IPV6 : OFF
Filtrage : ON
Protéger vos Ordinateurs Windows de l'internet : Coché (meme si j'ai pas windows)
Autoriser l'envoi de courriels uniquement par l'intermédiaire des serveurs mail du groupe SFR : Coché

DHCP => Ici j'ai désactivé le DHCP : est ce que cela protège mes équipements compatible IPV6 de l'extérieur ? car pas de DHCP, pas d'ipv6 ? Avant la désactivation j'avais une palanquée d'équipement IPV6 que je ne souhaite pas être directement sur internet.
J'ai créé une adresse statique pour le NAS

SLAAC => J'ai rien fait mais il est activé

DNS => J'ai recréer mon DNS local avec mon nom de domaine

Sur OVH, j'ai renvoyer mon domaine.com vers mon IPV6 NAS.

Sur le NAS j'ai activé l'IPV6 en automatique, ce qui permet de récupérer l'adresse statique fournie par la Box

Pensez vous que c'est correct ?

Modifié par sam72
Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

bonjour

Petite question bête mais j'ai un doute,

A quoi correspondent les 2 premières lignes ?

Pour la 3eme, est ce qu'on autorise uniquement l'IP 0.0 ou toute la plage ?

Chez moi, max box à l'iIP 192.168.0.1 et mon NAS 0.34 pas obligé de créer une règle spécifique, la 3eme suffit?

 

s03.png

Lien vers le commentaire
Partager sur d’autres sites

C'est pour couvrir l'ensemble des plages d'adresses privées des classes A, B et C

Un peu de lecture : https://www.it-connect.fr/les-adresses-ip-privees-et-publiques/

Vous pouvez si vous le souhaitez restreindre les plages ou même ne pas mettre celles que vous n'utilisez pas. Tout dépend de votre utilisation et des applications que vous activerez. Par exemple, la première règle est nécessaire pour le serveur VPN.

il y a une heure, Zouille a dit :

Chez moi, max box à l'iIP 192.168.0.1 et mon NAS 0.34 pas obligé de créer une règle spécifique, la 3eme suffit?

La troisième couvre toute la plage.

Lien vers le commentaire
Partager sur d’autres sites

Super merci. Je vais regarder ça 

C'est très bien expliqué. Tu aurai d'autre lien sur les protocoles et autres Infos sur les réseaux (routeur,Proxy, dns...) 

En fait je peux autoriser une seule plage correspondante à celle ouverte par ma box de 192.168.0.0 à 0.60. Mais ça c'est uniquement des ip de mon réseau local données par ma box du coup?

Une ip extérieur ne sera pas dans la même plage 

 

Modifié par Zouille
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Zouille a dit :

En fait je peux autoriser une seule plage correspondante à celle ouverte par ma box de 192.168.0.0 à 0.60.

Oui. Mais si vous changez de box et que la plage n'est plus la même, ou que vous élargissez la plage actuelle, il vous faudra modifier l'entrée.

Il y a 1 heure, Zouille a dit :

Mais ça c'est uniquement des ip de mon réseau local données par ma box du coup?

C'est tout de même le but du parefeu : laisser passer les adresses approuvées et bloquer celles qui ne le sont pas.

Une fois que vous aurez sécurisé votre NAS et que vous voudrez l'ouvrir vers l'extérieur, il faudra rajouter des règles au dessus de la dernière qui laisseront passer les IP extérieures en fonction des ports que vous voulez ouvrir vers l'extérieur, complémenté d'un filtrage géographique pour ne laisser passer que les IP provenant de pays depuis lesquels vous autorisez le trafic (France, etc...). Mais ça c'est seulement après la mise en oeuvre de ce tuto.

Lien vers le commentaire
Partager sur d’autres sites

merci.

bon, j'ai donc crée les mêmes règles du tuto au cas,ou c'est tres large, alors je n'active que les 2 dernières lignes .(perso chez moi le masque du modem est 255.255.254.0 et en LAN 255.255.255.0 avec  IP ouverte de 192.168.0.10 à 50)

1882145603_Capturedcrandu2022-08-1614-57-36.thumb.png.80b74d3597a438f247685ac6256325a6.png

1786499193_Capturedcrandu2022-08-1614-40-52.thumb.png.204a2eea486e4d5467e2f9209289fcea.png

A ce stade je n'ai donc que les connexions locales et quickconnect qui fonctionnent.La première ligne n'est pas utile je pense.

Je sais que beaucoup sont contre quickconnect mais c'est le temps de me faire un domaine et me connecter par DDNS.

Pensez vous qu'il faut d'autres règles dans ma situation actuel (Administration en local et exceptionnellement a distance + utilisation de DS audi, DS vidéo,DS file et DS get à distance )

Je vais me pencher sur le domaine, pour cela je suppose qu'il va falloir ajouter des règles et ouvrir certains ports sur ma box ,quel est le but du routeur dans le NAS en fait ?

Merci

Lien vers le commentaire
Partager sur d’autres sites

Je vous invite à consulter le paragraphe de ce tuto concernant l'onglet "Configuration du routeur".

il y a 31 minutes, Zouille a dit :

Pensez vous qu'il faut d'autres règles dans ma situation actuel (Administration en local et exceptionnellement a distance + utilisation de DS audi, DS vidéo,DS file et DS get à distance )

Bien sûr qu'il faudra rajouter des règles. C'est ce que je vous ai écrit plus haut. Mais encore une fois, ne mettez pas la charrue avant les boeufs. Terminer la mise en pratique de ce tuto avant d'aller plus loin. On ne connecte le NAS vers l'extérieur que lorsque les conditions de sécurité sont remplies.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous, 

Je peaufine un peu ce matin les accès à mon NAS en épurant un peu les ports ouverts.
Mon réseau local est le 192.168.64.0/24 (255.255.255.0)
Mon réseau via VPN (Application du routeur) est le 172.21.0.0.24 (255.255.255.0)

Dans mon pare feu, je dois avoir juste ces lignes ? :

image.png.d93dc19717acd2d7c8fae14063b36bb9.png

De plus, j'ai créé des profils de contrôle d'accès (LAN/VPN) pour le reverse proxy comme suit :

image.png.1105fa0587785c5e50ecb3c6a1e3c4c5.png

 

Celui-ci fonctionne depuis le LAN mais pas par VPN.
Une idée ?

Lien vers le commentaire
Partager sur d’autres sites

172.21.0.0/24 ça entre en conflit avec la plage utilisée par Docker.
Utilise plutôt une plage dans 10.0.0.0/8 pour ton réseau VPN, car on ne sait pas changer facilement le réseau utilisé par défaut par Docker sur DSM.

Sinon en théorie, si pas de conflit induit par ma remarque ci-avant, ça devrait pourtant fonctionner, quel message d'erreur obtiens-tu ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.