FullRacer Posté(e) le 22 novembre 2017 Partager Posté(e) le 22 novembre 2017 (modifié) Bonjour à tous et par avance je vous remercie du temps que vous aurez passez pour me renseigné, Je suis en train de mettre en ligne mon NAS Synology DS215J afin de partager des photos via Photo Station et souhaite par la suite tester un petit site internet. Actuellement mon NAS est dans un réseau domestique Windows 10 / Android accouplé à une liveBox 4 fibrée. Le NAS est utilisé pour : - Service Cloud Station (Drive et Backup sur PC Windows) - Partage multimédia (Kodi sur Box android) - Partage photo (Photo Station) - Accès DSM pour configuration du NAS Je souhaite que tous ces services soient accessibles par le réseau local comme par Internet. Pour cela j’ai procédé de la sorte : Sur Synology : - Paramètres de DSM : HTTP 5000 modifié en AAAA et HTTPS 5001 modifié en AAAAs - Rediriger automatiquement les connexions HTTP vers HTTPS - Créé un certificat Let’s encript pour le domaine synology.me avant de passer sur le vrai nom de domaine Sur LiveBox : - IP fixe pour le Synology - Redirection des ports : o Port 80 --> 80 o Port DSM (5001) aaaas --> AAAAs o Port PhotoStation pppps --> 443 (sécurisé) Je dois activer le par-feu de Synology et c’est là que je suis coincé et que je ne comprends pas ce qui se passe ou plutôt ce que je dois faire. J’ai activé dans les profils réseau (LAN, PPPoE, VPN) : « Si aucune règle n’est remplie : Refuser accès » Pour l’accès au DSM je sais que je devrais mettre en place un VPN, mais on verra cela par la suite. Voici mes questions : Qu’elle est l’ordre à utiliser pour placer les règles d’ouverture des ports ? Est-ce que je peux accéder localement (192.168.1.x) en HTTPS a mon Syno sans passer par le nom de domaine synology.me ? Modifié le 22 novembre 2017 par FullRacer 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 22 novembre 2017 Partager Posté(e) le 22 novembre 2017 Il y a 3 heures, FullRacer a dit : Qu’elle est l’ordre à utiliser pour placer les règles d’ouverture des ports ? Du plus utilisé au moins utilisé, en mettant un REFUSER TOUT à la fin. Il y a 3 heures, FullRacer a dit : Est-ce que je peux accéder localement (192.168.1.x) en HTTPS a mon Syno sans passer par le nom de domaine synology.me ? Peut être (on ne peut le voir sur ta capture) ------- Mais je vois plein de problème dans ce que tu indiques et ce que tu as fait. Plutôt qu'un long message, je te recommande d'aller voir le tuto présent dans ma signature. Si tu as encore des questions après reviens ici. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
FullRacer Posté(e) le 23 novembre 2017 Auteur Partager Posté(e) le 23 novembre 2017 Merci Fenrir pour ta réponse, J'avais déjà lu ton tuto sur la sécurisation. Pour le moment j'ai défini 3 redirections de port sur mon routeur Orange pour tester le fonctionnement avec le firewall par-feu. J'ai bien compris que je devais faire du Revers Proxy. Il y a 19 heures, Fenrir a dit : Du plus utilisé au moins utilisé, en mettant un REFUSER TOUT à la fin Lorsque je lis ceci : il me semble que tout doit être bloqué s'il n'y a pas de règle et donc il n'y aura que les paquets autorisés au niveau des règles qui pourront passer ! ? Il me semblait aussi que le par-feu fonctionne comme un entonnoir, c'est à dire que plus on descend plus on referme les entrées c'est à dire que les règles s'additionnent. Mais apparemment ce n'est pas cela. Ma question est simple, comment remplir le par-feu pour autoriser par exemple PhotoStation en accès local et internet tout en bloquant tous les autre accès au autres services et ports ? Sur internet on trouve des recettes mais pas d'explication. En commençant par un accès en local en HTTPS je dois établir les règles suivantes : PLUS(port 443) PLUS OU BIEN :(port 443) PLUS Ca fait une semaine que je suis la dessus et que je tourne en rond sur ce par-feu. Je ne veux pas laisser la porte ouverte à tout le monde c'est pour ça que je me pose des questions, mais là j'en ai raz le bol. Merci de vos contributions 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 23 novembre 2017 Partager Posté(e) le 23 novembre 2017 à l’instant, FullRacer a dit : Lorsque je lis ceci : il me semble que tout doit être bloqué s'il n'y a pas de règle et donc il n'y aura que les paquets autorisés au niveau des règles qui pourront passer ! ? Ce bouton ne concerne que le trafic lié à telle ou telle interface, pas le reste : si par exemple tu as refusé le trafic avec ce bouton sur LAN1 mais que tu as un paquet qui arrive par LAN2, il ne sera pas bloqué. http://www.nas-forum.com/forum/topic/54453-tuto-sécuriser-les-accès-à-son-nas/?do=findComment&comment=1319331686 il y a 3 minutes, FullRacer a dit : Il me semblait aussi que le par-feu fonctionne comme un entonnoir Ce n'est effectivement pas comme ça que ça fonctionne, c'est la première règle qui correspond qui est appliquée. Et pour tes règles, ton premier exemple (si ton pc est en 192.168.0.X), mais je te recommande plutôt ça (à l'identique et avec les mêmes masques) : Puis ajoute au dessus de la dernière : 443 TCP TOUS Autoriser Sauf bien sur si tu veux aussi limiter certains service en interne 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
FullRacer Posté(e) le 29 novembre 2017 Auteur Partager Posté(e) le 29 novembre 2017 (modifié) J'avoue qu'a force d'être dedans je ne voyais pas mes erreurs de configuration comme de frappe. Pour le Proxy c'est réglé (du moins je pense). Maintenant je vais tout effacer pour mettre en place du reverse proxy. J'explique ce que j'ai fait : Je suis toujours pour mes tests sur un domaine synology avec mondomaine.synology.me et le Dyn DNS de Synology. Le certificat Let's Encrypt est le seul (donc par défaut) et affecté sur tous les services. Sur ma box : J'ai ouvert les ports : 80 (Ext) --> 8198 (Int DSM) ------ TCP 443 (Ext) --> 8199 (Int DSM) ------ TCP Paramètres DSM : Le Pare-feu est configuré comme ça : Pour le moment les ports DSM sont ouverts avant que j'installe un VPN Portail des Applications : Audio Station : HTTP (7220 Je saisi l'adresse https://audio.mondomaine.synology.me/ Au résultat sur mon navigateur en local ou 4G j'obtiens : Echec de la connexion sécurisée Q'est ce que j'ai encore fait de travers ? Modifié le 29 novembre 2017 par FullRacer 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 29 novembre 2017 Partager Posté(e) le 29 novembre 2017 il y a une heure, FullRacer a dit : Sur ma box : J'ai ouvert les ports :80 (Ext) --> 8198 (Int DSM) ------ TCP 443 (Ext) --> 8199 (Int DSM) ------ TCP Je ne peux que te recommander de n'utiliser que des connexions chiffrées. il y a une heure, FullRacer a dit : Je saisi l'adresse https://audio.mondomaine.synology.me/ Au résultat sur mon navigateur en local ou 4G j'obtiens : Echec de la connexion sécurisée En 4G, tu demandes à accéder au port 443 de ta box, cette dernière redirige systématiquement vers le port 8199 du NAS (443 (Ext) --> 8199 (Int DSM) ------ TCP). Donc il est impossible d'accéder au port 443 de ton NAS depuis internet. En local, audio.mondomaine.synology.me se résout en l'adresse IP publique et non locale (à moins d'utiliser le paquet Serveur DNS pour configurer une zone dédiée aux réseaux privés). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
FullRacer Posté(e) le 29 novembre 2017 Auteur Partager Posté(e) le 29 novembre 2017 Merci PiwiLAbruti pour ta réponse. Comme audio Station utilise les ports du DSM, je les aient modifé en 8198 (http) et 8199 (https). Le port sécurisé SSL par défaut étant 443, mon navigateur va dés que je passe en https sur ce port 443. C'est pour cela qu'il est transmis par le routeur sur le port 8199 (DSM).La dessus on est d'accord. Je comprends, je me suis trompé dans le numéro de la capture. Je corrige : A partir de ce point le port 443 on s'enfiche puisque nous sommes sur le NAS sur le port 8199.C'est ce port que je veux intercepter avec le proxy inversé par l'adresse audio.mondomaine.synology.me:8199 et là la renvoyer sur le port de Audio Station en 7220 --> 7221. Et c'est là que ca ne fonctionne pas. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 29 novembre 2017 Partager Posté(e) le 29 novembre 2017 il y a 20 minutes, FullRacer a dit : Comme audio Station utilise les ports du DSM, je les aient modifé en 8198 (http) et 8199 (https). il y a 21 minutes, FullRacer a dit : la renvoyer sur le port de Audio Station en 7220 --> 7221. Faudrait savoir, Audio Station tourne sur le port 8199 ou 7221 ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
FullRacer Posté(e) le 29 novembre 2017 Auteur Partager Posté(e) le 29 novembre 2017 (modifié) il y a 10 minutes, PiwiLAbruti a dit : Faudrait savoir, Audio Station tourne sur le port 8199 ou 7221 ? Par défaut il tourne sur les port du DSM, mais je les ai modifié (cf post précédent) : Bref, mauvaise explication de ma part certainement. Audio Station est bien en 7220 et 7221. Je n'ai pas accès en SSL car le certificat n'est pas reconnu et en http (port 80) j’accède au login DSM et non Audio Station ! Modifié le 29 novembre 2017 par FullRacer 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 29 novembre 2017 Partager Posté(e) le 29 novembre 2017 Après à toi de faire ce qu'i faut au niveau DNS et firewall 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
pluton212+ Posté(e) le 29 novembre 2017 Partager Posté(e) le 29 novembre 2017 clap clap clap 300 :-) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
FullRacer Posté(e) le 30 novembre 2017 Auteur Partager Posté(e) le 30 novembre 2017 Fenrir, je ne vois pas le rapport avec le reverse proxy. Je ne suis pas en train de créer des sous domaines. Ce qui je peux dire c'est quand faisant : et en tapant http://audio.mondomaine.synology.me dans mon navigateur, j’accède bien a mon serveur Syno Audio directement. Cependant cela ne fonctionne pas en https. Pb de reconnaissance de certificat car pour lui je suis sur le domaine audio.mondomaine.synology.me et nom celui du certificat mondomaine.synology.me. D’après ce que tu expliques dans ton "[TUTO] Sécuriser les accès à son nas" au niveau portial des applications/Proxy inversé, tu ne parles pas de problème particulier en https. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 30 novembre 2017 Partager Posté(e) le 30 novembre 2017 il y a 19 minutes, FullRacer a dit : Fenrir, je ne vois pas le rapport avec le reverse proxy. Je ne suis pas en train de créer des sous domaines. Pourtant tu as posté une capture du reverse proxy ... BTW, c'était pour t'aider. Pour le souci de certificat, il faut simplement que tu (re) génères ton certificat pour qu'il intègre les différents nom (mondomaine.synology.me, audio.mondomaine.synology.me, toto.mondomaine.synology.me, ...). Le souci pour te répondre c'est que tu donnes des infos de manière disparates, c'est difficile de te suivre il y a 22 minutes, FullRacer a dit : D’après ce que tu expliques dans ton "[TUTO] Sécuriser les accès à son nas" au niveau portial des applications/Proxy inversé, tu ne parles pas de problème particulier en https. Oui car ce n'était pas le but de ce tuto, mais tu trouveras plus de détails ici (ne t'occupe pas de la partie DNS, va directement à la partie Certificats) nb : c'est ce que @Mic13710 a écrit qui est important, pas les captures 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
FullRacer Posté(e) le 30 novembre 2017 Auteur Partager Posté(e) le 30 novembre 2017 Effectivement, Mic13710 a mis en place des certificats sur la même problématique que je rencontre. Bien vu J'ai bien pris note de la limite de 256 caractères pour les "sous domaines" à remplir dans le champ "Autre nom de l'objet" et je suis bien en deça. J'ai commencé par remplir les règles des Applications dans le "portail des applications" pour chaque application, à savoir : Audio, File et Video avec les ports Http et Https Ensuite j'ai configurer le proxy inversé pour redirigé les applications vers les bons ports. Ca donne : audio.mondomaine.synology.me:portsDSM (source) et localhost:portApplication (destination) Après avoir testé uniquement en Http, tout est bien accessible (Audio, File, video) par les navigateurs. Il ne devrait donc plus cas tester avec le certificat que je vais créer. Direction Panneau de configuration/Sécurité/Certificat, j'ajoute un nouveau certificat Let's Encrypt avec dans "Autre nom de l'objet" les 4 sous domaines audio.mondomaine.synology.me, file.mondomaine.synology.me, video.mondomaine.synology.me et media.mondomaine.synology.me. Chacun étant bien sur séparé par des points virgule (;) Je me dit que c'est parce que media.mondomaine.synology.me n'existe pas et que la vérification n'a pas pu se faire sur ce nom. Cas cela ne tienne, je refait la demande de certificat avec les 3 noms accessible :audio.mondomaine.synology.me, file.mondomaine.synology.me, video.mondomaine.synology.me Et bing, le même message. J'ai vérifié, le nouveau certificat pointe bien vers les bons services. Est-ce une limitation dû au domaine synology.me ? C'est pénible d'être mauvais, on n'avance pas. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 1 décembre 2017 Partager Posté(e) le 1 décembre 2017 Il faut que le port 80 de ton nas soit accessible depuis Internet => sur ta box TCP 80 -> TCP 80 du nas 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
FullRacer Posté(e) le 1 décembre 2017 Auteur Partager Posté(e) le 1 décembre 2017 Merci, je le sais parfaitement, je l'ai lu 200 fois .... et pourtant ... le port 80 de la box est bien ouverts mais n'est pas redirigé vers le port 80 du syno. Donc j'ai corrigé et tout est rentré dans l'ordre. Je touche le fond Tout fonctionne sur ces applis. Un GRAND MERCI pour ton aide. Maintenant je m'attaque au problème de Photo Station. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 1 décembre 2017 Partager Posté(e) le 1 décembre 2017 Ta box te fait des misères Attention, photostation ne fonctionne pas avec le reverse proxy, il doit être sur les ports 80 et 443 (du point de vue du nas, sur la box tu fais ce que tu veux) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
FullRacer Posté(e) le 1 décembre 2017 Auteur Partager Posté(e) le 1 décembre 2017 C'est bien pour cela que je n'avais pas parlé de Photo Station dans mon poste car je savais que c'était une autre paire de manche. J'ai passé déjà beaucoup de temps sur la configuration alors je vais laissé tomber pour Photo Station. J'ai appris pas mal de chose et il y en a encore beaucoup à faire lorsque l'on ne maîtrise pas les configurations réseau, cela est très consommateur de temps mais intéressant. Une autre petite question si tu veux bien. Y a t-il un intérêt au niveau sécurité a modifier les ports d'entrée par défaut 80 et 443 sur le routeur et de les router sur des par différents eux aussi sur le NAS ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Fenrir Posté(e) le 1 décembre 2017 Partager Posté(e) le 1 décembre 2017 Je croyais que tu avais lu le TUTO de ma signature (j'en parle déjà dedans). ----- bon je prends 2 minutes pour détailler, ça servira peut être à d'autres personnes ----- Ça ne présente aucun intérêt du point de vue sécurité de changer les ports sur le NAS. Pour ce qui est de les changer du point de vue d'Internet (via la box par exemple), c'est discutable. Pour moi c'est un cache misère. Si on a une application (par exemple un serveur Web) qui doit être accessible depuis Internet, il faut faire en sorte qu'elle soit bien sécurisée (et pourquoi pas ajouter des briques de sécurité en amont, comme un WAF ou plus généralement un IPS). ça n’empêchera pas un pirate d'attaquer l'application : il mettra peut être quelques secondes de plus à trouver le port (il ne faut pas oublier que la majorité des attaquent commencent par un scan distribué) ça te compliquera la vie au quotidien car tu (ou ta famille, tes amis, ...) devras te rappeler quel port tu as utilisé pour telle ou telle application ça ne fonctionnera pas dans plein de réseaux : la plupart des entreprises et des hotspot ne laissent que certains ports accessibles en sortie le seul intérêt niveau sécurité est de limiter les visites des petits malin pas futés (typiquement les script kiddies) Par contre dans le cas où ton application utilise un port exotique, le modifier pour un port plus standard te permettra d'y accéder plus simplement. Si tu décides tout de même de changer les ports, n'utilises pas des ports assignés : https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
i-Moi Posté(e) le 25 mars 2020 Partager Posté(e) le 25 mars 2020 Salut à tous dans son (comme toujours excellent) message du 23 nov 2017, Fenrir propose une config pour le pare-feu du NAS : j'essaie de comprendre cette liste en la décortiquant pour bien saisir l'utilité de chaque ligne, afin de l'appliquer à mon cas, et que ça serve aux autres. La revoici en pièce jointe et au format texte : Protocole IP Source Action Tous 10.0.0.0/255.0.0.0. Autoriser Tous 172.16.0.0/255.240.0.0 Autoriser Tous 192.168.0.0/255.255.0.0 Autoriser Tous Tous Refuser Voici les questions que je me pose : quelle est la signification des 2 premières lignes ? (10.0.0.0, et 172.16.0.0, etc ?) je crois comprendre que la 3e ligne correspond à la box/routeur, en l'occurrence probablement une Freebox ? j'imagine que pour l'adapter à une Livebox ou une Bbox ou SFRbox (qui semblent avoir les mêmes paramètres), on doit mettre 192.168.1.0/255.255.255.0 ? La 4e ligne sert donc à interdire tout ce qui n'est pas autorisé Y a-t-il un filtrage par territoire géographique ? Ou pas nécessaire ? Ces réglages permettent-ils l'accès à distance par VPN, si un jour on se lance dans l'aventure ? Pour accéder à Plex depuis l'extérieur, suffit-il d'ajouter une redirection du port 32400 ? Dans l'idéal, on devrait arriver à une config, basée sur les conseils de sécurité de Fenrir, qui puisse servir aux 4 principales box françaises, et qui couvre les besoins suivants : Autoriser les accès depuis le réseau local sans restriction : c'est le cas des réglages de Fenrir, à adapter selon la box utilisée, et en fonction des conseils qu'il va nous donner, suite aux questions posées plus haut dans ce post. Autoriser les accès à distance des 2-3 utilisateurs principaux (Papa, Maman, Ados) pour les fonctions courantes : VPN Plex et/ou Video Station Photo Station et/ou Moments Drive WebDav Partage de fichiers (FTP ou autre) D'après Fenrir et vous autres, chers confrères de NAS, quels réglages ? Merci pour votre aide ! Bon courage i-Moi 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 25 mars 2020 Partager Posté(e) le 25 mars 2020 (modifié) @i-Moi Bonjour, il y a 27 minutes, i-Moi a dit : quelle est la signification des 2 premières lignes ? (10.0.0.0, et 172.16.0.0, etc ?) je crois comprendre que la 3e ligne correspond à la box/routeur, en l'occurrence probablement une Freebox ? j'imagine que pour l'adapter à une Livebox ou une Bbox ou SFRbox (qui semblent avoir les mêmes paramètres), on doit mettre 192.168.1.0/255.255.255.0 ? Ce sont les principaux réseaux locaux utilisés : 10.0.0.0 l'est normalement pour les VPN (PPTP, OpenVPN, et L2PT/IPSEC) Effectivement 192.168.x.0 est en général le réseau local défini par les box des FAI mais tu pourrais très bien le fixer par exemple en 192.168.100.0 comme tu veux. Ces lignes autorisent donc tous les trafics sur ces réseaux locaux et bloquent tous ce qui vient de l'extérieur. il y a 27 minutes, i-Moi a dit : La 4e ligne sert donc à interdire tout ce qui n'est pas autorisé Oui et il n'y a pas de filtrage géographique et elles permettent l'accès à distance par VPN à condition d'avoir ouvert le port correspondant au VPN utilisé par exemple 1194 pour un VPN sous protocole OpenVPN. Pour les accès de l'extérieur il te faut passer par le "reverse proxy" et ouvrir le port 443 limité ou non géographiquement. Enfin selon tes besoins tu ouvres les ports des services limités aussi ou non géographiquement (FTP, NTP, etc....). Bien voir qu'au final les quatre lignes proposées sont le service minimum pour sécuriser un tant soit peu le NAS. Cordialement oracle7 😉 Modifié le 25 mars 2020 par oracle7 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
i-Moi Posté(e) le 26 mars 2020 Partager Posté(e) le 26 mars 2020 Merci @oracle7 pour ces explications ! donc si on se connecte en VPN, rien de spécial à paramétrer dans le pare-feu pour les services tels que Moments, DS vidéo, Drive, Surveillance, etc ? bonne soirée confinée 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 27 mars 2020 Partager Posté(e) le 27 mars 2020 @i-Moi Bonjour, Non rien de spécial à paramétrer, je n'ai personnellement rien de plus. Cordialement oracle7 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
i-Moi Posté(e) le 30 mars 2020 Partager Posté(e) le 30 mars 2020 Merci @oracle7 ! Questions subsidiaires qui aideront peut-être un jour les débutants comme moi : si je comprends bien, le reverse proxy est la seule façon d'ouvrir très peu de ports (443 en l'occurrence) et donc permet de mieux sécuriser l'accès externe, plutôt que d'ouvrir un port par application, c'est cela ? Je résume ici ce que j'ai compris en quelques bullet-points, ça pourra peut-être servir pour que chacun ait en tête les étapes essentielles de la sécurisation (pour synthétiser maladroitement le formidable tuto de Fenrir). En gros, c'est comme un gâteau mille-feuilles ou un immeuble, en partant du Rez de chaussée : on crée si besoin un ddns (no-ip.com ou idem chez syno 🙂 ceux qui sont chez Free peuvent ignorer cette étape) Question : comment préciser les sous-domaines quand on a un DDNS ? Ça se fait uniquement au niveau NAS ? Question : mettons qu'on ait acheté un domaine toto.com, et que celui-ci redirige vers toto.no-ip.com. Les sous-domaines et leurs DNS doivent être paramétrés chez l'hebergeur de toto.com ? Question : j'ai lu quelque part que QuickConnect était surtout à proscrire car le trafic passait par l'Asie, mais que si on créait dans le pare-feu du NAS une règle géographique excluant l'Asie, le trafic passait par l'Allemagne, et que du coup c'était plus sécure et qu'on pouvait dès lors sans problème utiliser QuickConnect, qui est en soi un VPN, ce qui simplifie quand même beaucoup les choses : est-ce aussi votre avis ? on crée des règles de pare-feu comme indiqué (VPN autorisé, local autorisé, rien d'autre) on crée dans le proxy inversé les sous-domaines nécessaires à chacune des applications utilisées en distant, par ex : Surveillance Drive Moments Question : Plex utilise le 32400 : à garder tel quel ou à intégrer au Proxy Inversé ? on ouvre le port 443 sur sa box ou son routeur, ce qui fait que la box-routeur enverra tout trafic vers ce port-là, et le NAS distribue en fonction du proxy inversé. on configure le VPN Question : il semble que L2PT/IPSEC soit à recommander pour se connecter depuis un smartphone, non ? Ou bien on prend Open VPN ? Merci à tous pour vos commentaires ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 30 mars 2020 Partager Posté(e) le 30 mars 2020 Bonjour @i-Moi Voici quelques éléments de réponses : il y a 29 minutes, i-Moi a dit : Questions subsidiaires qui aideront peut-être un jour les débutants comme moi : si je comprends bien, le reverse proxy est la seule façon d'ouvrir très peu de ports (443 en l'occurrence) et donc permet de mieux sécuriser l'accès externe, plutôt que d'ouvrir un port par application, c'est cela ? Oui absolument il y a 29 minutes, i-Moi a dit : Question : comment préciser les sous-domaines quand on a un DDNS ? Ça se fait uniquement au niveau NAS ? Il faut d'abord créer pour chacun d'eux, un enregistrement CNAME dans ta zone DNS chez ton fournisseur DDNS. Il faut qu'il soient déclarés : dans ton DNS local au NAS ainsi que dans ton certificat Let'sEncrypt si tu n'utilises pas de wildcard. dans les redirections de ports pour ton proxy inversé. il y a 36 minutes, i-Moi a dit : Question : mettons qu'on ait acheté un domaine toto.com, et que celui-ci redirige vers toto.no-ip.com. Les sous-domaines et leurs DNS doivent être paramétrés chez l'hebergeur de toto.com ? Voir ci-dessus. Sinon quel intérêt de rediriger ver toto.no-ip.com si tu as acheté un domaine toto.com chez le fournisseur X. Restes chez X et configure correctement ton DDNS chez lui. Cela me parait bien plus simple. il y a 39 minutes, i-Moi a dit : Question : j'ai lu quelque part que QuickConnect était surtout à proscrire car le trafic passait par l'Asie, mais que si on créait dans le pare-feu du NAS une règle géographique excluant l'Asie, le trafic passait par l'Allemagne, et que du coup c'était plus sécure et qu'on pouvait dès lors sans problème utiliser QuickConnect, qui est en soi un VPN, ce qui simplifie quand même beaucoup les choses : est-ce aussi votre avis ? Avec Quickconnect quelque soit le chemin emprunté, tes données seront vues sur les serveurs chez Synology. Tout dépend de la confiance que tu leur accordes ... Points 2, 3, 4 : OUI pour Plex je ne sais pas car je ne l'utilise pas, je préfère Kodi. il y a 44 minutes, i-Moi a dit : Question : il semble que L2PT/IPSEC soit à recommander pour se connecter depuis un smartphone, non ? L2PT/IPSEC est plutôt utilisé habituellement dans le monde WINDOWS car plus facile à configuer entre PC WIN. Je l'ai installé mais personnellement j'ai opté en pratique pour OpenVPN, plus généraliste et surtout plus sécure car tu peux régler la clé de chiffrement à ta convenance : parano ou pas ! Cordialement oracle7 😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.