Fab221 Posté(e) le 19 décembre 2021 Posté(e) le 19 décembre 2021 Bonjour et merci pour l'information @Jeff777 ! 0 Citer
Grafyx88 Posté(e) le 25 mars 2022 Posté(e) le 25 mars 2022 Bonjour à tous, J'ai suivi ce tuto, mais depuis que j'ai activé le pare-feu et configuré les restrictions (semblables à celle de @Fenrir sauf celle qui te sont propres) je n'ai plus accès au DSM 'Échec de la connexion en raison de problèmes réseau' . Le NAS étant pas à côté de moi, est-ce qu'il y a un moyen de revenir en arrière ? En parallèle j'essayais de m'y connecter en VPN mais je n'y parviens pas... Merci pour votre aide précieuse 0 Citer
oracle7 Posté(e) le 25 mars 2022 Posté(e) le 25 mars 2022 @Grafyx88 Bonjour, Tu te connectes comment à ton NAS, avec quel type d'URL : http(s)://@IPexterneNAS:5000(5001) ou https://tonDomaine.tld ? (@IPExterne = @IP de ta box) Les ports 80 et 443 sont-ils bien transférés (NAT) de ta box vers le NAS ? Les ports 80, 443, 5000 et 5001 sont-ils bien ouverts/autorisés dans le pare-feu du NAS ? Sur ton réseau local que donne un " ping @IPexterneNAS " ? Depuis l'extérieur (par ex avec un Tél 4G pas en Wifi !) dans un navigateur Web : tapes l'URL https://tonDomaine.tld:5001 --> tu dois atteindre le NAS. Cordialement oracle7😉 0 Citer
Grafyx88 Posté(e) le 25 mars 2022 Posté(e) le 25 mars 2022 (modifié) Hello @oracle7 Edit : je me suis connecté, mais rien ne s'ouvrais et en actualisant, j'ai de nouveau l'erreur ... j'y comprend rien Pour finir de répondre à tes question : Citation Les ports 80, 443, 5000 et 5001 sont-ils bien ouverts/autorisés dans le pare-feu du NAS ? j'ai suivi les autorisations comme ici (voir pj) Citation Sur ton réseau local que donne un " ping @IPexterneNAS " ? Je n'ai pas accès au reseau local du NAS. Citation Depuis l'extérieur (par ex avec un Tél 4G pas en Wifi !) dans un navigateur Web : tapes l'URL https://tonDomaine.tld:5001 --> tu dois atteindre le NAS. qu'est-ce que c'est .tld ?? 'tonDomaine' étant le nom du compte du nas ? Merci beaucoup !! Modifié le 25 mars 2022 par Grafyx88 0 Citer
oracle7 Posté(e) le 25 mars 2022 Posté(e) le 25 mars 2022 @Grafyx88 Bonjour, Dans ton pare-feu, c'est quoi l'@IP source 192.0.2.3 ? Parce que comme c'est une @IP dite privée (192.x.x.x) et par conséquent non routable sur Internet, tu n'atteindras jamais via les ports 80 HTTP ou 443 HTTPS ton NAS depuis cette @ à l'extérieur. Il te faut ouvrir ces ports à toutes les sources. Eventuellement tu peux restreindre à la France mais tu ne pourras pas alors atteindre certains sites tels que les serveurs Let'Encrypt pour ton certificat SSL qui eux sont aux USA. Mais c'est toi qui voit ... Pour ton réseau local tu peux aussi "réduire la voilure" en autorisant que 255 machines (ce qui est déjà bien suffisant) au lieu des 65435 actuelles permises. Pour cela tu modifies la règle 192.168.0.0/255.255.0.0 par 192.168.x.0/2555.255.255.0. (x dépendant de ton sous-réseau local actuel) il y a 47 minutes, Grafyx88 a dit : qu'est-ce que c'est .tld ?? 'tonDomaine' étant le nom du compte du nas ? Quand tu utilises un nom de domaine personnalisé xxxxxx.tld (ou ndd.tld) dont tu es propriétaire ou qu'il a été obtenu gratuitement avec Synology en xxxxx.synology.me, alors pour ce nom de domaine le TLD, abréviation de Top Level Domain (domaine de premier niveau), est le dernier segment du nom de domaine – la partie qui vient après le point final. L’exemple le plus courant est le .com, mais il y a tout un monde de TLDs différents (.fr, .us, .org, .eu, .gouv, etc....). Pour Synology c'est ".me". Non, l'appelation 'tonDomaine' n'est pas le nom du NAS ni celui du compte qui te permet de te connecter au NAS. Je te renvoie à ce TUTO : Pourquoi et comment utiliser un nom de domaine. Tu comprendra mieux de quoi il en retourne et à quoi cela sert. En très gros, cela te permet d'utiliser un nom plutôt qu'une @IP (voit cela un peu comme un alias de l'@IP. C'est plus facile à retenir et surtout à saisir dans une URL. D'une façon général, tout ce paramétrage d'administration du NAS est de préférence à faire avec une connexion locale au NAS. On peut le faire aussi à distance mais il faut qu'un miminum ait été fait en préalable en local. Je le répète, ton NAS doit être sécurisé et accessible de l'extérieur AVANT de configurer un VPN sinon tu risques d'empiler les déconvenues et cela devient difficiles ensuite à corriger. Cordialement oracle7😉 0 Citer
Grafyx88 Posté(e) le 26 mars 2022 Posté(e) le 26 mars 2022 Bonjour @oracle7 Merci pour ta réponse, mais comme je l'ai dis plus haut je n'ai plus accès à rien, ni au DSM, ni autre .. depuis que j'ai mis le pare-feu en place. Du coup je ne peut répondre à tes questions 0 Citer
oracle7 Posté(e) le 26 mars 2022 Posté(e) le 26 mars 2022 @Grafyx88 Bonjour, Il y a 1 heure, Grafyx88 a dit : je n'ai plus accès à rien, ni au DSM, ni autre .. depuis que j'ai mis le pare-feu en place. Dans ce cas, tu es bon pour un reset du NAS (mode 1 devrait suffire). Un reset mode 1 ou 2 n’affecte pas les données mais il vaut mieux prévenir et donc être prudent et faire une sauvegarde au préalable ! Actions du Reset mode 1 (qui permet de reprendre la main quand on a fait des bêtises lors de la configuration) : La valeur par défaut du compte admin sera restaurée. Le port de gestion de l'IU sera réinitialisé sur 5000/5001. L'IP, le DNS, la passerelle et les autres interfaces réseau seront réinitialisées sur DHCP. PPPoE sera désactivé. Le blocage automatique sera désactivé. Les règles du pare-feu seront désactivées. Les dossiers chiffrés seront démontés et la fonctionnalité Monter automatiquement au démarrage sera désactivée. Le cluster high-avalability sera supprimé. Le cluster Virtual Machine Manager sera supprimé. Cordialement oracle7😉 0 Citer
Grafyx88 Posté(e) le 28 mars 2022 Posté(e) le 28 mars 2022 Hello @oracle7 Merci beaucoup, j'ai retrouvé une connexion c'est ok 🙂 Bien à toi ! 0 Citer
MelleLals Posté(e) le 23 avril 2022 Posté(e) le 23 avril 2022 Bonjour, En suivant ce tuto, ainsi que le tuto sur pourquoi utiliser un nom de domaine et le tuto sur le reverse proxy, j'avais enfin réussi à tout faire fonctionner et pour une raison obscure, un jour (y a quelques semaines), je me suis rendue compte que je n'arrivais plus à atteindre le NAS avec mon nom de domaine ! J'obtiens pour toutes mes adresses : Le navigateur n'arrive pas à ouvrir la page car le serveur sur lequel la page est située ne répond pas. Pourtant, j'ai rien changé à la config" La seule chose qui est intervenue est la mise à jour de DSM qui s'est enclenchée. Je suis actuellement à la version DSM 7.0.1-42218 Update 3. Je suis retournée dans les tutos, j'ai révisé les procédures, et tout semble conforme. Mon DDNS a un statut normal, les ports 80 et 443 sont ouverts dans le pare-feu pour le Canada et la France et sur le routeur également. (voir capture). Je suis repassée à travers le tuto sur la sécurité, réviser les config du reverse proxy, renouvelé le certificat LE, j'ai réinitialisé le certificat de synology, recréer un certificat LE, supprimer le certificat synology... J'ai redémarré le NAS... Sait-on jamais... Marche pas plus. Lorsque je fais un ping, ça me répond : Name or service not known et je sais pas pourquoi ni comment arranger ça... Est-ce qu'une bonne âme aurait une idée de par où je pèche ? Merci 0 Citer
MelleLals Posté(e) le 23 avril 2022 Posté(e) le 23 avril 2022 (modifié) Alors correction !!! Je viens de me rendre compte que depuis l'extérieur, le reverse proxy et mon nom de domaine fonctionne... Par contre, j'accède à rien à partir de ma connexion locale 😩. J'ai un peu trop sécurisé le local 😄 J'accède à DSM par mon iplocale:5000 uniquement. J'accède au application IOS par iplocale. Sur mon réseau local, si je mets video.mondomaine.tld = échec. Sur mon téléphone en LTE video.mondomaine.tld = accès à la page d'authentification. Est-ce qu'il y a un réglage quelque part qui empêche le local d'accéder ? Modifié le 23 avril 2022 par MelleLals 0 Citer
Mic13710 Posté(e) le 23 avril 2022 Posté(e) le 23 avril 2022 @MelleLals Probablement que le loopback ne fonctionne plus chez votre FAI, ce qui expliquerait ce comportement. Vos requêtes sont toutes résolues par vos serveurs DNS externes. Si votre FAI interdit le loopback, les adresses envoyées en interne ne peuvent aboutir. Le moyen de le contourner est d'utiliser un serveur DNS local comme celui de Synology. Votre problème n'a rien à voir avec la sécurité et donc votre demande n'est pas formulée au bon endroit. Je vous invite à aller faire un tour sur le tuto de Fenrir concernant le serveur DNS. 0 Citer
MelleLals Posté(e) le 23 avril 2022 Posté(e) le 23 avril 2022 @Mic13710 Ah d'accord désolée 🙃 Merci... Je m'en vais étudier cette avenue. 0 Citer
toutnickel Posté(e) le 25 avril 2022 Posté(e) le 25 avril 2022 (modifié) Le 23/04/2022 à 19:21, MelleLals a dit : Alors correction !!! Je viens de me rendre compte que depuis l'extérieur, le reverse proxy et mon nom de domaine fonctionne... Par contre, j'accède à rien à partir de ma connexion locale 😩. J'ai un peu trop sécurisé le local 😄 J'accède à DSM par mon iplocale:5000 uniquement. J'accède au application IOS par iplocale. Sur mon réseau local, si je mets video.mondomaine.tld = échec. Sur mon téléphone en LTE video.mondomaine.tld = accès à la page d'authentification. Est-ce qu'il y a un réglage quelque part qui empêche le local d'accéder ? Bonjour, as tu essayer : https://nom.synology.me/video Modifié le 25 avril 2022 par toutnickel 0 Citer
Agima Posté(e) le 1 mai 2022 Posté(e) le 1 mai 2022 (modifié) Bonjour, J'ai commencé ce matin à suivre le tuto pour sécuriser au maximum. J'ai commencé par désactiver QuickConnect qui avait été activé à l'installation du NAS avec l'assistant Synology. Mon accès DNS était déjà en place (NomAccès.synology.me) J'ai ensuite désactivé SMB et laissé AFP car j'accède essentiellement à mon NAS depuis mon Mac. Et là, je n'accède plus à rien du tout 😰 Accès QuickConnect bien entendu HS Accès en local via son IP fixe 192.168.0.3:6521 (port pour http) ou 192.168.0.3:8423 (port pour https) avec redirection vers https coché dans les paramètres --> Ce site est inaccessible192.168.0.3 a mis trop de temps à répondre. Accès DDNS via https://NomAccès.synology.me:57807/ depuis mon Mac pour accéder à DSM --> Ce site est inaccessible NomAccès.synology.me a mis trop de temps à répondre. (je ne sais pas d'où sortait ce port 57807 par contre, mais tout fonctionnait bien jusque là) J'ai ensuite essayé de voir ce que donnait les accès créés spécialement pour mon expert-comptable sur 2 dossiers du NAS et c'est pareil. Bref, c'est un peu la panique et j'ai vraiment besoin d'aide pour reprendre la main et me sortir de cette impasse svp 😬 Problème réglé après avoir éteint, puis rallumé le NAS même si la méthode parait étrange. Modifié le 1 mai 2022 par Agima 0 Citer
Kramlech Posté(e) le 1 mai 2022 Posté(e) le 1 mai 2022 il y a une heure, Agima a dit : 192.168.0.3:6521 (port pour http) ou 192.168.0.3:8423 (port pour https) il y a une heure, Agima a dit : https://NomAccès.synology.me:57807/ C'est quoi ces numéros de ports exotiques ? Ils ne se sont pas autogénérés, c'est toi qui a du les renseigner à un moment donné ... Maintenant, si tu n'arrives vraiment plus à accéder au DSM, la solution de secours est le reset de mode 1. Attention : Citation Remarques : Une fois votre Synology NAS réinitialisé via le Mode 1, les paramètres suivants sont définis : Le compte admin est restauré à sa valeur par défaut et son paramètre d'authentification à 2 facteurs est désactivé. Le port de gestion de l'interface utilisateur est réinitialisé à 5000/5001. IP, DNS, passerelle et autres interfaces réseau sont réinitialisées sur DHCP. PPPoE est désactivé. Le blocage automatique est désactivé. Les règles de pare-feu sont désactivées. Le cluster high-availability est supprimé. Le cluster Virtual Machine Manager est supprimé. Les dossiers chiffrés sont démontés et la fonction Monter automatiquement au démarrage est désactivée. Pour des raisons de sécurité, si le chiffre est une clé machine, il est supprimé du Gestionnaire de clés. Pour savoir comment conserver la clé machine pour déchiffrer les dossiers partagés après la réinitialisation, reportez-vous à cet article. 0 Citer
sam72 Posté(e) le 21 juin 2022 Posté(e) le 21 juin 2022 (modifié) Je poste sur ce super tuto qui m'a énormément appris sur la sécurité internet. Je vais pouvoir p-e contribué SFR (RED) m'a migré en IPV6 sans me demander mon avis. Plus rien qui marche, la totale, redirection OVH, mes services, mon VPN ect... Au lieu de "forcer" auprès du fournisseur un retour en IPv4 full stack comme j'ai pu lire à droite a gauche et après une première demande ou on a fait style de pas me comprendre : je me suis lancé dans la config. J'ai lu tes avertissements concernant le IPV6 @Fenrir Sur ma box SFR dans le menu IPV6 j'ai en plus de général qui résume : Pare Feu => ici j'ai renvoyé les demandes de 3 ports extérieur vers mon NAS, le vpn et 2 autres ports. UPNP V6 : Desactivé Blocage Ping entrant : Désactivé DMZ pour IPV6 : OFF Filtrage : ON Protéger vos Ordinateurs Windows de l'internet : Coché (meme si j'ai pas windows) Autoriser l'envoi de courriels uniquement par l'intermédiaire des serveurs mail du groupe SFR : Coché DHCP => Ici j'ai désactivé le DHCP : est ce que cela protège mes équipements compatible IPV6 de l'extérieur ? car pas de DHCP, pas d'ipv6 ? Avant la désactivation j'avais une palanquée d'équipement IPV6 que je ne souhaite pas être directement sur internet. J'ai créé une adresse statique pour le NAS SLAAC => J'ai rien fait mais il est activé DNS => J'ai recréer mon DNS local avec mon nom de domaine Sur OVH, j'ai renvoyer mon domaine.com vers mon IPV6 NAS. Sur le NAS j'ai activé l'IPV6 en automatique, ce qui permet de récupérer l'adresse statique fournie par la Box Pensez vous que c'est correct ? Modifié le 21 juin 2022 par sam72 0 Citer
Zouille Posté(e) le 15 août 2022 Posté(e) le 15 août 2022 bonjour Petite question bête mais j'ai un doute, A quoi correspondent les 2 premières lignes ? Pour la 3eme, est ce qu'on autorise uniquement l'IP 0.0 ou toute la plage ? Chez moi, max box à l'iIP 192.168.0.1 et mon NAS 0.34 pas obligé de créer une règle spécifique, la 3eme suffit? 0 Citer
Mic13710 Posté(e) le 15 août 2022 Posté(e) le 15 août 2022 C'est pour couvrir l'ensemble des plages d'adresses privées des classes A, B et C Un peu de lecture : https://www.it-connect.fr/les-adresses-ip-privees-et-publiques/ Vous pouvez si vous le souhaitez restreindre les plages ou même ne pas mettre celles que vous n'utilisez pas. Tout dépend de votre utilisation et des applications que vous activerez. Par exemple, la première règle est nécessaire pour le serveur VPN. il y a une heure, Zouille a dit : Chez moi, max box à l'iIP 192.168.0.1 et mon NAS 0.34 pas obligé de créer une règle spécifique, la 3eme suffit? La troisième couvre toute la plage. 0 Citer
Zouille Posté(e) le 16 août 2022 Posté(e) le 16 août 2022 (modifié) Super merci. Je vais regarder ça C'est très bien expliqué. Tu aurai d'autre lien sur les protocoles et autres Infos sur les réseaux (routeur,Proxy, dns...) En fait je peux autoriser une seule plage correspondante à celle ouverte par ma box de 192.168.0.0 à 0.60. Mais ça c'est uniquement des ip de mon réseau local données par ma box du coup? Une ip extérieur ne sera pas dans la même plage Modifié le 16 août 2022 par Zouille 0 Citer
Mic13710 Posté(e) le 16 août 2022 Posté(e) le 16 août 2022 Il y a 1 heure, Zouille a dit : En fait je peux autoriser une seule plage correspondante à celle ouverte par ma box de 192.168.0.0 à 0.60. Oui. Mais si vous changez de box et que la plage n'est plus la même, ou que vous élargissez la plage actuelle, il vous faudra modifier l'entrée. Il y a 1 heure, Zouille a dit : Mais ça c'est uniquement des ip de mon réseau local données par ma box du coup? C'est tout de même le but du parefeu : laisser passer les adresses approuvées et bloquer celles qui ne le sont pas. Une fois que vous aurez sécurisé votre NAS et que vous voudrez l'ouvrir vers l'extérieur, il faudra rajouter des règles au dessus de la dernière qui laisseront passer les IP extérieures en fonction des ports que vous voulez ouvrir vers l'extérieur, complémenté d'un filtrage géographique pour ne laisser passer que les IP provenant de pays depuis lesquels vous autorisez le trafic (France, etc...). Mais ça c'est seulement après la mise en oeuvre de ce tuto. 0 Citer
Zouille Posté(e) le 16 août 2022 Posté(e) le 16 août 2022 merci. bon, j'ai donc crée les mêmes règles du tuto au cas,ou c'est tres large, alors je n'active que les 2 dernières lignes .(perso chez moi le masque du modem est 255.255.254.0 et en LAN 255.255.255.0 avec IP ouverte de 192.168.0.10 à 50) A ce stade je n'ai donc que les connexions locales et quickconnect qui fonctionnent.La première ligne n'est pas utile je pense. Je sais que beaucoup sont contre quickconnect mais c'est le temps de me faire un domaine et me connecter par DDNS. Pensez vous qu'il faut d'autres règles dans ma situation actuel (Administration en local et exceptionnellement a distance + utilisation de DS audi, DS vidéo,DS file et DS get à distance ) Je vais me pencher sur le domaine, pour cela je suppose qu'il va falloir ajouter des règles et ouvrir certains ports sur ma box ,quel est le but du routeur dans le NAS en fait ? Merci 0 Citer
Mic13710 Posté(e) le 16 août 2022 Posté(e) le 16 août 2022 Je vous invite à consulter le paragraphe de ce tuto concernant l'onglet "Configuration du routeur". il y a 31 minutes, Zouille a dit : Pensez vous qu'il faut d'autres règles dans ma situation actuel (Administration en local et exceptionnellement a distance + utilisation de DS audi, DS vidéo,DS file et DS get à distance ) Bien sûr qu'il faudra rajouter des règles. C'est ce que je vous ai écrit plus haut. Mais encore une fois, ne mettez pas la charrue avant les boeufs. Terminer la mise en pratique de ce tuto avant d'aller plus loin. On ne connecte le NAS vers l'extérieur que lorsque les conditions de sécurité sont remplies. 0 Citer
_DR64_ Posté(e) le 22 août 2022 Posté(e) le 22 août 2022 Bonjour à tous, Je peaufine un peu ce matin les accès à mon NAS en épurant un peu les ports ouverts. Mon réseau local est le 192.168.64.0/24 (255.255.255.0) Mon réseau via VPN (Application du routeur) est le 172.21.0.0.24 (255.255.255.0) Dans mon pare feu, je dois avoir juste ces lignes ? : De plus, j'ai créé des profils de contrôle d'accès (LAN/VPN) pour le reverse proxy comme suit : Celui-ci fonctionne depuis le LAN mais pas par VPN. Une idée ? 0 Citer
.Shad. Posté(e) le 22 août 2022 Posté(e) le 22 août 2022 172.21.0.0/24 ça entre en conflit avec la plage utilisée par Docker. Utilise plutôt une plage dans 10.0.0.0/8 pour ton réseau VPN, car on ne sait pas changer facilement le réseau utilisé par défaut par Docker sur DSM. Sinon en théorie, si pas de conflit induit par ma remarque ci-avant, ça devrait pourtant fonctionner, quel message d'erreur obtiens-tu ? 1 Citer
_DR64_ Posté(e) le 22 août 2022 Posté(e) le 22 août 2022 Synology : Désolé, la page que vous recherchez est introuvable. Je désactive le profil de contrôle d'accès et ça refonctionne. 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.