HYPERBACKUP ET PORTS

[Face B]

Bonjour,

 

J'ai 2 NAS a sauvegarder (1 vers 2) via HYPERBACKUP à distance.

Le test en local a bien fonctionné mais maintenant, à distance, j'ai un échec d'accès à la destination.

J'ai vu que le port à ouvrir est le 6281. Est-il à ouvrir sur les 2 livebox ?

Le réglage est-il :
- Port Interne 6281
- Port externe: 6281
- Protocole : les 2
- Appareil (IP de mon NAS)

Je précise que j'accès à mes NAS à distance  via QuikConnect. Le port de base est donc ouvert.

 

Merci d'avance, 

[Fenrir]

1. je te déconseilles fortement l'utilisation de quickconnect
2. si tu utilises tout de même quickconnect, aucun port n'est à ouvrir puisqu'ils le sont tous depuis partout
3. sinon c'est sur la destination qu'il faut transférer le port TCP 6281 (en général tous les ports sont autorisés en sortie sur les box)

Il serait plus fiable et plus sécuriser de passer par un VPN.

[Face B]

Merci @Fenrir

J'ai déjà tellement de difficultés pour tout mettre en oeuvre que je préfère commencer avec QuickConnect, tout installer et une fois que tout fonctionne, je durcirai la sécurité.

Pour le moment, HyperBackup ne va pas. Ni dans un sens, ni dans l'autre. Ce n'est donc pas le soucis des ports puisque tu précises que QuikConnect ouvre presque tout.

Peux -tu me donner le réglage en détail pour le port 6281 ?

 Port Interne :
- Port externe: 
- Protocole :
- Appareil (IP de mon NAS)

 

Merci !

[Fenrir]

il y a 2 minutes, DrOSX a dit :

J'ai déjà tellement de difficultés pour tout mettre en oeuvre que je préfère commencer avec QuickConnect, tout installer et une fois que tout fonctionne, je durcirai la sécurité.

C'est une très mauvaise pratique lorsqu'on débute pour quelques raisons simples :

• si ça fonctionne sans sécurité tu n'oseras plus changer et courir le risque de casser
• si tu cours tout de même le risque, au moindre problème tu risques de renoncer
• et si tu t'acharnes, tu vas peut être te rendre compte que ta méthode est mauvaise par construction et qu'elle empêche toute forme de sécurité

J'ai exagéré en indiquant que tout était ouvert avec QC, du point de vu d'un attaquant c'est vrai, pour les logiciels c'est différent (il est possible qu'HyperBackup ne soit pas autorisé via QC).

Si tu souhaites faire simple pour commencer :

1. supprime/déconfigure/désactive QuickConnect partout (quickconnect complique les choses)
2. sur les 2 nas, configure le firewall correctement (c'est expliqué dans le tuto)
3. sur la box de destination, transfert le port TCP 6281 vers le nas (sur le même port)
4. sur le nas de destination, configure un enregistrement DynDNS
5. sur le nas source, configure HyperBackup

Si tu dois faire les manip à distance, il te suffit de configurer le serveur VPN du nas sur la destination (il y a un tuto pour ça dans le forum).

[Face B]

Bonjour Fenrir,

 

Merci pour ton tutoriel de sécurisation des accès du NAS

J'ai commencé à 7:00 ce matin et je finis à peine. J'ai eu 2 NAS à faire et des galères de double authentification... Bref...Avant de reprendre ton point 3 des recommandations précédentes, j'ai quelques questions pour bien terminer ma configuration. On va faire dans l'ordre 

J'ai une question concernant le HTTPS :

J'ai obtenu le certificat LET'S ENCRYPT et le HTTP est redirigé vers HTTPS. Malgré tout, je suis toujours alerté par le navigateur.

Le soucis vient peut être du port 80 qui n'est peut être pas redirigé sur ma Livebox ? 

Le pare-feu de ma LIVEBOX était réglé sur "moyen". Je pense qu'il serait temps de régler sur "personnalisé" mais Il m'affiche une trentaine de configurations. Et là, je sèche. Dois-je tout supprimer  ou repartir de la configuration  "Elevé"  (Je cite : "Le pare-feu vous permet d'utiliser les applications standards sur Internet (www, mail, news, ...) et rejette les connexions entrantes non désirées. Ce choix est recommandé pour disposer d'un niveau de sécurité maximum.")

 

Une autre concernant mon nom domaine 

Je n'ai plus accès à mon interface de configuration en tapant mon domaine mais uniquement depuis mon IP. J'imagine que c'est aussi une histoire de port?

Merci !

 

Modifié le 13 juillet 2017 par DrOSX

[Fenrir]

Le parefeu de la box n'est pas en cause ici

Ton alerte de certificat et le fait que ça ne marche qu'en IP un interne sont surement liées au même problème :

• ton certificat est valable pour un domaine, pas pour une ip
• si tu veux utiliser ton domaine en interne il faut soit utiliser le loopback de ta box (mais c'est plus lent) soit utiliser un DNS interne (il y a un tuto pour ça aussi)

[Face B]

Ok merci.

Concernant les réglages de mon pare-feu de la Livebox 'message précédent". J'ai ajouté UDP: 10,000 to 20,000 outbound (pour le téléphone via un service de CRM Gestion client nommé Zendesk)

Je peux laisser comma ça ? en terme de sécurité, l'ensemble te semble ok ?

Pour information, je dois maintenant mettre en place la configuration d'accès à distance du NAS. Histoire de pouvoir accès aux données depuis différents endroits.

Peux-tu me rappeler quelle solution est à privilégier (attention, suis assez débutant) ? Je crois qu'un tuto existe.

ps : il me restera à m'attaquer à la réplication de mon NAS vers un autre NAS.

 

Merci beaucoup.

Modifié le 20 juillet 2017 par DrOSX

[Fenrir]

il y a 26 minutes, DrOSX a dit :

Je peux laisser comma ça ? en terme de sécurité, l'ensemble te semble ok ?

je ne peux pas juger, c'est ta conf, ton nas, tes besoins et on ne voit que le trafic sortant (du nas vers internet), pas entrant

il y a 28 minutes, DrOSX a dit :

Peux-tu me rappeler quelle solution est à privilégier (attention, suis assez débutant) ? Je crois qu'un tuto existe.

Si tu es seul à utiliser le nas => VPN (il y a un tuto sur le forum)

Sinon, ça dépend des besoins

[Fenrir]

Commence par le tuto VPN, tu y trouveras des exemples de redirection de ports

[Face B]

Le 05/06/2017 à 18:30, Fenrir a dit :

 

1. sur la box de destination, transfert le port TCP 6281 vers le nas (sur le même port

Bonjour,

 Peux-tu me confirmer les valeurs (en PJ)  ?

 

 

Je suis en réglage Moyen sur la livebox du pare-feu. J'ai toujours des difficultés à sauvegarder à distance (pas en local). Comment puis-je d'abord vérifier que mon NAS de destination soit accessible à distance ? L'adresse IP du NAS aboutit à un echec.

Modifié le 3 octobre 2017 par DrOSX

[Fenrir]

A première vue les règles sont OK (quid du firewall du nas ?)

Il y a 4 heures, DrOSX a dit :

Comment puis-je d'abord vérifier que mon NAS de destination soit accessible à distance ?

avec un smartphone en 3G par exemple

nb : si tu utilises encore quickconnect, je ne peux pas t'aider plus

[Face B]

Merci. J'ai déjà essayé en 3G, il n'est pas accessible.

 

ps : Mon quikconnect est désactivé. J'ai suivi ton tuto mais après des heures de galère, j'ai abandonné au VPN et du coup, j'ai re-modifié la livebox en pare-feu automatique "moyen". 

Ce sont les seules modifications que j'ai fais sur le tuto.

Merci de ton aide, 

[Fenrir]

Tu es certain que "prestostation" est bien ton nas (bonne IP privée) ?

[Face B]

Le 03/10/2017 à 20:11, Fenrir a dit :

Tu es certain que "prestostation" est bien ton nas (bonne IP privée) ?

Merci du suivi.

Le nom du NAS de destination est ok (Voir PJ). Concernant l'IP du NAS de destination, je me connecte avec 192.168.1.113:5001. (firewall nas en PJ aussi).

Comment savoir si le blocage est de sortir du NAS source ou d'entrer dans le NAS destination ? Je rappelle que la sauvegarde fonctionnait en local.

Modifié le 8 octobre 2017 par DrOSX

[Fenrir]

Il n'y a pas la capture du firewall du nas.

En passant, tu devrais éviter de poster ton nom de domaine et ton ip (cache ces infos sur tes captures)

[Face B]

Le 08/10/2017 à 10:50, Fenrir a dit :

Il n'y a pas la capture du firewall du nas.

En passant, tu devrais éviter de poster ton nom de domaine et ton ip (cache ces infos sur tes captures)

Merci.

 

Tu peux me donner exactement les onglets voulus dans le panneau de configuration .? Est-ce pour le NAS destination ou source ?

[Fenrir]

Regarde le tuto présent en lien dans ma signature, tu devrais y trouver les informations nécessaires.

C'est surtout pour le nas de destination.

[Face B]

Bonjour,

 

Voici la capture en PJ.

Merci d'avance, 

 

ps: derniéres tentatives avant de faire appel à un  spécialiste pour la mise en place mais j'aimerais éviter de payer juste pour la mise en place de la sauvegarde. Malheureusement, ces données sont importantes (professionnelles)...

[Fenrir]

ici je vois mon exemple de règles, il faut l'adapter à TES besoins. Nul part je ne vois une règle pour autoriser HyperBackup.

Ce que tu peux faire pour commencer, c'est autoriser tous les protocoles (tous les ports) depuis les ip sources :

• box1 : ip1
  • transfert des ports nécessaires vers le nas1
• box2 : ip2
  • transfert des ports nécessaires vers le nas2

=>

• firewall du nas1 : autorise tout depuis ip2
  1. Tous-Tous-10.0.0.0/255.0.0.0-Autoriser
  2. Tous-Tous-172.16.0.0/255.240.0.0-Autoriser
  3. Tous-Tous-192.168.0.0/255.255.255.0-Autoriser
  4. Tous-Tous-ip2-Autoriser (tu peux affiner pour préciser le port d'HyperBackup)
  5. Tous-Tous-Tous-Refuser
• firewall du nas2 : autorise tout depuis ip1
  1. Tous-Tous-10.0.0.0/255.0.0.0-Autoriser
  2. Tous-Tous-172.16.0.0/255.240.0.0-Autoriser
  3. Tous-Tous-192.168.0.0/255.255.255.0-Autoriser
  4. Tous-Tous-ip1-Autoriser (tu peux affiner pour préciser le port d'HyperBackup)
  5. Tous-Tous-Tous-Refuser

ps : il n'y a pas besoin de faire appel à un "spécialiste" pour ce que tu demandes, c'est très simple à faire normalement

[Face B]

Bonjour,

 

Merci du retour. Je commence à mieux comprendre le fonctionnement. Restent les réglages. La livebox 1 (source) est une pro avec une IP fixe et la livebox 2 (destination) est une familiale. Les réglages différents un peu. Voici ci-dessous, les 2 redirections livebox et les 2 firewall.

Je pense que les réglages ne sont pas encore parfaits..

 

REDIRECTION LIVEBOX 1 (source)

 

 

FIREWALL NAS 1 (source)

 

 

 

REDIRECTION LIVEBOX 2 (destination)

 

 

FIREWALL NAS 2 (destination)

Modifié le 18 octobre 2017 par DrOSX

[Fenrir]

1. REDIRECTION LIVEBOX 1 (source) :
   • IP NAS1 de gauche => ça doit être l'ip publique de la box 2, comme c'est une familiale son ip n'est pas fixe => il faut tout autoriser
2. FIREWALL NAS 1 (source) :
   • IP NAS2 => ça doit être l'ip publique de la box 2, comme c'est une familiale son ip n'est pas fixe => il faut tout autoriser
3. REDIRECTION LIVEBOX 2 (destination) :
   • ok (je pense que seul TCP est nécessaire mais ce n'est pas grave)
4. FIREWALL NAS 2 (destination) :
   • IP NAS1 => ça doit être l'ip publique de la box 1

nb : les 2 premières règles ci dessus ne servent à rien (la destination ne va pas aller voir la source) => garde juste les points 3 et 4

[Face B]

Merci.

 

J'ai donc laissé les points 1 ET 2 tels quels.

Le 3 aussi puisque cela n'est pas grave de laisser sur "tout".

Le point 4 a été modifié comme ci-dessous

 

FIREWALL NAS 2 (destination)

 

 

Cela ne fonctionne toujours pas. HYPERBACKUP source m'indique : CIBLE HORS LIGNE

Voir ci-dessous LES REGLAGES

 

HYPERBACKUP NAS 1 SOURCE

 

[bagou91]

bonjour,

j'arrive en reprenant le fil de la conversation: pas évident à comprendre rapidement. Un schéma serait tellement plus simple...

si j'ai bien compris ton erreur sur le dernier post, je pense qu'il faut mettre l'ip public de ta box (BOX 2) où se situe ton nas de destination (NAS 2) et où tu as fait la redirection de port dans la box..

Edit:

Si la box 2 de destination est une familiale, il me semble que l'ip publique n'est pas fixe (option payante). Dans ce cas il faudrait utiliser un service dyndns pour que le Nas 1 fasse sa sauvegarde vers le nom dns et non l'ip (qui est changeante).

Synology propose un enregistrement DNS gratuit en synology.me. C'est à configurer au niveau DSM du Nas 2

Modifié le 19 octobre 2017 par bagou91

[Face B]

il y a 6 minutes, bagou91 a dit :

bonjour,

j'arrive en reprenant le fil de la conversation: pas évident à comprendre rapidement. Un schéma serait tellement plus simple...

si j'ai bien compris ton erreur sur le dernier post, je pense qu'il faut mettre l'ip public de ta box (BOX 2) où se situe ton nas de destination (NAS 2) et où tu as fait la redirection de port dans la box..

Au début, j'avais mis l'IP NAS 1 et on m'a dit 

 

1. FIREWALL NAS 2 (destination) :
   • IP NAS1 => ça doit être l'ip publique de la box 1

 

[bagou91]

je parle du nom ou adresse de destination au niveau de HyperBackup