Et Lorsque L'on Bouge...

[ploufe]

Bonjour,

Je me posais une question en attendant mon DS107+...

J'ai un ordi portable... Lorsque je suis chez moi, il accèdera à mes service vie une adresse de type 192.168.X.X:port alors que dhors, il apparaitra sous la forme de monIP:port

Comment faire pour que tout cela soit transparent ? En particulier lorsqu'il s'agira de monter mes disques via afp au démarrage de mon ordi...

Merci

JB

[catimimi]

Bonjour,

Je me posais une question en attendant mon DS170+...

J'ai un ordi portable... Lorsque je suis chez moi, il accèdera à mes service vie une adresse de type 192.168.X.X:port alors que dhors, il apparaitra sous la forme de monIP:port

Comment faire pour que tout cela soit transparent ? En particulier lorsqu'il s'agira de monter mes disques via afp au démarrage de mon ordi...

Merci

JB

Bonjour,

Personnellement j'accède aussi de chez moi avec "monIP:port" et je n'ai ainsi pas de problème à l'extérieur. Je remplace d'ailleurs "monIP" par mon nom de domaine dynamique chez dyndns.org. Mais il faut que ton routeur-NAT permette l'utilisation des adresses externes.

Cordialement.

[Alastor 2262]

Et pour monter les disques via Internet, la seule solution viable est le VPN, sinon filestation ou FTP, mais là on ne monte pas de lecteur réseau.

[ploufe]

Et pour monter les disques via Internet, la seule solution viable est le VPN, sinon filestation ou FTP, mais là on ne monte pas de lecteur réseau.

On peux pas faire u petit pomme+K et tapper afp://monIP?

[PatrickH]

On peux pas faire u petit pomme+K et tapper afp://monIP?

A ma connaissance le protocole AFP (Apple Filing Protocol) est propre au MAC et n'est de toute facon pas supporté par le syno !!

Ensuite essayer de faire des montages de "volumes" au travers Internet sans une sécurisation comme un VPN est carrément à proscrire pour des raisons évidentes de sécurité

Patrick

[ploufe]

A ma connaissance le protocole AFP (Apple Filing Protocol) est propre au MAC et n'est de toute facon pas supporté par le syno !!

Ensuite essayer de faire des montages de "volumes" au travers Internet sans une sécurisation comme un VPN est carrément à proscrire pour des raisons évidentes de sécurité

Patrick

Le AFP est bien supporté et le principe est le meme que le smb (de mon point de vu).

Sachant que je n'arrive pas a installer OpenVPN sur mon syno (je l ai même fait planté mon DS107+ et ai failli perdre mes données...) et que je n'y comprend rien... je trouve ça dommage!

Je trouverai ça bien pratique... en redirigeant le port 548... pourquoi n'est ce pas sécurisé? car n'importe qui peux se connecter un guest avec mon ip?

Sinon, je veux bien d'une bonne âme qui m'installerai OpenVPN...

[ikeke]

Le AFP est bien supporté et le principe est le meme que le smb (de mon point de vu).

Sachant que je n'arrive pas a installer OpenVPN sur mon syno (je l ai même fait planté mon DS107+ et ai failli perdre mes données...) et que je n'y comprend rien... je trouve ça dommage!

Je trouverai ça bien pratique... en redirigeant le port 548... pourquoi n'est ce pas sécurisé? car n'importe qui peux se connecter un guest avec mon ip?

Non ce n'est franchement pas sécurisé c'est comme ouvrir les ports samba, c'est la porte ouverte au piratage dans la demi heure qui suit.

Pour tes connexions depuis l'extérieur, à ta place je monterais une connexion FTP.

Dans le Finder, Allez à, puis Se connecter à un serveur. Là tu te connectes au FTP et si tu veux pouvoir t'y reconnecter facilement la fois suivante tu te crées un Alias que tu mets dans le dock par exemple et zou tu es tranquille. Et au niveau de l'interface AFP, SMB ou FTP ca change rien à priori

[ploufe]

Non ce n'est franchement pas sécurisé c'est comme ouvrir les ports samba, c'est la porte ouverte au piratage dans la demi heure qui suit.

Pour tes connexions depuis l'extérieur, à ta place je monterais une connexion FTP.

Dans le Finder, Allez à, puis Se connecter à un serveur. Là tu te connectes au FTP et si tu veux pouvoir t'y reconnecter facilement la fois suivante tu te crées un Alias que tu mets dans le dock par exemple et zou tu es tranquille. Et au niveau de l'interface AFP, SMB ou FTP ca change rien à priori

JE ne comprends pas pourquoi samba ou afp est moins sécurisé que ftp, sachant que les noms de comptes et mdp sont les même...

[ikeke]

JE ne comprends pas pourquoi samba ou afp est moins sécurisé que ftp, sachant que les noms de comptes et mdp sont les même...

Pour AFP, je ne sais pas vraiment (c'est ce que j'ai lu sur le forum officiel sans plus d'explication). Concernant Samba, c'est un protocole qui n'a pas été prévu à l'origine pour être utilisé sur internet mais uniquement en réseau local, il est donc moins performant en terme de sécurité. Cette reflexion n'est peut être plus vraie depuis que Synology a mis à jour Samba dans ces derniers firmware mais il y a encore quelques mois le syno embarquait une version samba de 2005 ce qui en dit long sur la sécurité. Par ailleurs, FTP est un protocole éprouvé pour les echanges internet et ne contenant donc que peu ou pas de failles de sécurité, ce qui n'est pas forcément le cas pour Samba par exemple.

Par ailleurs, on a eu l'exemple il y a peu de temps que l'ouverture des ports samba et la présence d'un compte guest actif faisait que n'importe qui pouvait accèder a n'importe quelle ressource du NAS depuis Internet, ce n'est pas vraiment ce que j'appellerais de la sécurité. Sans être parano, j'ai tendance a privilégier les protocoles dédiés internet pour mes accès par le net et à utiliser les protocoles non spécifiques au net comme Samba pour un usage en réseau local.

[cricx]

JE ne comprends pas pourquoi samba ou afp est moins sécurisé que ftp, sachant que les noms de comptes et mdp sont les même...

Je ne connais pas afp, mais tu as raison.

ftp n'est absolument pas sécurisé (mais il n'a pas été conçu pour cela). Il faut utiliser sftp (ftp dans un tunnel ssh).

samba n'a pas été conçu pour les échanges via internet, le protocole n'est donc pas adapté. Le transfert n'est pas crypté. Néanmoins, le mot de passe ne circule pas en clair. Si samba (en fait, smb/cifs) a la réputation de n'être pas sûr, ce n'est pas vraiment à cause du protocole mais de son implémentation par microsoft.

En résumé, ne sont sûrs que les protocoles supportant le cryptage

- du mot de passe

- des données

Donc https, ssh, sftp, ou toutes connexion dans un vpn.

À exclure smb, nfs, afs (sauf en vpn), en se souvenant tout de même que ces protocoles n'ont pas été conçus pour l'internet !

[MS_Totor]

je suis d'accord avec ce qui vient d'être dit

rien ne vaut un vpn ou un socket ftp ou web etc....via ssh et échange ce clé, sans alourdir les procédés mis en place, et en évitant les ralentissements de cryptage plus complexes

c'est ce qu'il se fait de mieux pour l'instant pour ce que tu veux faire, utiliser un protocole non prévu pour le net, qui est la cible de beaucoup de scan sur le net

il suffit de voir un résultat de log sur une journée uniquement dédié à ces ports trop bien connu ou l'envoi de codes pour bien voir la chasse générale pour trouver quelle ip est à un service non patché, et comprenant des failles.

le vpn ou le socket te mettent assez bien à l'abri de ce que l'on appelle un zero day, faille nouvelle, non encore patchée et non connue des développeurs.

à moins que la dite faille ne concerne le vpn ou ssh, cela c'est vu aussi

l'année dernière je me suis amusé pendant quelques temps, en posant une sonde pour faire un petit audit, chez dedibox et ovh, no comment

c'est une niche rêvée pour les spammeurs, ou ceux qui veulent créer des sites à contenus interdits à l'insu des proprios

le risque est identique, si le syno est mis en ligne sur le net sans prendre un minimum de précaution