TabasKo Posté(e) le 4 novembre 2018 Partager Posté(e) le 4 novembre 2018 Bonjour, Alors voilà, c'est un peu la loose pour réussir à mettre en place le certificat SSL Let's Encrypt sur le Synology 😞 QuickConnect : désactivé. Pare-Feu Synology : désactivé. Accès externe : DDNS configuré Livebox port 80 ouvert (y -a-til un truc à faire avec le port 443 ??) Accès LAN : OK Accès WAN : testé OK (j'ai forcé la connexion en 4g) Réseau > Paramètre DMS > HTTPS : désactivé. Par ailleurs, si j'active https, et que localement j'essaye d'aller sur mon https://nas.xxxxx.com après l'alerte de sécurité, j'ai rien (genre : ERR_EMPTY_RESPONSE). Lors de se test j'active bien l'https depuis le synology (et aussi testé en ajoutant un portfowarding sur la livebox 5001>80 sur IP NAS. Et encore et toujours : 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 4 novembre 2018 Partager Posté(e) le 4 novembre 2018 Il faut autoriser l’accès au port tcp/80 pour que le certificat fonctionne. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TabasKo Posté(e) le 4 novembre 2018 Auteur Partager Posté(e) le 4 novembre 2018 Merci de me venir en aide car je tourne vraiment en rond. Vous pensez que ce que j'ai fais est différent ? Pour moi mon port 80 est bien ouvert (et d'ailleurs, j'accède bien de l'extérieur au DSM depuis l'adresse en http avec mon sous domaine (pour moi cela valide que le port 80 est bien ouvert) Livebox port 80 ouvert 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
goerges Posté(e) le 4 novembre 2018 Partager Posté(e) le 4 novembre 2018 Tu dois forwarder le port 80 de ta box vers le port 80 de ton Synology 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TabasKo Posté(e) le 4 novembre 2018 Auteur Partager Posté(e) le 4 novembre 2018 (modifié) ok merci. mais du coup, j'ai rien en listening sur ce port ? J'ai trouvé ceci : https://stefandingemanse.nl/how-to-use-lets-encrypt-ssl-certificate-on-synology-dsm/ Qui manifestement invite à installer un serveur web (je pensais que l'agilité du Synology en dispensait dans le mécanisme du Let's Encrypt). Et devinez quoi : Web Station s'installe pas chez moi 😞 Je tente déjà de refaire au propre le port-forwarding - - - - - - - - - - 1000 mercis Goerges ! tu as débloqué ma situation j'ai pu créer mon certificat Let's Encrypt. Par contre, je comprends pas ce qui est ouvert sur le port 80 ? Et comme je pointe plus sur le port 5000, je vois pas comment je pourrais accéder au DSM depuis le WAN (avant de valider le certification j'arrivais à charger le DSM avec mon sous domaine http://nas.xxxxxxx.com Là même si je tente http://nas.xxxxxxxxxx.com:5000/ çà marche pas. Et c'est sans compter : Je dois pas tout comprendre Modifié le 4 novembre 2018 par tabako 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
goerges Posté(e) le 5 novembre 2018 Partager Posté(e) le 5 novembre 2018 Il y a 11 heures, tabako a dit : Là même si je tente http://nas.xxxxxxxxxx.com:5000/ çà marche pas. Tu dois forwarder également le port 5000 de ta box vers le port 5000 du Synology et là, cela va fonctionner. Mais 1) j'utiliserais plutôt le port 5001 en httpS 2)perso je trouve qu'accéder à l’administration du NAS via Internet n'est pas très sécure, il vaudrait mieux utiliser un vpn si tu veux vraiment le faire. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 5 novembre 2018 Partager Posté(e) le 5 novembre 2018 Tout à fait d'accord avec goerges. S'il faut accéder à DSM de l'extérieur, il est bien plus sûr de le faire par le serveur VPN du NAS (voir le tuto de Fenrir dans la partie Tutoriel). Au pire, on peut passer par le 5001, mais surtout pas par le 5000 qui est en clair et peut très facilement être intercepté ! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TabasKo Posté(e) le 5 novembre 2018 Auteur Partager Posté(e) le 5 novembre 2018 (modifié) Il y a 21 heures, goerges a dit : Tu dois forwarder le port 80 de ta box vers le port 80 de ton Synology Merci, c'est bon maintenant. Du coup la question que je me pose c'est : dois je laisser le port ouvert à jamais (pour que le certifcat ssl puisse se renouveler) ou c'est un peu risqué de laisser en permanence le port 80 ouvert ? (dans quel cas, je renouvelle le certificat manuellement tout les 90 jours en ouvrant/fermant le port) Oui j'ai fais le port forwarding sur le port 5001, mais je ne le laisse pas actif. Pour les rares occasions où j'en aurai besoin, je l'activerai manuellement. Je vais de ce pas, chercher le tuto VPN 🙂 Mortel ! 🙂 Super bien expliqué, je vais prendre le temps de revoir mes basics 🙂 Modifié le 5 novembre 2018 par tabako 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 5 novembre 2018 Partager Posté(e) le 5 novembre 2018 Pour ne pas laisser le port tcp/80 ouvert aux quatre vents, tu peux n’autoriser que les adresses des serveurs Let’s Encrypt à y accéder. Les deux adresses sont dans mon post précédent, il suffit de créer les règles nécessaires dans le pare-feu. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TabasKo Posté(e) le 5 novembre 2018 Auteur Partager Posté(e) le 5 novembre 2018 (modifié) Trop fort ! bien vu ... Par contre, je pourrai pas le faire au niveau de la live box je pense ... Tu me conseilles de le faire via quoi ? car à priori c'est très très rudimentaire sur la livebox4 .... Modifié le 5 novembre 2018 par tabako 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
PiwiLAbruti Posté(e) le 5 novembre 2018 Partager Posté(e) le 5 novembre 2018 Configure les règles dans le pare-feu du NAS. Si jamais tu changes de FAI, tu n’auras que le port tcp/80 à rediriger. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TabasKo Posté(e) le 5 novembre 2018 Auteur Partager Posté(e) le 5 novembre 2018 Ok. Le pare-feu était désactivé. Je l'ai activé et j'ai rajouté les 2 règles pour le port 80. J'ai bon ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 5 novembre 2018 Partager Posté(e) le 5 novembre 2018 Oui c'est bon mais vos règles sont bien trop rudimentaires et vous ne bloquez rien. Il serait bon d'aller faire un tour sur le tuto de Fenrir concernant la sécurisation du NAS. Il y traite entre autres choses des règles du parefeu. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TabasKo Posté(e) le 5 novembre 2018 Auteur Partager Posté(e) le 5 novembre 2018 C'est toi qui vient de chatouiller à l'instant mon port 22 ? 👻 58.XX.XX.32 Je sens que je vais finalement préférer rester le plus hermétique possible avec mon NAS (usage LAN et basta) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 5 novembre 2018 Partager Posté(e) le 5 novembre 2018 Je vous parle de vos règles de parefeu qui ne sont pas correctes et vous me demandez un truc sorti d'on ne sait où. Si vous avez le port 22 ouvert sur l'extérieur, c'est votre affaire, mais ne vous étonnez pas d'y subir des attaques, surtout avec une parefeu passoire. En tout cas ce n'est pas moi et franchement, j'ai autre chose à faire de plus intéressant que d'aller m'amuser à ce genre d'exercice. Enfin, le français est une belle langue qui fait le distingo entre le "vous" et le "tu". 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TabasKo Posté(e) le 5 novembre 2018 Auteur Partager Posté(e) le 5 novembre 2018 Mon port 22 était bien ouvert, je fais tes tests avec un associé. Me suis empressé de le refermer. Pour le "tu" je suis désolé pour cette familiarité, et j'en conviens bien, nous avons la chance d'avoir une si belle langue, riche et nuancée. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 5 novembre 2018 Partager Posté(e) le 5 novembre 2018 (modifié) il y a 28 minutes, tabako a dit : Mon port 22 était bien ouvert, je fais tes tests avec un associé. Me suis empressé de le refermer. Pour le "tu" je suis désolé pour cette familiarité, et j'en conviens bien, nous avons la chance d'avoir une si belle langue, riche et nuancée. Bonsoir, On ne demande pas à ce que tu fermes le port 22 mais que tu le sécurises ! Parce que là, ta première règle sur la capture, c'est du grand "bloubi bulga". On dirait que tu as prit tout ce que tu avais dans le frigo et hop dans la marmite. Ça ne fonctionne pas comme ça 😉 C'est un peu osé quand même de demander à un membre (modérateur en plus) qui a des années de dépannage en bénévolat si il s'amuse avec tes ports ouverts. Tu ne trouves pas ?! Tu n'as pas l'air de le savoir mais à partir du moment ou l'on ouvre son serveur au web, il y a automatiquement des "robots scanners" qui chercheront à pénétrer ton serveur en scannant des ports spécifiques, des plages IP etc... A toi donc de limiter les possibilités ! Je confirme bien la recommandation de Mic, tu devrais aller rapidement faire un tour sur le tuto de Fenrir sur la sécurité des NAS et le mettre en application ! Modifié le 5 novembre 2018 par InfoYANN 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TabasKo Posté(e) le 5 novembre 2018 Auteur Partager Posté(e) le 5 novembre 2018 (modifié) J'ai pensé un instant que le pare-feu avec une règle s'était mieux que pare feu désactivé... Oui j'y suis actuellement sur son tuto! j'en sui à la double authentification ! Modifié le 5 novembre 2018 par tabako 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 5 novembre 2018 Partager Posté(e) le 5 novembre 2018 Euhhh 🙄 Sauf que toi, tu as fait ceci en gros : Ok, j'accepte toutes mes applications dans la même règle. Ok, je ne met aucune règle pour ce que je ne veux pas... Donc en gros, ça revient au même que de ne pas avoir de pare feu ou que de laisser ton logement ouvert pendant que tu pars en vacances. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TabasKo Posté(e) le 5 novembre 2018 Auteur Partager Posté(e) le 5 novembre 2018 (modifié) Bien compris ! 1 règle par service/port, à définir en conséquence des attentes. C'était quoi la commande pour voir tous les services/ports ? il y a rien dans le DSM pour le voir simplement ? netstat -tanpu ? Modifié le 5 novembre 2018 par tabako 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 5 novembre 2018 Partager Posté(e) le 5 novembre 2018 Et surtout la dernière règle la plus importante qui interdit tout le reste ! J'ai pas compris le reste, tu veux savoir quoi sur la liste des ports ?! 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TabasKo Posté(e) le 5 novembre 2018 Auteur Partager Posté(e) le 5 novembre 2018 Je me demande s'il existe un moyen de lister tous les ports qui serait en "listening" sur le NAS, parce qu'à froid et de tête à part 21,22,80,32400, 5000,5001 pour moi y'a rien d'autre, çà se trouve il y a d'autres service qui tournent. Je suis pas une flèche en serveur comme vous l'avez tous compris je pense 🙂 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
unPixel Posté(e) le 5 novembre 2018 Partager Posté(e) le 5 novembre 2018 Essais ça : netstat -paunt 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
TabasKo Posté(e) le 6 novembre 2018 Auteur Partager Posté(e) le 6 novembre 2018 (modifié) çà marche exactement comme la commande que j'indiquais à priori, j'ai pas fais la différence. C'est ce que je "redoutais" il y a pas mal de choses (qui me parlent pas) $ sudo netstat -paunt | egrep -v "Plex|nginx|sshd" Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.1:5432 0.0.0.0:* LISTEN 9929/postgres tcp 0 0 127.0.0.1:4700 0.0.0.0:* LISTEN 9598/cnid_metad tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN 9809/smbd tcp 0 0 0.0.0.0:3262 0.0.0.0:* LISTEN 12689/iscsi_snapsho tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 9809/smbd tcp 0 0 192.168.1.3:32400 192.168.1.2:63394 TIME_WAIT - tcp 0 0 192.168.1.3:47934 159.89.220.42:80 TIME_WAIT - tcp 0 0 192.168.1.3:53776 165.227.243.88:80 TIME_WAIT - tcp 0 0 192.168.1.3:445 192.168.1.2:53588 ESTABLISHED 27453/smbd tcp 0 0 192.168.1.3:38908 138.197.239.182:80 TIME_WAIT - tcp 0 0 192.168.1.3:53786 165.227.243.88:80 TIME_WAIT - tcp 0 0 192.168.1.3:34642 138.197.235.232:80 TIME_WAIT - tcp 0 0 192.168.1.3:32400 192.168.1.2:63416 TIME_WAIT - tcp 0 0 192.168.1.3:56938 167.99.104.143:81 TIME_WAIT - tcp 0 0 192.168.1.3:47944 159.89.220.42:80 TIME_WAIT - tcp 0 0 192.168.1.3:32400 192.168.1.2:63435 TIME_WAIT - tcp6 0 0 :::445 :::* LISTEN 9809/smbd tcp6 0 0 :::3261 :::* LISTEN - tcp6 0 0 :::3263 :::* LISTEN - tcp6 0 0 :::3264 :::* LISTEN - tcp6 0 0 :::548 :::* LISTEN 9597/afpd tcp6 0 0 :::139 :::* LISTEN 9809/smbd udp 0 0 0.0.0.0:68 0.0.0.0:* 8005/dhclient udp 0 0 0.0.0.0:47226 0.0.0.0:* 8771/synosnmpcd udp 0 0 192.168.1.3:123 0.0.0.0:* 23022/ntpd udp 0 0 127.0.0.1:123 0.0.0.0:* 23022/ntpd udp 0 0 0.0.0.0:123 0.0.0.0:* 23022/ntpd udp 0 0 192.168.1.255:137 0.0.0.0:* 4338/nmbd udp 0 0 192.168.1.3:137 0.0.0.0:* 4338/nmbd udp 0 0 0.0.0.0:137 0.0.0.0:* 4338/nmbd udp 0 0 192.168.1.255:138 0.0.0.0:* 4338/nmbd udp 0 0 192.168.1.3:138 0.0.0.0:* 4338/nmbd udp 0 0 0.0.0.0:138 0.0.0.0:* 4338/nmbd udp 0 0 127.0.0.1:161 0.0.0.0:* 8698/snmpd udp 0 0 0.0.0.0:5353 0.0.0.0:* 4409/avahi-daemon: udp 0 0 0.0.0.0:46610 0.0.0.0:* 4409/avahi-daemon: udp 0 0 0.0.0.0:9997 0.0.0.0:* 7740/findhostd udp 0 0 0.0.0.0:9998 0.0.0.0:* 7740/findhostd udp 0 0 0.0.0.0:9999 0.0.0.0:* 7740/findhostd udp 0 0 0.0.0.0:1900 0.0.0.0:* 13005/minissdpd udp6 0 0 ::1:123 :::* 23022/ntpd udp6 0 0 :::123 :::* 23022/ntpd udp6 0 0 :::41645 :::* 4409/avahi-daemon: udp6 0 0 :::5353 :::* 4409/avahi-daemon: J'en profite pour poser une question : nginx c'est le serveur web qui est de base pour le DSM ? c'est çà ? (est ce que du coup sa présence expliquerai que je n'arrive pas à installer le serveur web "Web Station" ?). Je projette pas d'installer un site web, mais quand je cherchais à comprendre comment ouvrir le port 80 pour let's encrypt je m'étais posé la question (je sais maintenant grâce à vous comment çà marche ! merci). J'ai fini le tuto sécurité, c'était intéressant, et très bien expliqué. Juste un peu peur d'activer la double authentification (çà se passe comment si je perds mon téléphone, l'email indiqué me permet de récupérer le nécessaire ? Côté Pare-Feu, normalement je suis plus clean qu'avant 🙂j'ai pas osé encore l'activé (suis un peu fatigué et je voudrai pas faire une connerie). C'est bien la ligne en vert qui me garantira le bon accès depuis mon LAN ? Modifié le 6 novembre 2018 par tabako 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Mic13710 Posté(e) le 6 novembre 2018 Partager Posté(e) le 6 novembre 2018 Pour vos règles de départ du parefeu, c'est OK. Vous avez ouvert le 1194 (OpenVPN) et les 500, 1701, 4500 (VPN L2TP/IPSec). Vous avez activé les deux ? Il vous manque les 2 règles pour le port 80 comme vu plus haut. Vous devrez aussi y rajouter les règles pour les applis que vous voulez utiliser de l'extérieur. Ces règles devront être obligatoirement placées avant la dernière sinon elles seront bloquées (le parefeu lit de haut en bas). Pour la double authentification, il est bien évident qu'il ne faut pas compter sur un seul pourvoyeur de code. Tous fonctionnent sur un protocole commun qui fourni un mdp unique (OTP) à partir d'une clé et d'une base temps (horloge). Il suffit de récupérer et conserver la clé en lieu sûr, pour pouvoir l'utiliser sur n'importe quel système afin d'obtenir le code. Vous avez Google Athenticator, FreeOTP, Authy Desktop en systèmes autonomes, ou bien KeeOTP en addin de Keepass. Il y en a d'autres. Les trois points les plus importants sont : Avoir les horloges synchronisées (serveurs temps internet) pour que les codes générés soient identiques. Si les horloges sont décalées, les codes seront erronés, Récupération et conservation de la clé pour pouvoir l'utiliser ailleurs (Keepass est un très bon outil pour ça) Sauvegarde des codes de secours pour pouvoir accéder au NAS si les codes ne sont plus opérationnels (non récupérables ou bases temps désynchronisées) 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.