Fanny Mae Posté(e) le 20 août 2020 Posté(e) le 20 août 2020 (modifié) Bonjour à tous, Après une installation *de base* (pour certains 😉), j'arrive dans le vif du sujet mais je souhaite juste vos avis pour l'instant avant de continuer. Je rappelle que les termes informatiques sont comme une langue étrangère pour moi, donc merci de votre aide à tous. Je reprends pour être claire sur ce que j'ai fait avant de partir plus avant et j'en profite pour donner l'environnement dans lequel se trouve mon jouet, ça pourra peut-être m'aider et vous donner des indications si vous voyez un bug dans mes essais de configuration. Je suis reliée à internet avec une Freebox mini4k. Après la lecture du tuto "sécuriser son nas - fenrir" et d'autres explications, j'ai corrigé une grosse erreur. Merci Tuto-fenrir ! Ça me donne la config suivante : J'ai un routeur branché derrière la Freebox mais j'avais laissé la Freebox aussi en routeur... erreur parce que je ne savais pas. (en fait ça marche-marchait donc je ne sais pas quelle catastrophe ça peut ou aurait pu causer !?) J'ai barré en rouge tout ce qui est inactif dès que je suis passée en mode "bridge" (Free m'indique que ça ne marche pas dans ce mode, DNS VPN DHCP etc.). Après j'ai barré aussi les freeplugs parce que j'en ai pas (ça doit être du CPL-like je pense). Du coup, j'ai dans la configuration de la freebox pour ipv6 : est-ce que je dois laisser le firewall ? je n'ai que ce choix, il n'y a rien en ipv4 classique... la gestion des ports : rien d'écrit pour l'instant et je pense que je devrais tout écrire dans le routeur netgear si j'ai bien compris. Par exemple, j'ai déjà écrit les ports que fenrir a expliqué dans le tuto sécuriser son nas. et il n'y a pas de DMZ non plus d'activée. le mode réseau : je suis bien en bridge et dans la partie switch, on ne voit que mon routeur qui est branché dessus, c'est marqué switch mais c'est pourtant un routeur (?) donc après se trouve, branché sur la Freebox, le routeur netgear, les menus sont nombreux 😭 là, automatique par le routeur / mon adresse ip qui est vu d'internet (d'ailleurs j'ai renseigné certains champs dans le tuto "sécuriser son nas" avec cette adresse) l'état complet me donne l'IP DHCP identique à l'IP de la passerelle par défaut (c'est normal ?) - tout s'est fait automatiquement avec les bons IP DNS de Free. j'ai réglé le NTP sur l'adresse donné dans le tuto sécu, j'ai le même pour le NAS du coup, la fameuse horloge de temps... et enfin je n'ai rien touché aux paramètres WAN et LAN (pas de DMZ, pas de ping, pas d'adresse IP Fixe pour le NAS, ...) : SIP ALG bien désactivé par défaut est-ce que je dois figer une adresse IP pour le NAS dans la plage 2 à 254 ? dans les tuto, ça semble pas nécessaire et d'autres fois oui... d'après ce que j'ai compris si j'ai un nom plutôt qu'une adresse IP, je vais le retrouver sans problème. derrière ce routeur netgear j'ai branché un switch de la même marque (netgear) parce que j'ai pas mal d'équipements et qu'il n'y avait pas assez de RJ 45 disponibles (il pourrait prévoir plus de RJ, c'est pas ce qui coûte le plus cher ! 💣😤) je ne peux que paramètrer des vitesses ou indiquer des ip avec ce switch mais je n'ai rien toucher pour l'instant et ça marche... Donc j'en suis là après qqs jours de décryptage de vocabulaire et autre. Mon objectif est d'accéder au NAS depuis n'importe où pour consulter des fichiers (documentations, presse, e-books... pas de films ou de photos pour le moment 😜) Il n'y a que FileStation d'installer pour les consulter actuellement, comme un explorateur finalement. Donc mes étapes suivantes : 1. Je me prépare à installer les paquets DNS SERVER / DNS VPN et à lire les tutos correspondants. (j'ai aussi vu le tuto reverse proxy mais là, pour l'instant, c'est du 횡설수설하고 이해할 수없는 전문 용어, ... 🤣 mais s'il faut s'y coller pas de problème) 2. J'ai prévu l'achat d'un nom de domaine à 2,5€ chez OVH Est-ce que je dois faire autre chose ? Modifier déjà des détails dans ce que j'ai fait ? Aujourd'hui j'ai accès au NAS depuis n'importe quel système dans la maison : sous Linux, Windows et Mac. Il est vu sur tout le réseau local. Sous Linux (c'est la machine avec laquelle je travaille le plus), j'ai un comportement bizarre, il est vu 2 fois et je ne sais pas pourquoi. Un lien est accessible et l'autre pas. Est-ce que ce serait parce que le NAS 718+ possède 2 RJ 45 ? Merci à tous pour vos conseils et remarques. Très bonne journée et à bientôt. 😊 Modifié le 20 août 2020 par Fanny Mae 0 Citer
DaffY Posté(e) le 20 août 2020 Posté(e) le 20 août 2020 Bonjour,Impressionnant rapport...Heureusement que tout le monde ne « verbose » pas autant.En tout cas c’est très clair et précis.Comme y’a du monde pour répondre j’en prend juste une (question) concernant l’ip du NAS.L’ip du NAS doit être fixée. Mais elle peut l’être via l’admin du NAS ou via un bail réservé par l’appareil (ici le routeur) qui fait office de serveur DHCP.avantage du bail, en cas de changement de routeur ou d’autre élément du réseau local, le NAS demeure toujours accessible dans le réseau.Selon les menus/options de l’admin de ton routeur on parle de bail ou de réservation d’ip, voir d’ip fixe...Pourquoi fixer l’ip du NAS ?Parce que par la suite, les routes précisées tiendront compte de cette adresse. Autant qu’elle ne varie pas.Bon courage pour la suite, mais cela semble bien en route. 0 Citer
oracle7 Posté(e) le 20 août 2020 Posté(e) le 20 août 2020 (modifié) @Fanny Mae Bonjour, Bravo, enfin quelqu'un qui dit ce qu'il a fait, c'est à mon sens très bien. Pas de jeu de piste à faire pour indiquer une solution. 😀 Il y a 4 heures, Fanny Mae a dit : est-ce que je dois figer une adresse IP pour le NAS dans la plage 2 à 254 ? Figer une @IP fixe (bail DHCP) pour le le NAS : OUI c'est même "impératif" pour les raisons invoquées par @DaffY précédemment. Maintenant, je te conseillerais de fixer la plage d'@IP du DHCP à par ex : 2 à 150. De cette façon tous tes équipements (NAS, Caméras, Imprimante, etc) qui auront besoin d'une @IP fixe auront via le routeur (pas la box !) un bail DHCP (une @IP fixe) dans cette plage. Tous les autres équipements (nomades, invités, etc) se verront eux attribués automatiquement par le DHCP du routeur une @IP dans la plage 151 à 254. Je ne connais pas la box Free mais il y a de fortes chances pour qu'il faille maintenir son DHCP actif pour le cas où tu aurais un décodeur TV connecté à celle-ci (c'est le cas avec les box Orange). A te faire confirmer ! Il y a 4 heures, Fanny Mae a dit : la gestion des ports : rien d'écrit pour l'instant et je pense que je devrais tout écrire dans le routeur netgear si j'ai bien compris OUI. Il n'y a que les ports 80 et 443 à transférer (NAT/PAT) de la Box vers le routeur. En gros la Box en est DMZ/Bridge (ie transparente aux flux) et c'est le routeur qui doit faire tout le travail de sécurisation à sa place. Tu auras par exemple un réseau du style : Internet -------- 1.2.3.4 BOX 192.168.1.1 --------- 192.168.1.2 ROUTEUR 192.168.2.1 ----------Switch------------192.168.2.x Périphériques ( NAS, Caméras, Imprimantes, PC/Mac, etc) Il y a 4 heures, Fanny Mae a dit : Donc mes étapes suivantes : Laisse tomber pour l'instant le serveur VPN, attends que tous le reste fonctionne parfaitement avant de te lancer dans ce truc. Donc : Prendre un domaine et le configurer : si tu as une @IP externe dynamique alors fixer le DynDNS/DDNS pour qu'à chaque changement de celle-ci ton domaine soit automatiquement mis à jour et pointe toujours sur celle-ci - dans ce cas il faut saisir une étoile "*" dans les champs "sous-domaine" lors de la configuration du DynDNS). Vu que tu es sur Free tu peux aussi demander via l'interface de la box d'avoir une @IP "full stack" donc une @IP fixe ce qui est nettement mieux pour la suite (dans ce cas, pas de DynDNS/DDNS à configurer). Configurer la zone DNS de ton domaine "ndd.tld" en réglant correctement un enregistrement "A" pointant sur ton @IPfixe et un enregistrement "CNAME" pour chacun de tes sous domaines "xxxxx.ndd.tld" pointant vers ton domaine "ndd.tld". (si tu as une @IP dynamique : pas d'enregistrement "A" à configurer mais juste un "CNAME" pour ton domaine "ndd.tld" pointant vers ton DynDNS). Configurer le serveur DNS sur le NAS. Obtenir un certificat wilcard LetsEncrypt pour ton domaine "ndd.tld". (voir mon TUTO) Configurer le reverse proxy pour accéder avec des simples "xxxxx.ndd.tld" à tes applications/services du NAS. Déjà quand tout cela sera en place ce sera déjà pas mal. Tu auras bien avancé. Je ne te cache pas que cela va te faire faire beaucoup de manipulations mais avec un minimum de méthode et surtout d'attention tu devrais y arriver sans problèmes. Sinon tu connais le truc de poser ici les question qui vont bien ... Il y a 4 heures, Fanny Mae a dit : Sous Linux (c'est la machine avec laquelle je travaille le plus), j'ai un comportement bizarre, il est vu 2 fois et je ne sais pas pourquoi. Un lien est accessible et l'autre pas. Est-ce que ce serait parce que le NAS 718+ possède 2 RJ 45 ? Sous Linux je ne sais pas mais sous Windows c'est normal : Dans un premier cas, c'est le "Périphérique médias NAS" (client DLNA) qui te répond, et il ne voit que les trois répertoire DLNA standard (music, video et photo)... Dans le deuxième cas, c'est "l'ordinateur NAS" qui répond, et tu vois tes répertoires partagés. Bon courage. Cordialement oracle7😉 Modifié le 20 août 2020 par oracle7 0 Citer
PiwiLAbruti Posté(e) le 20 août 2020 Posté(e) le 20 août 2020 il y a 40 minutes, oracle7 a dit : Internet -------- 1.2.3.4 BOX 192.168.1.1 --------- 192.168.1.2 ROUTEUR 192.168.2.1 ----------Switch------------192.168.2.x Périphériques ( NAS, Caméras, Imprimantes, PC/Mac, etc) Pour coller au plus près de la réalité, le schéma actuel est plutôt : Internet -------- BOX (bridge) --------- 1.2.3.4 ROUTEUR 192.168.1.1 ----------Switch------------192.168.1.[2-254] Périphériques ( NAS, Caméras, Imprimantes, PC/Mac, etc) Il y a 5 heures, Fanny Mae a dit : Mon objectif est d'accéder au NAS depuis n'importe où pour consulter des fichiers (documentations, presse, e-books... pas de films ou de photos pour le moment 😜) L'idéal à distance est de pouvoir également travailler en mode déconnecté. Synology Drive répond plutôt bien à ce besoin. Question piège : Comment sont sauvegardées les données du NAS actuellement ? 0 Citer
Fanny Mae Posté(e) le 20 août 2020 Auteur Posté(e) le 20 août 2020 Merci à tous. J'ai du travail. 🤩 J'aurais dû faire tout çà pendant le confinement ... 😷 il y a 8 minutes, PiwiLAbruti a dit : Question piège : Comment sont sauvegardées les données du NAS actuellement ? Avec un disque Transcend StoreJet de 1TB sur le 2ième port USB 3 du NAS, mais je fais des copies à la main. il y a forcément mieux mais là je n'ai que 8Go de données donc ça va vite et je n'ai rien rajouté. Sur le 1er port j'ai placé un onduleur / par contre je n'ai pas coché l'option "éteindre le NAS" dans la configuration DSM. en fait, sur le onduleur, il y a aussi mon routeur et mon switch. 🙂 0 Citer
oracle7 Posté(e) le 20 août 2020 Posté(e) le 20 août 2020 @Fanny Mae Bonjour, Penses aussi à cocher la case "Activer le serveur réseau UPS" et renseigner ensuite dans "Périphériques DiskStation autorisés" l'@IP de ton NAS. Cordialement oracle7😉 0 Citer
Fanny Mae Posté(e) le 20 août 2020 Auteur Posté(e) le 20 août 2020 😱 😭 dans le journal de mon routeur, je tombe là-dessus, qu'est-ce que j'ai fait ??? qu'est-ce qui passe ? [DoS Attack: SYN/ACK Scan] from source: 185.25.204.107, port 30121, Thursday, August 20, 2020 14:05:03 [DoS Attack: TCP/UDP Chargen] from source: 185.94.111.1, port 56131, Thursday, August 20, 2020 13:18:33 [DoS Attack: SYN/ACK Scan] from source: 134.255.213.98, port 25565, Thursday, August 20, 2020 13:08:41 [DoS Attack: TCP/UDP Echo] from source: 194.26.29.98, port 46317, Thursday, August 20, 2020 12:56:05 [DoS Attack: SYN/ACK Scan] from source: 103.134.149.38, port 80, Thursday, August 20, 2020 11:08:05 [DoS Attack: RST Scan] from source: 3.11.183.67, port 443, Thursday, August 20, 2020 10:06:57 [DoS Attack: SYN/ACK Scan] from source: 103.134.149.38, port 80, Thursday, August 20, 2020 09:31:56 [DoS Attack: RST Scan] from source: 42.116.212.131, port 61580, Thursday, August 20, 2020 08:59:39 [DoS Attack: TCP/UDP Echo] from source: 223.71.167.164, port 15055, Thursday, August 20, 2020 08:44:43 [DoS Attack: SYN/ACK Scan] from source: 103.134.149.38, port 80, Thursday, August 20, 2020 08:28:57 [DoS Attack: SYN/ACK Scan] from source: 158.69.161.79, port 22, Thursday, August 20, 2020 06:44:36 [DoS Attack: TCP/UDP Chargen] from source: 176.126.175.49, port 58537, Thursday, August 20, 2020 05:54:16 [DoS Attack: SYN/ACK Scan] from source: 151.101.209.57, port 80, Thursday, August 20, 2020 05:03:56 [DoS Attack: SYN/ACK Scan] from source: 99.86.230.104, port 80, Thursday, August 20, 2020 04:49:35 [DoS Attack: SYN/ACK Scan] from source: 51.255.71.209, port 30115, Thursday, August 20, 2020 03:42:15 [DoS Attack: SYN/ACK Scan] from source: 142.44.137.145, port 25576, Thursday, August 20, 2020 03:19:51 [DoS Attack: SYN/ACK Scan] from source: 51.210.125.8, port 30158, Thursday, August 20, 2020 03:02:34 [DoS Attack: TCP/UDP Chargen] from source: 146.88.240.4, port 44480, Thursday, August 20, 2020 02:31:40 [DoS Attack: RST Scan] from source: 3.11.183.67, port 443, Thursday, August 20, 2020 01:53:42 [DoS Attack: RST Scan] from source: 3.11.183.67, port 443, Thursday, August 20, 2020 00:33:38 [DoS Attack: TCP/UDP Chargen] from source: 223.71.167.164, port 12147, Thursday, August 20, 2020 00:32:02 [DoS Attack: SYN/ACK Scan] from source: 185.2.83.142, port 80, Thursday, August 20, 2020 00:17:04 [DoS Attack: SYN/ACK Scan] from source: 176.9.154.83, port 80, Thursday, August 20, 2020 00:00:44 [DoS Attack: TCP/UDP Chargen] from source: 194.26.29.32, port 50137, Wednesday, August 19, 2020 23:37:53 [DoS Attack: SYN/ACK Scan] from source: 47.205.196.191, port 22, Wednesday, August 19, 2020 23:32:05 [DoS Attack: SYN/ACK Scan] from source: 47.205.196.191, port 22, Wednesday, August 19, 2020 23:19:12 [DoS Attack: SYN/ACK Scan] from source: 185.2.83.142, port 80, Wednesday, August 19, 2020 23:09:33 [DoS Attack: SYN/ACK Scan] from source: 176.9.154.83, port 80, Wednesday, August 19, 2020 23:05:56 [DoS Attack: ACK Scan] from source: 92.53.96.112, port 443, Wednesday, August 19, 2020 23:05:36 [DoS Attack: SYN/ACK Scan] from source: 185.2.83.142, port 80, Wednesday, August 19, 2020 22:57:51 [DoS Attack: SYN/ACK Scan] from source: 47.205.196.191, port 22, Wednesday, August 19, 2020 22:47:20 [DoS Attack: SYN/ACK Scan] from source: 185.2.83.142, port 80, Wednesday, August 19, 2020 21:53:25 [DoS Attack: SYN/ACK Scan] from source: 167.114.125.239, port 6334, Wednesday, August 19, 2020 21:52:03 [DoS Attack: SYN/ACK Scan] from source: 88.99.40.107, port 3306, Wednesday, August 19, 2020 21:49:41 [DoS Attack: SYN/ACK Scan] from source: 185.2.83.142, port 80, Wednesday, August 19, 2020 21:46:55 0 Citer
PiwiLAbruti Posté(e) le 20 août 2020 Posté(e) le 20 août 2020 (modifié) Bienvenue sur Internet 😊 Il n'y a rien d'alarmant dans ce qui est affiché dans les journaux de ton routeur. Ce sont souvent des machines zombies faisant partie d'un botnet dont le but est de détecter des ports ouverts et de faire des tentatives d'intrusion. Tu n'es pas particulièrement ciblée, c'est comme ça sur n'importe quelle connexion internet sauf que personne ne le voit. C'est là que la configuration des règles de pare-feu est très importante, la moindre porte ouverte est rapidement détectée et exploitée. Concernant la configuration actuelle de l'onduleur sur ton NAS, ce dernier s'éteindra au bout de 3 minutes lorsque l'onduleur passera sur batterie. C'est un choix. J'ai laissé cette case décochée pour que le NAS s'éteigne lorsque l'onduleur atteint un niveau de batterie faible. La case à cocher "Éteindre le NAS l'UPS lorsque le système passe en mode sécurité" n'a pas à être cochée, même si l'onduleur est censé se rallumer automatiquement lorsque le courant est rétabli. Modifié le 20 août 2020 par PiwiLAbruti Moi pas Français bien écrire 0 Citer
Fanny Mae Posté(e) le 21 août 2020 Auteur Posté(e) le 21 août 2020 (modifié) @PiwiLAbruti @DaffY @oracle7 bonjour, JOUR 2 (non, en fait, ça fait carrément plus là ... 😭 ) j'ai fait une tentative de figer les adresses ip de mes équipements et donc du NAS. J'ai essayé de comprendre cette phrase : Citation fixer la plage d'@IP du DHCP à par ex : 2 à 150 suivi de celle-là : Citation Tous les autres équipements (nomades, invités, etc) se verront eux attribués automatiquement par le DHCP du routeur une @IP dans la plage 151 à 254. Je ne comprends pas si ce que je fais est correct car j'ai une incohérence, quelque chose de pas logique. Si j'ai 10 équipements, ils vont occuper les IP de 2 à 11 au mieux. Et même s'il y a des trous entre ces équipements (1er en IP, 2 le 3ième en IP 17, etc...). Il va rester un sacré nombre d'IPs disponibles jusqu'à 150. Pourquoi une tablette ou un portable iraient prendre la 151 au lieu de la 78 par exemple ? Rien ne lui dit :" hé petite, tu n'as rien à faire là, va voir à partir de 151 !" Ce que j'ai bien compris c'est qu'après le routeur NetGear qui est sur l'ip 192.168.1.1 (je ne sais pas si je dois modifier RIP, c'est dans la capture, je ne trouve pas d'explication facile...) j'ai du coup toutes les adresses IP disponibles : de 192.168.1.2 à 192.168.1.254 (ça c'est clair). donc si je veux fixer-figer l'IP d'un équipement, je récupère son identité qui ne bougera jamais (l'adresse MAC) et je lui assigne l'IP. Je ne vois pas comment départager cette plage de 2 à 254 en une plage de 2 à 150 et une de 151 à 254... Ensuite j'ai donc figé des équipements. J'ai trouvé une commande super rapide sous Linux qui donne tout d'un coup, à partir de mon poste [ sudo nmap -sn <ip-du-poste>/24 ] J'ai eu adresses MAC et adresses IP en cours pour ces équipements. Et là, je ne comprends plus rien. J'ai un équipement EQP-A avec son adresse MAC : ADR-A. Son IP est 192.168.1.15. Si j'écris dans la table du routeur : maintenant EQP-A est sur 192.168.1.20, que je reboot tout et que je regarde quelle adresse il a.... EQP-A en a rien à faire, il est toujours en 15 ! (il n'y a rien en 20 et ça a toujours été disponible). Même avec un ipconfig /release suivi de ipconfig /renew ... 😤 Même chose sous Linux avec dhclient -v -r C’est fou non ? Mes équipements font une mutinerie ! Le routeur n'est plus le Chef !? C'est normal ? Donc du coup, le NAS était (c'est un exemple) en 192.168.1.56, j'ai récupéré son adresse MAC et j'ai écrit dans le routeur que le NAS serait toujours en 56. Pas la joie... Vu que je ne peux apparemment rien déplacer comme j'ai envie. J'aurais aimé avoir le NAS sur une IP facile à retenir. Là, c'est "@#&*%" ! Je me suis arrachée les cheveux sur ce truc. 😩 Donc j'ai une liste d'équipements avec des adresses IP qui ne se suivent pas. Pas propre je trouve. Tant pis. Passons. La phrase suivante me pose également un problème... Le 20/08/2020 à 12:23, oracle7 a dit : OUI. Il n'y a que les ports 80 et 443 à transférer (NAT/PAT) de la Box vers le routeur. En gros la Box en est DMZ/Bridge Je ne comprends pas ce que je dois faire, simplement. La Freebox n'est plus en routeur, elle est en Bridge. Pourquoi DMZ ? Je dois activer DMZ dans la Freebox même si elle est en Bridge ? Si je fais çà, je repasse en routeur et il y aura le routeur Netgear encore derrière... 2 routeurs qui se suivent ... ? Après j'ai scanné les ports que j'avais actuellement avec la commande magique nmap ... J'ai eu une liste de tous les ports ouverts sur chacun de mes équipements, donc du routeur et du NAS, en particulier. Je ne sais pas si c'est une bonne idée de mettre la copie d'écran ici 🙂. J'ai une liste. Voici un aperçu. Le routeur (j'ai effacé d'autres ports) : PORT STATE SERVICE 80/tcp open http 443/tcp open https Le NAS : PORT STATE SERVICE 22/tcp open ssh 53/tcp open domain 80/tcp open http 111/tcp open rpcbind 139/tcp open netbios-ssn 443/tcp open https 445/tcp open microsoft-ds 548/tcp open afp 2049/tcp open nfs 3261/tcp open winshadow 3493/tcp open nut 5000/tcp open upnp 5001/tcp open commplex-link 9080/tcp open glrpc 9080 c'était pour le File Station ... un test. 80 et 443 sont sur le NAS aussi. Apparemment j'ai rien à faire mais pourquoi ça s'est mis "tout seul". En tout cas c'est dur, tout çà. Merci pour votre patience. A bientôt. Modifié le 21 août 2020 par Fanny Mae 0 Citer
PiwiLAbruti Posté(e) le 21 août 2020 Posté(e) le 21 août 2020 il y a 5 minutes, Fanny Mae a dit : Apparemment j'ai rien à faire mais pourquoi ça s'est mis "tout seul". C'est quoi "ça" ? Le fait que nmap te liste des ports ouverts sur le NAS depuis le réseau local (192.168.1.0/24) est tout à fait normal. Tu dois avoir un équivalent de la Gestion des ports de la Freebox sur ton routeur Netgear. C'est là qu'il faudra ouvrir les ports des services à rendre accessibles depuis internet. Pour le reste de ta configuration (box en bridge, DHCP, ...), ne touche à rien c'est très bien ainsi. Peu importe les adresses IP distribuées, l'important est que les équipements vers lesquels des ports vont être redirigés depuis le routeur Netgear aient une adresse IP fixe (de préférence réservée dans la configuration DHCP par un bail statique). 0 Citer
Fanny Mae Posté(e) le 21 août 2020 Auteur Posté(e) le 21 août 2020 (modifié) @PiwiLAbruti Bonjour, "ça" = je voulais dire "80" et "443". Oui la gestion des ports sur le routeur Netgear se présente comme cela. J'ai mis pour l'instant ce que j'ai vu dans le tuto "sécuriser son nas" : je rajoute 80 et 443 sur la ligne 1 ? (externes - internes). Merci. Modifié le 21 août 2020 par Fanny Mae 0 Citer
maxou56 Posté(e) le 21 août 2020 Posté(e) le 21 août 2020 il y a une heure, Fanny Mae a dit : 80 et 443 sont sur le NAS aussi. Apparemment j'ai rien à faire mais pourquoi ça s'est mis "tout seul". Bonjour, UPnP est désactivé dans le Routeur Netgear? 0 Citer
PiwiLAbruti Posté(e) le 21 août 2020 Posté(e) le 21 août 2020 Attention aux protocoles utilisés (tcp ou udp). Le VPN sur les ports udp/500 et udp/4500 sont utilisés par le VPN L2TP/IPsec (d'ailleurs, retire le port udp/1701 qui ne doit pas être exposé sur internet). Le port udp/1194 est utilisé par OpenVPN. Utilises-tu ces deux protocoles VPN ? Tu peux n'ouvrir que le port tcp/443 (https) dont les communications sont chiffrées contrairement au tcp/80 (http). En l'état ouvrir le port tcp/443 ne pointera que vers Web Station si ce dernier est installé et que tu en as l'utilité. Ce port sera surtout utile une fois que tu auras ton nom de domaine puisqu'il te donnera accès à File Station (par exemple) avec une adresse conviviale du type https://filestation.domaine.ovh grâce au proxy inversé. 0 Citer
oracle7 Posté(e) le 21 août 2020 Posté(e) le 21 août 2020 @Fanny Mae Bonjour, Bon on va dépatouiller tout cela ... il y a 30 minutes, Fanny Mae a dit : Je ne vois pas comment départager cette plage de 2 à 254 en une plage de 2 à 150 et une de 151 à 254... Le serveur DHCP de la Box doit être désactivé. Le serveur DHCP doit être activé sur le routeur, donc il te faut activer cette option sur le routeur (cà c'est fait !) Sur le routeur : dans "Adresse IP de début" tu mets : 192.168.1.151 Dans "Adresse IP de fin" tu mets : 192.168.1.254 Ainsi la zone 2 à 150 est "réservée pour les @IP fixes que tu attribueras à tes équipements. Tous les autres équipements qui se connecteront ensuite se verront attribués une @IP dans la plage 151 à 254. Du coup le serveur DHCP ne réattribuera jamais une @IP de la plage 2 à 150. Maintenant, pour illustrer mon propos j'avais "coupé" la plage d'adressage du DHCP en Deux pour faire "simple" (Donc à 150) ce qui effectivement te laisse une marge assez grande entre 2 et 150 pour définir des @IP "fixes". Si tu trouves que c'est trop tu peux la réduire par ex à 50. A toi de voir en fonction du nombre d'équipements qui auront besoin d'une @IP fixe. REstes tout de même large pour prévoir l'avenir ... Donc maintenant tu peux définir si tu le souhaites des @IP contigües à tes équipements ou répartir ces derniers dans la plage 2 à 150. Perso, ils sont "rangés" selon les dizaines en fonction de leur types (10, 11 , ... pour les NAS, 20, 21, ... pour les switch, 30, 31, ...pour les imprimantes, 40, 41, ... pour les Caméras, Etc .) C'est toi qui voit ... il y a 44 minutes, Fanny Mae a dit : Si j'écris dans la table du routeur : maintenant EQP-A est sur 192.168.1.20, que je reboot tout et que je regarde quelle adresse il a.... EQP-A en a rien à faire, il est toujours en 15 ! (il n'y a rien en 20 et ça a toujours été disponible) Ce comportement est normal dans la mesure où tes équipements ont gardé en mémoire l'@IP qui leur à été attribuée lors de leur connexion initiale au réseau (ie antérieure à tes modifications). Donc avoir rebooté le routeur et la Box était une bonne chose mais insuffisant. Il fallait aussi déconnecter chaque périphérique pour qu'ensuite (attendre par sûreté 30sec) les reconnecter chacun leur tour. Ainsi ils récupèrent la nouvelle @IP fixe que du tu leur as donné dans le routeur (pour ceux à qui tu as définis une @IP fixe, les autres récupèrent alors une @IP dans la plage 151 à 254. Bien évidemment chacun de tes équipements est aussi configuré individuellement pour obtenir automatiquement leur @IP via le DHCP. Ne pas leur fixer/forcer d'@IP en local, si non cela annule l'effet du DHCP. il y a une heure, Fanny Mae a dit : La Freebox n'est plus en routeur, elle est en Bridge. Pourquoi DMZ ? Je dois activer DMZ dans la Freebox même si elle est en Bridge ? Excuses moi, j'ai résonné par erreur en pensant à ma LiveBox. Donc, oublies ce propos lié à la DMZ et reste en "bridge". @PiwiLAbruti a raison. Tu n'as que les ports 80 et 443 à transférer dans un premier temps sur le routeur vers le NAS ce que tu as bien fait. Au passage, je vois que tu as déjà transférés les ports (500, 1194, 1701 & 4500) liés au serveur VPN (OpenVPN et L2TP/IPSEC), c'est peut-être prématuré ... Et en plus pour le port 1701 il ne faut surtout pas l'exposer ! il y a une heure, Fanny Mae a dit : 5000/tcp open upnp 5001/tcp open commplex-link Je suis juste étonné de l'intitulé des services en face des ports 5000 et 5001. Mais bon ... Saches aussi, que cela n'apporte rien de plus en terme de sécurité que de redéfinir les ports standards du NAS (5000 et 5001). Tout au mieux tu ne retardes que d'une minute un éventuel scan mal attentionné et que cela complique ensuite la gestion courante car il faut bien avoir mémorisé des éventuels nouveaux ports. Par ailleurs, j'ai constaté à mes dépends que cela bloque le partage par liens de fichiers via FileStation ( les liens sont mauvais). Cordialement oracle7😉 0 Citer
Fanny Mae Posté(e) le 21 août 2020 Auteur Posté(e) le 21 août 2020 (modifié) @maxou56 bonjour, oui c'est la configuration par défaut du routeur. @oracle7 oui c'est bizarre hein ces dénominations sur les 5000 et 5001. mais je n'ai rien fait. quand je lance nmap il les comprend comme çà. le seul endroit où j'ai déclaré qqch pour ces ports c'est là : Modifié le 21 août 2020 par Fanny Mae 0 Citer
Fanny Mae Posté(e) le 21 août 2020 Auteur Posté(e) le 21 août 2020 (modifié) @PiwiLAbruti Il y a 2 heures, PiwiLAbruti a dit : Attention aux protocoles utilisés (tcp ou udp). Le VPN sur les ports udp/500 et udp/4500 sont utilisés par le VPN L2TP/IPsec (d'ailleurs, retire le port udp/1701 qui ne doit pas être exposé sur internet). Le port udp/1194 est utilisé par OpenVPN. Utilises-tu ces deux protocoles VPN ? Tu peux n'ouvrir que le port tcp/443 (https) dont les communications sont chiffrées contrairement au tcp/80 (http). En l'état ouvrir le port tcp/443 ne pointera que vers Web Station si ce dernier est installé et que tu en as l'utilité. Ce port sera surtout utile une fois que tu auras ton nom de domaine puisqu'il te donnera accès à File Station (par exemple) avec une adresse conviviale du type https://filestation.domaine.ovh grâce au proxy inversé. aïe. aïe. aïe. Non je n'utilise pas VPN encore, ni OpenVPN... Je suis allée trop vite dans le tuto de fenrir à la partie qu'il a écrit / sécurité / , j'ai repris le tableau en me disant que de toute façon cette partie VPN je devrais l'utiliser pour mes accès depuis l'extérieur. Ok, j'efface tout. Je ferais ce qu'il faut au bon moment. mais pour l'instant je n'utilise pas Webstation, je n'utilise que FileStation. j'ai le paquet VPN SERVER mais pas configuré. Modifié le 21 août 2020 par Fanny Mae 0 Citer
oracle7 Posté(e) le 21 août 2020 Posté(e) le 21 août 2020 @Fanny Mae Bonjour, il y a une heure, Fanny Mae a dit : le seul endroit où j'ai déclaré qqch pour ces ports c'est là : Pas de soucis du coup c'est bon ! Cordialement oracle7😉 0 Citer
Fanny Mae Posté(e) le 22 août 2020 Auteur Posté(e) le 22 août 2020 Bonjour, @oracle7 @PiwiLAbruti Bonjour à tous, j'ai donc maintenant figé l'adresse IP du NAS dans le pare-feu du NAS, j'ai modifié les ports. je suis revenu à la situation minimale du tuto. il y a désormais cela : sur le tuto il est écrit : 1. est-ce que cette adresse d'exemple (trait rouge) est à remplacer par celle de chez moi, qui est vue par internet ? 2. s'il y a le port 80 dans le parefeu du NAS et que dans le routeur il n'y a que 443, finalement il sert à quoi le port 80 dans le pare-feu ? (80,443) pour l'instant mon routeur contient : j'ai créé des ports pour accéder directement à l'application FileStation Sans rien rajouter dans le pare-feu (1ère image du dessus), j'ai fait les tests suivants pour un accès en local, je tape dans les navigateurs Firefox / Chrome / Safari ... : http://<adresse ip figée NAS> => direct il rajoute http://<adresse ip figée NAS> :5000 avec un avertissement "connexion non sécurisée" mais je suis chez moi en LAN. en passant en sécurisé https:// <idem> => direct il rajoute https:// <idem> :5001 avec un avertissement parce qu'il est pas d'accord avec mon certificat... je ne sais pas pourquoi (c'est fait sur synology.me) mêmes tests en tapant les ports qui sont pour l'appli FileStation http://<adr ip figée>:9080 => je tombe directement sur l'application FileStation / ok (avec tjs l'avertissement non sécurisé) et ensuite https:// <adr ip figée>:9043 => idem, FileStation avec l'avertissement sur le certificat, toujours. et le dernier test, je tape le nom du NAS dans le navigateur : <nom du nas>.local ou en placant devant http:// => http://<nom du nas>.local => il passe directement en https://<nom du nas >.local et quand je regarde le certificat tout a l'air pourtant ok... voilà mes avancées (et mes nouvelles questions 😁 ) bonne journée à tous. 0 Citer
PiwiLAbruti Posté(e) le 22 août 2020 Posté(e) le 22 août 2020 Concernant les règles de pare-feu, la colonne Source doit contenir les adresses IP des clients potentiels. Ton adresse IP publique n'a donc pas besoin d'y figurer. Pour le moment, tu peux limiter l'accès aux port tcp/80 et tcp/443 à la France comme tu l'as fait pour File Station avec les ports 7000 et 7001. D'ailleurs, as-tu besoin d'y accéder depuis la Guyanne ? Comme le VPN n'est pas configuré, tu peux désactiver les règles correspondantes. Pour les accès externes, il doit y avoir correspondance entre les ports ouverts sur ton routeur et ceux ouverts sur le pare-feu. Ce n'est pas le cas actuellement. Le port tcp/80 (non-chiffré) ne sert effectivement à rien dans la règle de pare-feu s'il n'est pas également redirigé dans le routeur. Je suppose que les ports tcp/9080 et tcp/9043 sont également déclarés sur le NAS comme pointant vers File Station ? Le certificat n'est valide que pour le(s) nom(s) d'hôte(s) qui y sont déclarés. Dans ton certificat on voit ****.synology.me, tu peux donc utiliser ce nom pour te connecter à ton NAS et ne plus avoir d'alerte de sécurité. Attention cependant, cela risque de ne marcher que depuis l'extérieur de ton réseau, ****.synology.me pointant vers ton adresse IP externe. On verra plus tard comment faire en sorte que le nom ****.synology.me pointe vers l'adresse IP privée du NAS (192.168.1.*) en local. 0 Citer
oracle7 Posté(e) le 22 août 2020 Posté(e) le 22 août 2020 (modifié) @Fanny Mae Bonjour, C'est bien tu avances doucement. Attention à ne pas confondre ce qui se passe au niveau du routeur pour les ports avec leur ouverture dans le pare-feu du NAS. Au niveau du routeur : il te faut transférer les ports 80 et 443 vers le NAS pour que (de façon simpliste) les flux "passent". Tu peux éventuellement limiter leur destination à l'@IP de ton NAS mais dans un premier temps attends pour faire cela que ton serveur DNS sur le NAS soit en place et fonctionnel. Au niveau du NAS : il te faut ouvrir ces mêmes ports 80 et 443 avec une source "Tous". Tu pourrais limiter à la France dans un premier temps mais dans ce cas cela va certainement rapidement coincer avec les sites du style Google qui sont hors France. Pour la compréhension, pas la peine de masquer tes @IP locales dans tes copies d'écran : il n'y a aucun risque car elles ne sont pas de toutes façons accessibles de l'extérieur. Masque uniquement ton @IP externe (Box/routeur) et ton nom de domaine. A ce stade, il est normal que tu récupère des alertes de sécurité lorsque tu te connectes avec des "http://<adresse ip figée NAS>:port" ou "https://<adresse ip figée NAS>:port" car ton certificat synology par défaut n'est pas défini pour cette <adresse ip figée NAS>". Comme dit @PiwiLAbruti, il te faudra attendre la mise en place du reverse proxy pour pouvoir accéder en tapant simplement des "https://xxxxx.tonDomaine.tld". Mais chaque chose en son temps ... Prochaines étapes : prendre et configurer un nom de domaine "tonDomaine.tld" puis générer un certificat wilcard LetsEncript pour ce domaine. PS : Au fait, même si tu as un routeur Netgear, je t'invites quand même à lire ce TUTO sur le paramétrage et la sécurisation du routeur Synology. @unPixel fourni un certain nombre de recommandations importantes en termes de sécurité qui sont à mon sens facilement transposables à ton routeur Netgear. A toi juste de trouver les options correspondantes. A+ Cordialement oracle7😉 Modifié le 22 août 2020 par oracle7 0 Citer
Fanny Mae Posté(e) le 22 août 2020 Auteur Posté(e) le 22 août 2020 bonjour, @PiwiLAbruti voici les changements effectués : pour le routeur netgear : ports 80/443 et spécifiques pour l'application FileStation 9080/9043 pour le NAS, dans le pare-feu : j'ai rajouté la ligne 80,443 avec emplacement France @oracle7 si qqch bloque avec Google par exemple je mettrais "Tous", mais je ne comprends pas pourquoi ça bloquerait en fait. 🤨 pour le portail des applications du NAS : j'ai bien les ports que j'ai déclarés dans le routeur netgear, la seule application actuellement Il y a 8 heures, PiwiLAbruti a dit : Le certificat n'est valide que pour le(s) nom(s) d'hôte(s) qui y sont déclarés. Dans ton certificat on voit ****.synology.me, tu peux donc utiliser ce nom pour te connecter à ton NAS et ne plus avoir d'alerte de sécurité. Attention cependant, cela risque de ne marcher que depuis l'extérieur de ton réseau, ****.synology.me pointant vers ton adresse IP externe. On verra plus tard comment faire en sorte que le nom ****.synology.me pointe vers l'adresse IP privée du NAS (192.168.1.*) en local. Si j'ai bien compris, si je fais croire à internet que j'ai une autre adresse ip que celle actuellement (avec un outil comme cyberghost par exemple), que je lance un navigateur avec l'URL <nom du nas>.synology.me ==> j'accèderais au NAS comme si j'étais vraiment ailleurs ? mais j'arriverais directement dans l'interface DSM (après authentification) car ça complèterait <nom du nas>.synology.me:5000 si j'ai tapé http:// ou <nom du nas>.synology.me:5001 si j'ai tapé https:// juste pour être sûre. Merci / bonne fin de journée. 0 Citer
oracle7 Posté(e) le 22 août 2020 Posté(e) le 22 août 2020 @Fanny Mae Bonjour, il y a une heure, Fanny Mae a dit : si qqch bloque avec Google par exemple je mettrais "Tous", mais je ne comprends pas pourquoi ça bloquerait en fait. Tout simplement parce que en mettant "France" tu n'autorises que les @IP de sites situés en France. TOUT le reste du monde est lui bloqué dont notamment les serveurs Google, ce serait dommage, non ? Es-tu sûre dans ton pare-feu de vouloir autoriser toutes les @IP 192.168.0.0, si tu n'utilises pas toute la plage d'@IP locales en 192.168.x.x (l'ex du TUTO voit large ...) il me semble que cela serait suffisant (et plus restrictif) que de n'autoriser que celles de ton réseau local soit 192.168.1.0/255.255.255.0 ? Mais c'est toi qui voit ... Idem plus tard avec un VPN tu pourras limiter les plages pour OpenVPN aux @IP 10.8.0.0 et/ou pour L2TP/IPSEC aux @IP 10.2.0.0. @PiwiLAbruti Il y a 10 heures, PiwiLAbruti a dit : Dans ton certificat on voit ****.synology.me, tu peux donc utiliser ce nom pour te connecter à ton NAS et ne plus avoir d'alerte de sécurité. Attention cependant, cela risque de ne marcher que depuis l'extérieur de ton réseau, ****.synology.me pointant vers ton adresse IP externe. En lisant ton propos, j'ai voulu vérifier que cela fonctionnait bien chez moi comme je n'utilise quasiment jamais ce type de connexion. C'est juste par curiosité. Tout est OK depuis l'extérieur (smartphone en 4G) mais connexion d'une lenteur pas possible. Ton avis avis ? Problème de serveurs Synology encombrés ? Cordialement oracle7😉 0 Citer
Fanny Mae Posté(e) le 22 août 2020 Auteur Posté(e) le 22 août 2020 (modifié) @oracle7 corrigé 😊 re-corrigé / omg 🤣 255.255.255.0 / merci Modifié le 22 août 2020 par Fanny Mae erreur au chgmnt de la règle du pare-feu 0 Citer
oracle7 Posté(e) le 22 août 2020 Posté(e) le 22 août 2020 @Fanny Mae Désolé mais il manque un 255 : il faut 192.168.1.0/255.255.255.0 Cordialement oracle7😉 0 Citer
Fanny Mae Posté(e) le 22 août 2020 Auteur Posté(e) le 22 août 2020 (modifié) Bonjour, JOUR 3 : achat du nom de domaine chez OVH OVH me propose gentiment d'activer un hébergement de 10Mo (Start10M) ... et idem avec un serveur de mails... (1 adr e-mail 🙂 ) aucun intérêt ici non ? Ensuite il y a ce qui va être à modifier 🙂 il y a déjà des entrées dans DNS... dois-je tout conserver ou un ménage peut-être fait ? conserver uniquement ce que j'ai besoin ? un petit test sur ZoneMaster me donne ces résultats : Modifié le 22 août 2020 par Fanny Mae 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.