unPixel Posté(e) le 20 décembre 2017 Posté(e) le 20 décembre 2017 Pour le port 80, tu as deux choix :Soit tu autorises le port 80 uniquement pour les États Unis et tu le fais quelques jours avant le renouvellement du certificat jusqu'à ce qu'il soit renouvelé. Soit tu crées une règle pout autoriser uniquement le port 80 sur les deux IP des serveurs de Let's Encrypt. Cette dernière est plus sécurisée mais plus chiante car les IP ne sont pas fixées dans le temps et peuvent changer.Dans les deux cas, si tu ne le fais pas, Let's Encrypt ne pourra pas communiquer avec ton NAS et donc ne renouvellera pas le certificat tous les trois mois. Envoyé de mon iPhone en utilisant Tapatalk 0 Citer
kroman_fr Posté(e) le 21 décembre 2017 Posté(e) le 21 décembre 2017 C'est sûr que j'aurais zappé cette étape ! D'ailleurs je ne comprenais pas pourquoi j'avais dû désactiver mon pare-feu lors de la création de mon certificat si je n'oublie rien, Il faut donc que : - je permette l'écriture pour la racine du partage /web dans les ACL et les autorisations de partage avancées pour l'user "http" - j'ajoute une exception pour les ip let's encrypt dans le .htaccess de la racine (qui par défaut ne contient que "Require all denied") - j'ajoute ces ip dans mon pare-feu Une dernière chose : aurais-tu la liste des IP let's encrypt que tu as paramétrées dans ton pare-feu (même si ça peut changer) ? 0 Citer
unPixel Posté(e) le 21 décembre 2017 Posté(e) le 21 décembre 2017 (modifié) il y a 24 minutes, kroman_fr a dit : C'est sûr que j'aurais zappé cette étape ! D'ailleurs je ne comprenais pas pourquoi j'avais dû désactiver mon pare-feu lors de la création de mon certificat si je n'oublie rien, Il faut donc que : - je permette l'écriture pour la racine du partage /web dans les ACL et les autorisations de partage avancées pour l'user "http" - j'ajoute une exception pour les ip let's encrypt dans le .htaccess de la racine (qui par défaut ne contient que "Require all denied") - j'ajoute ces ip dans mon pare-feu Une dernière chose : aurais-tu la liste des IP let's encrypt que tu as paramétrées dans ton pare-feu (même si ça peut changer) ? Voici les deux adresses IP à autoriser dans le pare-feu du nas et ton routeur uniquement sur le port 80 : 64.78.149.164 66.133.109.36 Modifié le 21 décembre 2017 par InfoYANN 0 Citer
SvenSND Posté(e) le 24 décembre 2017 Posté(e) le 24 décembre 2017 Bonsoir, j'ai essayé d'appliquer le tutorial le mieux possible, mais je rencontre quelques soucis ^^' Pour le "faux admin", je n'arrive pas à lui enlever les permissions sur le dossier photo. Tout est grisé pour ce dossier et je suis forcé de lui laisser les permissions en lecture/écriture. Comment puis je y remédier ? Dans le menu du pare feu, je n'arrive pas à créer des plages de ports comme tu l'as fait. 255.0.0.0 m'est entre autre retourné comme une valeur erronée. Pour la création de certificat avec LetsEncrypt, ils me demandent de renseigner un nom de domaine, mais de quel domaine parlent t'ils ? Est ce qu'il s'agit de monuser.synology.me ? Je vous souhaite en avance un très joyeux Noël à toutes et tous !!! 0 Citer
unPixel Posté(e) le 24 décembre 2017 Posté(e) le 24 décembre 2017 Pour le dossier photo, les droits se gèrent dans l'application Photo Station. Pour le pare Feu c'est la passerelle 255.0......Pour Let's Encrypt oui ça c'est un nom de domaine. Envoyé de mon iPhone en utilisant Tapatalk 0 Citer
SvenSND Posté(e) le 24 décembre 2017 Posté(e) le 24 décembre 2017 Merci InfoYann D'accord, je ne savais pas que les droits se géraient par PhotoStation, je viens de regarder. Bizarrement je ne peux pas modifier mes utilisateurs sous PhotoStation, l'option modifier reste grisée Je ne comprends pas ce que tu veux dire par "c'est la passerelle 255.0" ? Donc je dois renseigner ce nom de domaine ? Le point bizarre est que lorsque j'essaie d'accéder à mon NAS via cette adresse, ça ne fonctionne pas, pourtant le service DDNS semble bien configuré et l'adresse semble bien validée dans mon compte Synology 0 Citer
unPixel Posté(e) le 24 décembre 2017 Posté(e) le 24 décembre 2017 Pour le nom de domaine, je ne sais pas car j'utilise un vrai nom de domaine provenant de chez OVH. Je ne sais pas bien comment fonctionne le service de Synology. Pour Photo Station, essaie d'aller d'abord dans les paramètres puis Photos puis Permission d'accès. Ensuite, tu vas dans Comptes utilisateur et tu gères les droits sur les comptes activés. Pour les IP locales à entrer, voici un exemple : 0 Citer
SvenSND Posté(e) le 24 décembre 2017 Posté(e) le 24 décembre 2017 Merci InfoYann Pour le nom de domaine, je vais continuer de chercher une solution. Aucun des domaines ne marche donc je doit surement mal m'y prendre ^^' Dans paramètres > Photos > Permission d'accès, j'ai juste la possibilité de cocher/décocher "public", "privé" ou "mot de passe". Rien d'autre ne m'est proposé. Dans Comptes utilisateur et tu gères les droits sur les comptes activés Merci pour les IP effectivement c'est beaucoup plus clair et je m'y prenais vraiment mal 0 Citer
unPixel Posté(e) le 24 décembre 2017 Posté(e) le 24 décembre 2017 Bah oui, mais tu as coché quelque chose dans Permission d'accès ? Par contre, il faudrait éventuellement que tu postes un topic lié à Photo Station car là, c'est un tuto sécurité. Pas vraiment la même chose. 0 Citer
SvenSND Posté(e) le 24 décembre 2017 Posté(e) le 24 décembre 2017 En fait il m'est impossible de décocher quelque chose dans PhotoStation, si je décoche et que je sauvegarde, tout se recoche automatiquement. Oui pas de souci je ne voudrais pas polluer le sujet :) . Merci encore pour tes réponses ;) 0 Citer
unPixel Posté(e) le 24 décembre 2017 Posté(e) le 24 décembre 2017 Au pire, essaie de réinstaller Photo Station. 0 Citer
SvenSND Posté(e) le 24 décembre 2017 Posté(e) le 24 décembre 2017 il y a 20 minutes, InfoYANN a dit : Au pire, essaie de réinstaller Photo Station. Merci InfoYann. J'ai déjà essayé sans succès. Je vais tenter de bidouiller un peu :p 0 Citer
Fenrir Posté(e) le 26 décembre 2017 Auteur Posté(e) le 26 décembre 2017 Pour photostation, il faut t'y connecter avec un compte admin (je parle bien de photostation, pas de dsm). Une fois connecté tu devrais voir un menu paramètres avec plein de choses dedans. Je n'utilise plus cette application, donc je ne peux pas faire de tuto dessus, mais s'il y a un volontaire, ça serait grandement apprécié. 0 Citer
unPixel Posté(e) le 26 décembre 2017 Posté(e) le 26 décembre 2017 J'essaie de faire ça demain. 0 Citer
SvenSND Posté(e) le 26 décembre 2017 Posté(e) le 26 décembre 2017 Bonsoir à vous Fenrir et InfoYann. Merci pour vos réponses !! J'ai essayé de regarder mais je n'ai trouvé aucune option pouvant s'apparenter à ce que je cherche... Après c'est plus pour de la compréhension du "pourquoi ça ne marche pas", mais je ne compte pas forcément utiliser PhotoStation 0 Citer
unPixel Posté(e) le 27 décembre 2017 Posté(e) le 27 décembre 2017 (modifié) Le tuto est en ligne depuis hier. Vas y faire un tour au cas ou tu aurais raté quelque chose de ton côté ;) Modifié le 27 décembre 2017 par InfoYANN 1 Citer
Jojo (BE) Posté(e) le 28 décembre 2017 Posté(e) le 28 décembre 2017 je suis seulement à la moitié du premier post, et je me dit qu'il y a plein de choses à revoir au niveau de la sécurité de mes NAS. Je suis rassuré de déjà ne pas utiliser QuickConnect. Merci en tout cas pour toutes ces précieuses recommandation. 0 Citer
Diabolomagic Posté(e) le 4 janvier 2018 Posté(e) le 4 janvier 2018 (modifié) Bonjour à tous, j'ai revu les règles de sécurité (coté parefeu uniquement) sur mon NAS ainsi que sur mon routeur. Est ce que ça vous parait suffisamment restrictif (ou trop) ? J'ai viré l’accès aux adresses privée de classe A et B, cela devrait être sans conséquence, enfin je pense... :-/ Sur le routeur : Sur le NAS : Par avance, merci ! Modifié le 4 janvier 2018 par Diabolomagic 0 Citer
PiwiLAbruti Posté(e) le 4 janvier 2018 Posté(e) le 4 janvier 2018 Sur le routeur, tu n'as pas besoin de le bloquer explicitement le port udp/1701 puisque la règle par défaut s'en chargera. Pourquoi utiliser le serveur VPN du NAS alors que le routeur peut s'en charger ? (c'est d'ailleurs plus son rôle) 0 Citer
Fenrir Posté(e) le 4 janvier 2018 Auteur Posté(e) le 4 janvier 2018 Sur le routeur : ok TCP uniquement, pas besoin d'UDP ok, mais tu en as besoin depuis tous les pays ? ok, mais tu en as besoin depuis tous les pays ? inutile comme indiqué par @PiwiLAbruti, mais pas gênant (au moins c'est explicite) Sur le nas : ok inutile, déjà couvert par la règle 1 aucune idée car tu utilises les applications, mieux vaut utiliser explicitement le n° de port (443 si tu es cohérent) ok, mais tu en as besoin depuis tous les pays ? ok 0 Citer
Diabolomagic Posté(e) le 4 janvier 2018 Posté(e) le 4 janvier 2018 (modifié) Merci beaucoup pour votre expertise ! C'est vrai que maintenant que vous le dites certaines de mes règles me paraissent un peu (beaucoup) bêbêtes... Je vais me mettre au boulot dés ce soir, j'avoue que passer le serveur VPN sur le routeur m'est passer par la tête mais j'avais finis par conclure, "pourquoi toucher qqch qui marche ?" Suite à la remarque de Piwi je vais très certainement faire le nécessaire et passer le serveur VPN sur le routeur, par contre pour le coup, n'est il pas également préférable de migrer le serveur DNS également sur le routeur ? Modifié le 4 janvier 2018 par Diabolomagic 0 Citer
PiwiLAbruti Posté(e) le 4 janvier 2018 Posté(e) le 4 janvier 2018 Il y a 2 heures, Diabolomagic a dit : [...], n'est il pas également préférable de migrer le serveur DNS également sur le routeur ? Le DNS primaire pourrait fonctionner sur le routeur et le secondaire sur le NAS, ça augmenterait la disponibilité du service DNS sur ton réseau. 0 Citer
Diabolomagic Posté(e) le 4 janvier 2018 Posté(e) le 4 janvier 2018 (modifié) Pas bête, merci pour l'astuce ! C'est fait, par contre je me suis permis une petite question si cela ne vous dérange pas : http://www.nas-forum.com/forum/topic/55206-tuto-dns-server/?page=12&tab=comments#comment-1319341839 Modifié le 5 janvier 2018 par Mic13710 inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension 0 Citer
ers31 Posté(e) le 5 janvier 2018 Posté(e) le 5 janvier 2018 un grand merci pour ce sujet qui va m'être bien utile ! 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.