Parefeu euh ?

[comess]

Bonjour, 🙂

Probleme super simple.
Il ne devrait pas en avoir selon moi. mais comme il est bien la. quelque chose d’évident doit m’échapper :

Je bloque la connexion de l'ip 77.XXX.XXX.XXX (mon telephone pour le test hors wifi...)
j'autorise ma connexion local (mon pc)
Je bloque toutes les autres

Et aucune reaction ; je me connecte sans bloquage.
J'ai essayé les meme regles avec LAN1 en cochant refus a la fin

ai-je oublié quelque chose d'essentiel ?

En vous remericiant

 

 

[oracle7]

@comess

Bonjour,

Pourrais-tu STP préciser quelques points pour bien comprendre le contexte :

• As-tu un serveur DHCP d'activé et sur quoi ? ton NAS ou ta box ?
• L'@IP de ton PC est-elle fixe via un bail DHCP sur ta box ou l'as-tu fixée directement sur l'adaptateur réseau de ton PC (paramètres carte réseau) ?
• Est-tu sûr que l'@IP de ton téléphone n'a pas changé entre temps ?

Par ailleurs, j'espère que ton pare-feu ne reste pas dans cet configuration (copie d'écran) en fonctionnement normal. Je ne peux que trop t'inviter à lire et à suivre le Tutoriel "[TUTO] Sécuriser les accès à son nas" sur le présent forum.

Cordialement

oracle7😉

 

[comess]

Bonjour Oravle7 et merci !

Alors non, je ne laisse pas le pare feu comme ca, j'ai tout enlever pour verifier que ca marche bein ! Je te remercie du lien que tu m'as donné, les regles sont quand meme plus 'dur' que ce que j'avais. (je le suivrais apres ca !)

- j'ai paramétré l'ip du NAS par la livebox, j'ai donc dans ma Network Interface 'Get Network config auto DHCP'
- je n'ai pas acces a l'ordi ici, mais je n'ai rien parametré coté ip. en revanche, le verifie souvent si c'est toujours la meme (fini par .28)
- pour le telephone, je suis sur, mon log center me donnant l'ip de la connexion que j'ai bien bloqué.

Je suis relativement novice, et n'ai pas a l'abris d'avoir fait quelque chose d’étrange. meme si en theorie, je ne suis pas du genre a cliquer quelque part sans comprendre pourquoi.

[oracle7]

@comess

Ok donc tu es en DHCP sur la Livebox. Donc, c'est elle qui défini automatiquement l'@IP de ton PC, de ton NAS et de tous tes autres périphériques (bien évidemment s'ils sont configurés aussi en DHCP automatique comme ton PC).

• Alors en allant dans l'interface d'administration de la LB, dans "Mes équipements connectés" peux-tu regarder quelle @IP est affectée actuellement à ton PC ?
  Est-ce 192.168.1.28 ou pas ?
• Par ailleurs, dans ce cas il serait quand bien de figer au moins l'@IP de ton NAS par un bail statique dans la LB (dans Réseau / DHCP). Au moins tu seras ainsi sûr que ton NAS sera lui toujours à la même adresse et t'évitera ainsi des désagréments si par ex un reboot de la LB intervenait pour X raisons. En effet à cause du DHCP il pourrait y avoir une réaffectation totale ou partielle des @IP de tes périphériques.

Cordialement

oracle7😉

[comess]

Encore merci Oracle7

- je travail en ce moment, je ne peux pas vérifier l'adresse du PC.

- ca a ete fait pour le NAS, j'ai fixé son ip local a 192.168.1.99 via la LB. pour eviter des soucis comme tu dis pendant un redémarrage (et pour utiliser un WOL car le NAS est rangé dans un caisson)

[oracle7]

@comess

Je ne te dérange pas plus alors, on en reparle plus tard si tu as des questions ...

Cordialement

oracle7😉

[comess]

Bonjour Oracle7 !
Pardon, c'est plutot moi qui te dérange ! 🙄

Je suis rentré et ai fixé l'adresse ip de mon PC à ...88, c'elle de mon NAS à ...99. Le tout par la LB menu DHCP.

J'ai enlevé toutes les règles à nouveau. Puis j'ai ajouté dans cet ordre dans LAN 1 seulement ( LAN 2 étant déco ) :

Port:tous    Protocole:tous    IP:...88    Accepter
Port:tous    Protocole:tous    IP:tous    Refuser
puis, si aucune regle n'est remplie, refuser l'accès.

eeet... je peux me connecter avec mon telephone sans problème (via firefox ou DSaudio), il m'affiche bien dans le journal de connexion, login success avec l'ip du mobile.

ca devrait fonctionner mon blocage non ? ( parefeu activé étant bien coché 🙂 )

 

[oracle7]

@comess

Ne le prends pas mal mais ce serait bien que tu sois STP plus explicite dans tes réponses car il faut deviner ce qui se cache derrière et cela ne facilite pas les choses pour t'aider. Par ex tu dis "ai fixé l'adresse ip de mon PC à ...88" : je crois comprendre que tu as défini un bail statique sur cette @IP dans ta box. Mais cela pourrait être une chose façon d'attribuer une @IP, l'impact de l'une ou l'autre peut être bien différent selon ... Comprends-tu ?

En tout cas, pour bien comprendre ce qui se passe et pourquoi le blocage pare-feu mis en place n'est pas effectif, il faut que tu me dises aussi STP :

• Comment tu te connectes ? via un navigateur Web, une application client spécifique , etc ...
• Si c'est un navigateur Web, qu'est-ce que tu tapes précisément comme URL de connexion sur ton PC et/ou Tél ?
  Si tu es gênè du point de vue sécurité, dans ta réponse remplace l'@IP réelle par 1.2.3.4 si c'est ton @IP externe, pour les @IP locales que tu citerais, tu peux les laisser en clair car de toutes façon elles ne sont pas joignables hors de ton réseau local et si c'est ton domaine alors remplace le par "ndd.tld".

Cordialement

oracle7😉

[comess]

Bonjour Oracles7

Merci encore pour ta réponse. Je ne le prends pas mal, j’espère même être plus clair.

Dans l'onglet HDCP de l'interface de la livebox 5, j'ai attribué au PC et au NAS les adresses ip suivantes : respectivement 192.168.1.88 et 192.168.1.99.
J'ai ensuite vérifié avec l'appli orange l'ip de chaque appareils connectés.

 

- Depuis un PC, je me connecte avec l'adresse http://quickconnect.to/monNom via le navigateur web firefox (ce qui me permet de changer les regles du Pare-feu)
      Aussi, j'ai creer des lecteurs réseaux (un pour chaque disque) pour le travail et les transferts de fichiers.

- Depuis mon mobile, lorsque je fais des tests, a l'exterieur ou depuis chez moi en reseau 4G, j'essaye de me connecter au NAS via les deux applications suivantes : DS audio et DS file. Mais aussi via l'app firefox en rentrant l'adresse quickconnect. c'est a dire http://quickconnect.to/monNom

(Autre exemple : je suis connecté en ce moment meme avec firefox a l'adresse https://MonNom.fr1.quickconnect.to/ depuis un bureau exterieur. )

sur l'image, les seuls règles que j'ai créé pour tester le bloquage

[oracle7]

@comess

Bonjour,

Désolé pour mon délai de réponse, j'ai pas mal d'affaires sur le feu en ce moment...

En tout cas Merci, avec ta dernière réponse, c'est bien plus exploitable.

Bon maintenant je crains que ton problème vienne en fait de ta connexion via QuickConnecct. Je te dis cela sous toutes réserves car je n'en suis pas sûr (ne pas hésiter à me corriger au besoin). Je peux me tromper mais j'ai l'impression que la connexion via Quickconnect semble faire abstraction du paramétrage du pare-feu dans le sens où ton @IP de départ ne serait pas en fait celle à ton arrivée sur le NAS puisque cette connexion directe au NAS repose sur un VPN. Ce qui expliquerait que tu arrives à te connecter malgré les réglages que tu as mis en place sur celui-ci pour bloquer cette @IP de départ. A confirmer par un expert de QuickConnect.

Par ailleurs, tu verras/liras partout sur ce forum que l'utilisation de QuickConnect n'est pas du tout recommandée du point de vue sécurité parce que tout ton trafic (donc tes données) passe par les serveurs de Synology. A moins que tu ne leur fasses une totale confiance à ton niveau, saches que ce n'est pas le cas pour un nombre d'utilisateurs ici.

Pour mémoire voici un extrait du tuto sur la sécurisation des accès écrit par un expert reconnu à propos de QuickConnect :

Citation

 

Ici on va aller vite, je déconseille d'activer ce service si on tient un tant soit peu à la sécurité.

Pour informations, voici comme fonctionne QuickConnect :

1. votre NAS établi un tunnel OpenVPN avec un serveur tiers loué par Synology (donc de fait, ils ont un accès direct au NAS s'ils le souhaitent)
2. en parallèle il créé et met à jour un enregistrement DNS avec votre IP public (comme un DynDNS)
3. lorsque vous entrez l'adresse QuickConnect de votre boitier, votre client va essayer de déterminer si vous pouvez vous connecter en direct
4. si ce n'est pas le cas, votre trafic sera dirigé sur un serveur de Synology qui se chargera de router le trafic dans le tunnel du point 1 (donc ils peuvent voir tout ce qui passe)

Le résultat est un trafic souvent très lent, relativement instable et difficile à maitriser.

Néanmoins, si vous souhaitez conserver QuickConnect, pensez à limiter les applications accessibles, en particulier, n'autorisez pas DSM (en pratique l'accès à DSM on s'en fiche, ce qui est important dans un NAS ce sont les fichiers, mais bloquer l'accès aux fichiers sur un NAS limite grandement son utilité ...).

 

A toi de voir et d'y réfléchir mais une solution bien plus sécuritaire pour toi serait de prendre un nom de domaine personnalisé (environ 10€ par an chez OVH par ex) et de configurer ton NAS (une fois les accès sécurisés) avec un serveur DNS et un reverse proxy . Les Tutos pour faire cela sont disponibles sur le forum et c'est relativement facile à faire. Ainsi tu pourrais de connecter en tapant simplement une URL du type "xxxxxx.mondomaine.tld" avec un "xxxxxx" correspondant à chacun de tes périphériques et/ou applications/services de ton NAS.

Cordialement

oracle7😀

 

Modifié le 21 juin 2020 par oracle7

[Juan luis]

Il y a 2 heures, oracle7 a dit :

 

 

A toi de voir et d'y réfléchir mais une solution bien plus sécuritaire pour toi serait de prendre un nom de domaine personnalisé (environ 10€ par an chez OVH par ex) et de configurer ton NAS (une fois les accès sécurisés) avec un serveur DNS et un reverse proxy . Les Tutos pour faire cela sont disponibles sur le forum et c'est relativement facile à faire. Ainsi tu pourrais de connecter en tapant simplement une URL du type "xxxxxx.mondomaine.tld" avec un "xxxxxx" correspondant à chacun de tes périphériques et/ou applications/services de ton NAS.

Cordialement

oracle7😀

 

Bonjour oracle7,

Pour ma compréhension personnelle , en quoi l'utilisation d'un nom de domaine sécuriserai l’accès ? Dans mon esprit le nom de domaine n'est qu'une traduction de l'adresse IP publique.

Si le trafic entrant est autorisé , le nom de domaine ou adresse IP publique  pourront être utilisé indifféremment .

C'est peut être plutôt l'utilisation d'un serveur VPN qui apporterait une sécurité supplémentaire .

Cordialement

[oracle7]

@Juan luis

Bonjour,

Effectivement, je me suis mal exprimé, désolé. Ce que j'ai voulu dire en fait, c'est qu'il me paraît plus pertinent d'utiliser un nom de domaine pour se connecter que d'utiliser une URL de type QuickConnect.

L'usage d'un nom de domaine, sous entend aussi l'usage derrière de mécanismes et/ou d'outils qui sont eux même sécurisés et/ou sécurisant pour la connexion. En quelque sorte c'est pour cela que je pense qu'il concoure indirectement à un premier niveau de sécurisation et d'autant plus que l'on vient encore par dessus rajouter l'usage d'un certificat pour ce domaine afin d'en garantir l'authenticité.

Un autre exemple, est l'usage d'un reverse proxy sur le NAS, qui impose de passer par une liaison sécurisée HTTPS qui est elle-même écoutée sur le port 443 lui-même sécurisé avant que ne soit traduit le nom de domaine et que la connexion soit redirigée au bon endroit sur le NAS ou le réseau local.

C'est donc aussi cet "empilement" de sécurité autour qui me fait dire (peut-être par erreur et/ou abus de langage) qu'un nom de domaine est sécurisant même si,  et j'en conviens volontiers, le terme est un peu fort, mal adapté ou pas le bon tout simplement.

Maintenant tu as raison pour verrouiller complétement les choses la meilleure solution c'est d'utiliser un VPN pour sécuriser la connexion.

Cordialement

oracle7😉

 

 

[comess]

Bonjour,
Aucun problème pour l'attente, je te remercie pour ton aide.

Du point de vue sécurité, je leur fait confiance (tous mes fichiers sont perso et "peu" importants). C'est pourquoi je ne me suis jamais penché sur la facon dont je pourrais me passer de quickconnect. Si je maitrisais le jargon, je me serais déjà lancé.

- Je vais primo contacter le service technique de syno pour leur demander si c'est normal que quickconnect outrepasse le parefeu (passage par OpenVPN pour la connexion de syno a mon NAS) puis revenir ici pour donner l'information.
- si c'est normal, je me pencherai sur la solution que tu m'as donné, c'est a dire, si j'ai bien compris :

1. création d'un nom de domaine (pour un acces externe constant a ma box quelle quel que soit son ip)
2. setup d'un reverse-proxy (je ne sais pas encoce ce que sais, mais je me renseignerai)

Est ce que ces deux seules etapes, a l'usage, ne changerai en rien ma manière d'utiliser le NAS ? avec l’avantage de ne pas passer par les serveurs syno.
Mon utilisation étant principalement depuis l’extérieur de charger / telecharger depuis filestation par firefox et par l'appli android DS file, sauvegarde de photos avec moments et de mon domicile utilisation de videostation, et accès direct via un lecteur connecté principalement.


Je précise aussi que mon but et d'ajouter un vpn a la connexion de mon syno (nordvpn pour etre precis), j'ai créé ce topic afin de maîtriser déjà la simple utilisation de régles dans le parefeu avant d'ajouter une seconde couche avec un vpn.

Modifié le 22 juin 2020 par comess

[oracle7]

@comess

Bonjour,

il y a une heure, comess a dit :

j'ai créé ce topic afin de maîtriser déjà la simple utilisation de régles dans le parefeu avant d'ajouter une seconde couche avec un vpn

Pour activer un VPN sur ton NAS (pour sécuriser les connexions de l'extérieur vers le NAS et ton réseau local), il est impératif que tu commences déjà par sécuriser les accès "normaux" à ton NAS (voir le tuto idoine). Ensuite seulement, tu prolongeras cela avec un l'utilisation d'un nom de domaine associée à un serveur DNS et un reverse proxy ainsi ton utilisation du NAS sera grandement facilité. Le seul changement à tes habitudes résidera uniquement dans une plus grande simplicité de ta façon de te connecter. De plus, toutes tes connexions seront vraiment sécurisées. Par ailleurs, ces conditions étant remplies, la mise en place d'un VPN de type NordVPN pour sécuriser les connexions depuis ton NAS et/ou ton réseau local vers l'extérieur ne sera qu'un jeu d'enfant.

Je ne peux que te conseiller de lire tranquillement déjà tous les tutos correspondants à ces fonctions pour bien en appréhender et maitriser le jargon des notions mises en oeuvre et tout cela complété par une recherche personnelle sur la toile pour de plus amples détails. Et là tu seras bien armé pour installer de façon sereine ces fonctions sur ton NAS. Cela te demandera certes un petit effort et investissement personnel, mais crois moi le jeu en vaut la chandelle car tu va ainsi découvrir d'autres facettes et possibilités offertes par ton NAS que tu n'imagines peut être même pas aujourd'hui ...

Bonne lecture et n'hésites pas à revenir poser tes questions ici, il y aura toujours un membre pour te répondre 😀

Cordialement

oracle7😀

[Juan luis]

Bonjour,

 

Il y a également un élément  qui me chagrine dans vos solutions , c'est le mode de fonctionnement du NAS.

Je ne laisserai jamais  mon NAS fonctionner 24/24  pendant l’été surtout si je suis absent .

Bien sûr c'est un surcout mais , je pense qu'il vaut mieux confier les taches d'accès distant, de gestion de  VPN, de FW à un routeur qui supportera mieux le 24/24.

Cordialement

[oracle7]

@Juan luis

Il y a 4 heures, Juan luis a dit :

je pense qu'il vaut mieux confier les taches d'accès distant, de gestion de  VPN, de FW à un routeur qui supportera mieux le 24/24.

C'est sûr que mettre en place un routeur pour faire ce travail est une très bonne chose en soi (indépendamment du coût d'investissement), il peut même suppléer la box en faisant encore mieux le travail dévolu habituellement à celle-ci et ce avec bien plus de fonctions de paramétrage qu'elle,  offrant ainsi une plus grande souplesse d'utilisation.

Cela dit, n'oublies pas qu'un NAS est conçu pour fonctionner h24. Si tu l'arrêtes, tu n'auras plus accès à tes données et autres fonctionnalités bien utiles comme par exemple la surveillance vidéo de ta maison justement lorsque tu es absent, ce qui apporterait des preuves aux autorités les cas échéants.

Mais c'est toi qui vois ... et puis on s'écarte du sujet initial et du problème de @Comess.

Cordialement

oracle7😉

Modifié le 22 juin 2020 par oracle7

[comess]

Bonjour a tous,

Je reviens avec la réponse de synology :

Citation

 

Dear customer,

Thank you for contacting Synology Technical Support.

I would recommend you to disable QuickConnect if you don't want external connections to use it.

QuickConnect uses hole-Punching feature and cannot be disabled unless you disable QuickConnect.

With Hole-Punching, you might still use mobile apps to access DS even you set the firewall to block the IP.
(Hole-Punching - DS will initiate the connection first to let Hole-Punching work.)

As you said, the connection goes to the Synology servers first and then to the NAS, I would recommend you to disable it and use DDNS (you can block this one externally).

I'm sorry for the inconveniences and I hope this information helps.

Best Regards,

 

Donc, je comprends ici que la raison pour laquelle mon parefeu ne bloquait rien etait bien le quickconnect.


J'ai donc depuis ces deux dernieres semaines mis en place ce que tu m'as préconisé. c'est a dire, nom de domaine et reverse proxy ! ( merci aux créateurs de tutos, ils m'on beaucoup aidé, sans citer Fenrir, unPixel et d'autres)
Ca m'a prit beaucoup de temps et pas mal d'arrachage de cheveux. MAIS, je suis arrivé a un truc qui marche et j'ai pu enlever quickconnect et le parefeu bloque quand je lui demande de bloquer !

Donc le problème est résolu !

Pour préciser, il y a plein de notions que je ne maitrisent pas (exemple, regler les connexion HTTP et HTTPS, les sous domaines et j'en passe). J'abadonne la mise en place du VPN egalement, j'ai essayé avec grand mal de suivre et de comprendre mais sans succes (tout un nouveau monde d'ip, et pas de killswitch ?). Je me remmettrai un jour dessus quand j'aurai beaucoup de temps ou qqn sur place avec les connaissances requises. En tout cas, merci oracle de ta patiente 🙂

Modifié le 1 juillet 2020 par comess