comess PostĂ©(e) le 18 juin 2020 PostĂ©(e) le 18 juin 2020 Bonjour, đ Probleme super simple. Il ne devrait pas en avoir selon moi. mais comme il est bien la. quelque chose dâĂ©vident doit mâĂ©chapper : Je bloque la connexion de l'ip 77.XXX.XXX.XXX (mon telephone pour le test hors wifi...) j'autorise ma connexion local (mon pc) Je bloque toutes les autres Et aucune reaction ; je me connecte sans bloquage. J'ai essayĂ© les meme regles avec LAN1 en cochant refus a la fin ai-je oubliĂ© quelque chose d'essentiel ? En vous remericiant   0 Citer
oracle7 PostĂ©(e) le 18 juin 2020 PostĂ©(e) le 18 juin 2020 @comess Bonjour, Pourrais-tu STP prĂ©ciser quelques points pour bien comprendre le contexte : As-tu un serveur DHCP d'activĂ© et sur quoi ? ton NAS ou ta box ? L'@IP de ton PC est-elle fixe via un bail DHCP sur ta box ou l'as-tu fixĂ©e directement sur l'adaptateur rĂ©seau de ton PC (paramĂštres carte rĂ©seau) ? Est-tu sĂ»r que l'@IP de ton tĂ©lĂ©phone n'a pas changĂ© entre temps ? Par ailleurs, j'espĂšre que ton pare-feu ne reste pas dans cet configuration (copie d'Ă©cran) en fonctionnement normal. Je ne peux que trop t'inviter Ă lire et Ă suivre le Tutoriel "[TUTO] SĂ©curiser les accĂšs Ă son nas" sur le prĂ©sent forum. Cordialement oracle7đ  0 Citer
comess PostĂ©(e) le 18 juin 2020 Auteur PostĂ©(e) le 18 juin 2020 Bonjour Oravle7 et merci ! Alors non, je ne laisse pas le pare feu comme ca, j'ai tout enlever pour verifier que ca marche bein ! Je te remercie du lien que tu m'as donnĂ©, les regles sont quand meme plus 'dur' que ce que j'avais. (je le suivrais apres ca !) - j'ai paramĂ©trĂ© l'ip du NAS par la livebox, j'ai donc dans ma Network Interface 'Get Network config auto DHCP' - je n'ai pas acces a l'ordi ici, mais je n'ai rien parametrĂ© cotĂ© ip. en revanche, le verifie souvent si c'est toujours la meme (fini par .28) - pour le telephone, je suis sur, mon log center me donnant l'ip de la connexion que j'ai bien bloquĂ©. Je suis relativement novice, et n'ai pas a l'abris d'avoir fait quelque chose dâĂ©trange. meme si en theorie, je ne suis pas du genre a cliquer quelque part sans comprendre pourquoi. 0 Citer
oracle7 PostĂ©(e) le 18 juin 2020 PostĂ©(e) le 18 juin 2020 @comess Ok donc tu es en DHCP sur la Livebox. Donc, c'est elle qui dĂ©fini automatiquement l'@IP de ton PC, de ton NAS et de tous tes autres pĂ©riphĂ©riques (bien Ă©videmment s'ils sont configurĂ©s aussi en DHCP automatique comme ton PC). Alors en allant dans l'interface d'administration de la LB, dans "Mes Ă©quipements connectĂ©s" peux-tu regarder quelle @IP est affectĂ©e actuellement Ă ton PC ? Est-ce 192.168.1.28 ou pas ? Par ailleurs, dans ce cas il serait quand bien de figer au moins l'@IP de ton NAS par un bail statique dans la LB (dans RĂ©seau / DHCP). Au moins tu seras ainsi sĂ»r que ton NAS sera lui toujours Ă la mĂȘme adresse et t'Ă©vitera ainsi des dĂ©sagrĂ©ments si par ex un reboot de la LB intervenait pour X raisons. En effet Ă cause du DHCP il pourrait y avoir une rĂ©affectation totale ou partielle des @IP de tes pĂ©riphĂ©riques. Cordialement oracle7đ 0 Citer
comess Posté(e) le 18 juin 2020 Auteur Posté(e) le 18 juin 2020 Encore merci Oracle7 - je travail en ce moment, je ne peux pas vérifier l'adresse du PC. - ca a ete fait pour le NAS, j'ai fixé son ip local a 192.168.1.99 via la LB. pour eviter des soucis comme tu dis pendant un redémarrage (et pour utiliser un WOL car le NAS est rangé dans un caisson) 0 Citer
oracle7 PostĂ©(e) le 18 juin 2020 PostĂ©(e) le 18 juin 2020 @comess Je ne te dĂ©range pas plus alors, on en reparle plus tard si tu as des questions ... Cordialement oracle7đ 0 Citer
comess PostĂ©(e) le 18 juin 2020 Auteur PostĂ©(e) le 18 juin 2020 Bonjour Oracle7 ! Pardon, c'est plutot moi qui te dĂ©range ! đ Je suis rentrĂ© et ai fixĂ© l'adresse ip de mon PC Ă ...88, c'elle de mon NAS Ă ...99. Le tout par la LB menu DHCP. J'ai enlevĂ© toutes les rĂšgles Ă nouveau. Puis j'ai ajoutĂ© dans cet ordre dans LAN 1 seulement ( LAN 2 Ă©tant dĂ©co ) : Port:tous   Protocole:tous   IP:...88   Accepter Port:tous   Protocole:tous   IP:tous   Refuser puis, si aucune regle n'est remplie, refuser l'accĂšs. eeet... je peux me connecter avec mon telephone sans problĂšme (via firefox ou DSaudio), il m'affiche bien dans le journal de connexion, login success avec l'ip du mobile. ca devrait fonctionner mon blocage non ? ( parefeu activĂ© Ă©tant bien cochĂ© đ )  0 Citer
oracle7 PostĂ©(e) le 19 juin 2020 PostĂ©(e) le 19 juin 2020 @comess Ne le prends pas mal mais ce serait bien que tu sois STP plus explicite dans tes rĂ©ponses car il faut deviner ce qui se cache derriĂšre et cela ne facilite pas les choses pour t'aider. Par ex tu dis "ai fixĂ© l'adresse ip de mon PC Ă ...88" : je crois comprendre que tu as dĂ©fini un bail statique sur cette @IP dans ta box. Mais cela pourrait ĂȘtre une chose façon d'attribuer une @IP, l'impact de l'une ou l'autre peut ĂȘtre bien diffĂ©rent selon ... Comprends-tu ? En tout cas, pour bien comprendre ce qui se passe et pourquoi le blocage pare-feu mis en place n'est pas effectif, il faut que tu me dises aussi STP : Comment tu te connectes ? via un navigateur Web, une application client spĂ©cifique , etc ... Si c'est un navigateur Web, qu'est-ce que tu tapes prĂ©cisĂ©ment comme URL de connexion sur ton PC et/ou TĂ©l ? Si tu es gĂȘnĂš du point de vue sĂ©curitĂ©, dans ta rĂ©ponse remplace l'@IP rĂ©elle par 1.2.3.4 si c'est ton @IP externe, pour les @IP locales que tu citerais, tu peux les laisser en clair car de toutes façon elles ne sont pas joignables hors de ton rĂ©seau local et si c'est ton domaine alors remplace le par "ndd.tld". Cordialement oracle7đ 0 Citer
comess PostĂ©(e) le 19 juin 2020 Auteur PostĂ©(e) le 19 juin 2020 Bonjour Oracles7 Merci encore pour ta rĂ©ponse. Je ne le prends pas mal, jâespĂšre mĂȘme ĂȘtre plus clair. Dans l'onglet HDCP de l'interface de la livebox 5, j'ai attribuĂ© au PC et au NAS les adresses ip suivantes : respectivement 192.168.1.88 et 192.168.1.99. J'ai ensuite vĂ©rifiĂ© avec l'appli orange l'ip de chaque appareils connectĂ©s.  - Depuis un PC, je me connecte avec l'adresse http://quickconnect.to/monNom via le navigateur web firefox (ce qui me permet de changer les regles du Pare-feu)      Aussi, j'ai creer des lecteurs rĂ©seaux (un pour chaque disque) pour le travail et les transferts de fichiers. - Depuis mon mobile, lorsque je fais des tests, a l'exterieur ou depuis chez moi en reseau 4G, j'essaye de me connecter au NAS via les deux applications suivantes : DS audio et DS file. Mais aussi via l'app firefox en rentrant l'adresse quickconnect. c'est a dire http://quickconnect.to/monNom (Autre exemple : je suis connectĂ© en ce moment meme avec firefox a l'adresse https://MonNom.fr1.quickconnect.to/ depuis un bureau exterieur. ) sur l'image, les seuls rĂšgles que j'ai crĂ©Ă© pour tester le bloquage 0 Citer
oracle7 PostĂ©(e) le 21 juin 2020 PostĂ©(e) le 21 juin 2020 (modifiĂ©) @comess Bonjour, DĂ©solĂ© pour mon dĂ©lai de rĂ©ponse, j'ai pas mal d'affaires sur le feu en ce moment... En tout cas Merci, avec ta derniĂšre rĂ©ponse, c'est bien plus exploitable. Bon maintenant je crains que ton problĂšme vienne en fait de ta connexion via QuickConnecct. Je te dis cela sous toutes rĂ©serves car je n'en suis pas sĂ»r (ne pas hĂ©siter Ă me corriger au besoin). Je peux me tromper mais j'ai l'impression que la connexion via Quickconnect semble faire abstraction du paramĂ©trage du pare-feu dans le sens oĂč ton @IP de dĂ©part ne serait pas en fait celle Ă ton arrivĂ©e sur le NAS puisque cette connexion directe au NAS repose sur un VPN. Ce qui expliquerait que tu arrives Ă te connecter malgrĂ© les rĂ©glages que tu as mis en place sur celui-ci pour bloquer cette @IP de dĂ©part. A confirmer par un expert de QuickConnect. Par ailleurs, tu verras/liras partout sur ce forum que l'utilisation de QuickConnect n'est pas du tout recommandĂ©e du point de vue sĂ©curitĂ© parce que tout ton trafic (donc tes donnĂ©es) passe par les serveurs de Synology. A moins que tu ne leur fasses une totale confiance Ă ton niveau, saches que ce n'est pas le cas pour un nombre d'utilisateurs ici. Pour mĂ©moire voici un extrait du tuto sur la sĂ©curisation des accĂšs Ă©crit par un expert reconnu Ă propos de QuickConnect : Citation  Ici on va aller vite, je dĂ©conseille d'activer ce service si on tient un tant soit peu Ă la sĂ©curitĂ©. Pour informations, voici comme fonctionne QuickConnect : votre NAS Ă©tabli un tunnel OpenVPN avec un serveur tiers louĂ© par Synology (donc de fait, ils ont un accĂšs direct au NAS s'ils le souhaitent) en parallĂšle il crĂ©Ă© et met Ă jour un enregistrement DNS avec votre IP public (comme un DynDNS) lorsque vous entrez l'adresse QuickConnect de votre boitier, votre client va essayer de dĂ©terminer si vous pouvez vous connecter en direct si ce n'est pas le cas, votre trafic sera dirigĂ© sur un serveur de Synology qui se chargera de router le trafic dans le tunnel du point 1 (donc ils peuvent voir tout ce qui passe) Le rĂ©sultat est un trafic souvent trĂšs lent, relativement instable et difficile Ă maitriser. NĂ©anmoins, si vous souhaitez conserver QuickConnect, pensez Ă limiter les applications accessibles, en particulier, n'autorisez pas DSM (en pratique l'accĂšs Ă DSM on s'en fiche, ce qui est important dans un NAS ce sont les fichiers, mais bloquer l'accĂšs aux fichiers sur un NAS limite grandement son utilitĂ© ...).  A toi de voir et d'y rĂ©flĂ©chir mais une solution bien plus sĂ©curitaire pour toi serait de prendre un nom de domaine personnalisĂ© (environ 10⏠par an chez OVH par ex) et de configurer ton NAS (une fois les accĂšs sĂ©curisĂ©s) avec un serveur DNS et un reverse proxy . Les Tutos pour faire cela sont disponibles sur le forum et c'est relativement facile Ă faire. Ainsi tu pourrais de connecter en tapant simplement une URL du type "xxxxxx.mondomaine.tld" avec un "xxxxxx" correspondant Ă chacun de tes pĂ©riphĂ©riques et/ou applications/services de ton NAS. Cordialement oracle7đ  ModifiĂ© le 21 juin 2020 par oracle7 0 Citer
Juan luis PostĂ©(e) le 21 juin 2020 PostĂ©(e) le 21 juin 2020 Il y a 2 heures, oracle7 a dit :   A toi de voir et d'y rĂ©flĂ©chir mais une solution bien plus sĂ©curitaire pour toi serait de prendre un nom de domaine personnalisĂ© (environ 10⏠par an chez OVH par ex) et de configurer ton NAS (une fois les accĂšs sĂ©curisĂ©s) avec un serveur DNS et un reverse proxy . Les Tutos pour faire cela sont disponibles sur le forum et c'est relativement facile Ă faire. Ainsi tu pourrais de connecter en tapant simplement une URL du type "xxxxxx.mondomaine.tld" avec un "xxxxxx" correspondant Ă chacun de tes pĂ©riphĂ©riques et/ou applications/services de ton NAS. Cordialement oracle7đ  Bonjour oracle7, Pour ma comprĂ©hension personnelle , en quoi l'utilisation d'un nom de domaine sĂ©curiserai lâaccĂšs ? Dans mon esprit le nom de domaine n'est qu'une traduction de l'adresse IP publique. Si le trafic entrant est autorisĂ© , le nom de domaine ou adresse IP publique pourront ĂȘtre utilisĂ© indiffĂ©remment . C'est peut ĂȘtre plutĂŽt l'utilisation d'un serveur VPN qui apporterait une sĂ©curitĂ© supplĂ©mentaire . Cordialement 0 Citer
oracle7 PostĂ©(e) le 21 juin 2020 PostĂ©(e) le 21 juin 2020 @Juan luis Bonjour, Effectivement, je me suis mal exprimĂ©, dĂ©solĂ©. Ce que j'ai voulu dire en fait, c'est qu'il me paraĂźt plus pertinent d'utiliser un nom de domaine pour se connecter que d'utiliser une URL de type QuickConnect. L'usage d'un nom de domaine, sous entend aussi l'usage derriĂšre de mĂ©canismes et/ou d'outils qui sont eux mĂȘme sĂ©curisĂ©s et/ou sĂ©curisant pour la connexion. En quelque sorte c'est pour cela que je pense qu'il concoure indirectement Ă un premier niveau de sĂ©curisation et d'autant plus que l'on vient encore par dessus rajouter l'usage d'un certificat pour ce domaine afin d'en garantir l'authenticitĂ©. Un autre exemple, est l'usage d'un reverse proxy sur le NAS, qui impose de passer par une liaison sĂ©curisĂ©e HTTPS qui est elle-mĂȘme Ă©coutĂ©e sur le port 443 lui-mĂȘme sĂ©curisĂ© avant que ne soit traduit le nom de domaine et que la connexion soit redirigĂ©e au bon endroit sur le NAS ou le rĂ©seau local. C'est donc aussi cet "empilement" de sĂ©curitĂ© autour qui me fait dire (peut-ĂȘtre par erreur et/ou abus de langage) qu'un nom de domaine est sĂ©curisant mĂȘme si, et j'en conviens volontiers, le terme est un peu fort, mal adaptĂ© ou pas le bon tout simplement. Maintenant tu as raison pour verrouiller complĂ©tement les choses la meilleure solution c'est d'utiliser un VPN pour sĂ©curiser la connexion. Cordialement oracle7đ   0 Citer
comess PostĂ©(e) le 22 juin 2020 Auteur PostĂ©(e) le 22 juin 2020 (modifiĂ©) Bonjour, Aucun problĂšme pour l'attente, je te remercie pour ton aide. Du point de vue sĂ©curitĂ©, je leur fait confiance (tous mes fichiers sont perso et "peu" importants). C'est pourquoi je ne me suis jamais penchĂ© sur la facon dont je pourrais me passer de quickconnect. Si je maitrisais le jargon, je me serais dĂ©jĂ lancĂ©. - Je vais primo contacter le service technique de syno pour leur demander si c'est normal que quickconnect outrepasse le parefeu (passage par OpenVPN pour la connexion de syno a mon NAS) puis revenir ici pour donner l'information. - si c'est normal, je me pencherai sur la solution que tu m'as donnĂ©, c'est a dire, si j'ai bien compris : crĂ©ation d'un nom de domaine (pour un acces externe constant a ma box quelle quel que soit son ip) setup d'un reverse-proxy (je ne sais pas encoce ce que sais, mais je me renseignerai) Est ce que ces deux seules etapes, a l'usage, ne changerai en rien ma maniĂšre d'utiliser le NAS ? avec lâavantage de ne pas passer par les serveurs syno. Mon utilisation Ă©tant principalement depuis lâextĂ©rieur de charger / telecharger depuis filestation par firefox et par l'appli android DS file, sauvegarde de photos avec moments et de mon domicile utilisation de videostation, et accĂšs direct via un lecteur connectĂ© principalement. Je prĂ©cise aussi que mon but et d'ajouter un vpn a la connexion de mon syno (nordvpn pour etre precis), j'ai crĂ©Ă© ce topic afin de maĂźtriser dĂ©jĂ la simple utilisation de rĂ©gles dans le parefeu avant d'ajouter une seconde couche avec un vpn. ModifiĂ© le 22 juin 2020 par comess 0 Citer
oracle7 PostĂ©(e) le 22 juin 2020 PostĂ©(e) le 22 juin 2020 @comess Bonjour, il y a une heure, comess a dit : j'ai crĂ©Ă© ce topic afin de maĂźtriser dĂ©jĂ la simple utilisation de rĂ©gles dans le parefeu avant d'ajouter une seconde couche avec un vpn Pour activer un VPN sur ton NAS (pour sĂ©curiser les connexions de l'extĂ©rieur vers le NAS et ton rĂ©seau local), il est impĂ©ratif que tu commences dĂ©jĂ par sĂ©curiser les accĂšs "normaux" Ă ton NAS (voir le tuto idoine). Ensuite seulement, tu prolongeras cela avec un l'utilisation d'un nom de domaine associĂ©e Ă un serveur DNS et un reverse proxy ainsi ton utilisation du NAS sera grandement facilitĂ©. Le seul changement Ă tes habitudes rĂ©sidera uniquement dans une plus grande simplicitĂ© de ta façon de te connecter. De plus, toutes tes connexions seront vraiment sĂ©curisĂ©es. Par ailleurs, ces conditions Ă©tant remplies, la mise en place d'un VPN de type NordVPN pour sĂ©curiser les connexions depuis ton NAS et/ou ton rĂ©seau local vers l'extĂ©rieur ne sera qu'un jeu d'enfant. Je ne peux que te conseiller de lire tranquillement dĂ©jĂ tous les tutos correspondants Ă ces fonctions pour bien en apprĂ©hender et maitriser le jargon des notions mises en oeuvre et tout cela complĂ©tĂ© par une recherche personnelle sur la toile pour de plus amples dĂ©tails. Et lĂ tu seras bien armĂ© pour installer de façon sereine ces fonctions sur ton NAS. Cela te demandera certes un petit effort et investissement personnel, mais crois moi le jeu en vaut la chandelle car tu va ainsi dĂ©couvrir d'autres facettes et possibilitĂ©s offertes par ton NAS que tu n'imagines peut ĂȘtre mĂȘme pas aujourd'hui ... Bonne lecture et n'hĂ©sites pas Ă revenir poser tes questions ici, il y aura toujours un membre pour te rĂ©pondre đ Cordialement oracle7đ 0 Citer
Juan luis PostĂ©(e) le 22 juin 2020 PostĂ©(e) le 22 juin 2020 Bonjour,  Il y a Ă©galement un Ă©lĂ©ment qui me chagrine dans vos solutions , c'est le mode de fonctionnement du NAS. Je ne laisserai jamais mon NAS fonctionner 24/24 pendant lâĂ©tĂ© surtout si je suis absent . Bien sĂ»r c'est un surcout mais , je pense qu'il vaut mieux confier les taches d'accĂšs distant, de gestion de VPN, de FW Ă un routeur qui supportera mieux le 24/24. Cordialement 0 Citer
oracle7 PostĂ©(e) le 22 juin 2020 PostĂ©(e) le 22 juin 2020 (modifiĂ©) @Juan luis Il y a 4 heures, Juan luis a dit : je pense qu'il vaut mieux confier les taches d'accĂšs distant, de gestion de VPN, de FW Ă un routeur qui supportera mieux le 24/24. C'est sĂ»r que mettre en place un routeur pour faire ce travail est une trĂšs bonne chose en soi (indĂ©pendamment du coĂ»t d'investissement), il peut mĂȘme supplĂ©er la box en faisant encore mieux le travail dĂ©volu habituellement Ă celle-ci et ce avec bien plus de fonctions de paramĂ©trage qu'elle, offrant ainsi une plus grande souplesse d'utilisation. Cela dit, n'oublies pas qu'un NAS est conçu pour fonctionner h24. Si tu l'arrĂȘtes, tu n'auras plus accĂšs Ă tes donnĂ©es et autres fonctionnalitĂ©s bien utiles comme par exemple la surveillance vidĂ©o de ta maison justement lorsque tu es absent, ce qui apporterait des preuves aux autoritĂ©s les cas Ă©chĂ©ants. Mais c'est toi qui vois ... et puis on s'Ă©carte du sujet initial et du problĂšme de @Comess. Cordialement oracle7đ ModifiĂ© le 22 juin 2020 par oracle7 0 Citer
comess PostĂ©(e) le 30 juin 2020 Auteur PostĂ©(e) le 30 juin 2020 (modifiĂ©) Bonjour a tous, Je reviens avec la rĂ©ponse de synology : Citation  Dear customer, Thank you for contacting Synology Technical Support. I would recommend you to disable QuickConnect if you don't want external connections to use it. QuickConnect uses hole-Punching feature and cannot be disabled unless you disable QuickConnect. With Hole-Punching, you might still use mobile apps to access DS even you set the firewall to block the IP. (Hole-Punching - DS will initiate the connection first to let Hole-Punching work.) As you said, the connection goes to the Synology servers first and then to the NAS, I would recommend you to disable it and use DDNS (you can block this one externally). I'm sorry for the inconveniences and I hope this information helps. Best Regards,  Donc, je comprends ici que la raison pour laquelle mon parefeu ne bloquait rien etait bien le quickconnect. J'ai donc depuis ces deux dernieres semaines mis en place ce que tu m'as prĂ©conisĂ©. c'est a dire, nom de domaine et reverse proxy ! ( merci aux crĂ©ateurs de tutos, ils m'on beaucoup aidĂ©, sans citer Fenrir, unPixel et d'autres) Ca m'a prit beaucoup de temps et pas mal d'arrachage de cheveux. MAIS, je suis arrivĂ© a un truc qui marche et j'ai pu enlever quickconnect et le parefeu bloque quand je lui demande de bloquer ! Donc le problĂšme est rĂ©solu ! Pour prĂ©ciser, il y a plein de notions que je ne maitrisent pas (exemple, regler les connexion HTTP et HTTPS, les sous domaines et j'en passe). J'abadonne la mise en place du VPN egalement, j'ai essayĂ© avec grand mal de suivre et de comprendre mais sans succes (tout un nouveau monde d'ip, et pas de killswitch ?). Je me remmettrai un jour dessus quand j'aurai beaucoup de temps ou qqn sur place avec les connaissances requises. En tout cas, merci oracle de ta patiente đ ModifiĂ© le 1 juillet 2020 par comess 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.