Aller au contenu

VPN et certificat SSL


arnlig3550

Messages recommandés

Bonjour

J'ai rendu un NAS accessible par internet en commençant par le sécuriser puis en prenant un domaine "synology.me" et certificat Let's Encrypt.

J'aimerais maintenant avoir accès à un dossier partagé depuis un PC distant. D'après mes recherches, j'ai compris qu'il fallait que je passe par un VPN pour plus de sécurité, mais je me pose une question...

Si j'établi un serveur VPN sur le NAS, est-ce que mon nom de domaine "monnas.synology.me" et mon certificat Let's Encrypt seront toujours utiles ?

J'avoue pour l'instant ne pas trop comprendre le fonctionnement d'un VPN même après plusieurs recherches, mais ça va venir en le faisant je pense :). Du coup ma question peu paraître "débile" pour certains mais tant pis ! :)

Merci à ceux qui m'aideront :)

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Le faite d'utiliser un serveur VPN chez toi pour t'y connecter à distance te permet en gros de simuler une connexion locale donc sécurisée.

Si tu te connectes depuis les USA par exemple sur ton VPN et tu regardes ton IP WAN, tu verras que tu auras l'IP externe de chez toi.

Un attaquant ne sera plus limité qu'au nom d'utilisateur et mot de passe mais aussi à l'accès VPN.

Modifié par Zeus
Lien vers le commentaire
Partager sur d’autres sites

  • 1 an après...

Bonjour,

Préambule

J'ai peu l'habitude d'écrire sur des forum, donc d'avance pardon si je n'ai pas les codes. Important également, je suis débutant en informatique et ne maitrise pas tous les concepts théoriques sous-jacents à mes actions : bref je pourrais formuler des idées qui n'ont pas de sens ... Si c'est le cas merci de me le dire.

Ma demande

Grâce au super tuto de Fenrir j'ai configuré un accès VPN en L2TP/IPSec : a priori cela semble fonctionnel (test effectué depuis un client windows avec un partage de connexion de mon iPhone pour simuler l'accès externe).

Je crois comprendre que les réglages du pare-feu indiqués dans le tuto (autorisation d'IP privées et blocage par défaut en dernière règle) permettent et obligent un accès à distance par VPN : les accès par nom de domaine ou IP externe ne sont donc plus possible (que ce soit en http ou en https). Est-ce correct ?

Si je comprends donc bien, à priori le seul moyen de se connecter est donc maintenant de connecter mon VPN puis d'indiquer mon IP locale dans mon navigateur. En faisant cela mon navigateur m'indique que le site est non sécurisé : je souhaiterais régler ce problème en me connectant avec un nom de domaine et avec un certificat valide.

Je crois comprendre que l'usage est de considérer le réseau local comme safe mais je souhaite faire ça pour plusieurs raisons :
- je crois comprendre qu'accepter une exception dans un navigateur n'est jamais une bonne chose (la raison m'échappe, preneur d'une explication simplifiée)
- je veux faire un travail propre et savoir faire un certificat

- je trouve plus confortable d'utiliser un nom de domaine plutôt qu'une IP

Informations complémentaires

NB :

- J'ai ajouté un DDNS du type monnom.synology.me et j'ai suivi la procédure pour que cela me créée un certificat Let's Encrypt : je lis parfois que cela n'est pas possible puisque le domaine synology.me ne m'appartient pas : qu'en est il réellement ?
- Je me suis acheté un nom de domaine sur OVH du type monnom.eu (je ne maitrise pas du tout ces notions, notamment les sous domaines)
- J'ai essayé créé un certificat dédié à monnom.eu sans succès ... (erreur d’authentification visiblement)
- J'ai souvent lu que chez Orange les IP étaient dynamique mais après test sur un site il apparait que la mienne est fixe (je n'ai demandé aucune option mais je suis client fibre depuis peu) : bref, du coup je n'ai pas fait de DDNS supplémentaire

Au cas ou cela puisse avoir un impact, voici les utilisations que j'ai en tête pour mon NAS :

- M'en servir comme d'un drive (je crois comprendre que je peux accéder directement aux dossier en me loggant sur le DSM ou utiliser des paquets spécifiques comme Synology Drive mais je ne sais pas quels sont les avantages et inconvénients des deux méthodes : preneur d'un éventuel retour)
- Crypter l'information qui s'y trouve
- M'en servir pour partager (émettre et recevoir) des fichiers de façon sécurisée des personnes externes (sans accès au NAS)
- M'en servir pour enregistrer les vidéos d'une caméra branchée en wifi
- M'en servir pour héberger mes e-mails, mes contacts et mes agendas
- Cacher l'IP de mon NAS des autres pour être anonyme sur le net (je crois comprendre qu'il faut par exemple qu'il soit un client VPN)
- Synchroniser (pour faire un backup) l'ensemble de mon NAS avec un autre NAS distant (sécurisé avec le même niveau)
- Avoir un accès à distance permanent

MERCI d'avance à tous les retours que je pourrais avoir !

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Beaucoup de questions dont vous trouverez une partie des réponses dans ce tutoriel :

Ensuite :

Il y a 9 heures, TuringFan a dit :

- J'ai ajouté un DDNS du type monnom.synology.me et j'ai suivi la procédure pour que cela me créée un certificat Let's Encrypt : je lis parfois que cela n'est pas possible puisque le domaine synology.me ne m'appartient pas : qu'en est il réellement ?

Ca marche très bien, il faut juste penser à préciser tous les sous-domaines nécessaires toto.votreid.synology.me, tata.votreid.synology.me, etc...

Il y a 9 heures, TuringFan a dit :

Je crois comprendre que les réglages du pare-feu indiqués dans le tuto (autorisation d'IP privées et blocage par défaut en dernière règle) permettent et obligent un accès à distance par VPN : les accès par nom de domaine ou IP externe ne sont donc plus possible (que ce soit en http ou en https). Est-ce correct ?

Par défaut oui, libre à vous d'ouvrir ce dont vous avez besoin (par exemple pour établir ou renouveler un certificat, le port 80 doit être ouvert au moment de la demande).
De plus vous avez l'air de vouloir disposer d'un accès distant hors VPN, dans ce cas-là il faut s'orienter vers un proxy inversé (intégré à DSM) :

 

Autrement :

Il y a 9 heures, TuringFan a dit :

J'ai souvent lu que chez Orange les IP étaient dynamique mais après test sur un site il apparait que la mienne est fixe (je n'ai demandé aucune option mais je suis client fibre depuis peu) : bref, du coup je n'ai pas fait de DDNS supplémentaire

Il faut une DDNS par nom de domaine différent pointant vers une IP dynamique.
Dans le cas de Synology, même si votre IP est fixe, vu que vous n'avez pas accès à la zone DNS qui est relative au nom de domaine qui vous est fourni, il faut quand même ajouter un DDNS dans Accès externe.
Pour OVH il faudra juste ajouter un enregistrement de type A pointant vers votre IP (fixe ? à vérifier, si elle ne l'est pas c'est dangereux d'avoir un enregistrement A) dans la zone DNS.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.