Aller au contenu

Quelques question suite à l'initialisation du NAS


Messages recommandés

Bonjour les amis experts,
Ayant fait l'acquisition d'un Nas, j'ai suivi les différentes étapes décrites dans ce Tuto NAS
J'ai également fait un serveur DDNS avec Synology pour l'accès externe.

Je suis novice et mes questions peuvent paraitre bête mais je préfère les poser : 

1) D'un point de vue sécurité, on dit que Quick connect n'est pas sécurisé. La méthode DDNS est-elle plus sécurisé car je vois que l'adresse de mon NAS est accessible par internet avec nom.synology.me donc il y a juste le nom à découvrir pour les attaques non ?

2) configuration Routeur ouverture port et Nas. On ouvre les port 5000 vers 5000 et 5001 vers 5001 (en corrélation avec le NAS et les ports HTTP HTTPS). Pour accéder au NAS on peut utiliser le Http. Ne faut il pas forcer le HTTPS ? Est-ce que l'utilisation du HTTP ne nous rend pas plus vulnérable ?

3) lorsque j'accède au Nas en local j'ai un message m'indiquant que la connexion n'est pas sécurisé.

4) Pour l'utilisation des appli tel que Moments j'utilise donc l'adresse du DDNS pour la connexion. Néanmoins quand je veux partager un album, le lien se compose de l'adresse local 192.168... je suis obliger de remplacer l'adresse local par l'adresse DDNS et cela à la mano avant envoi à quelqu'un. Y a t il un paramétrage que j'ai oublié.

5) j'ai créé deux utilisateurs qui sont d'office attribué au groupe users. Lorsque j'ajoute des photos ou des documents pour un user ces derniers ne sont pas accessible aux autre users dans les appli DSfile ni Moments (normal). Mais par contre si je me connecte avec ce user dans DSM, Dans filestation, je vois les dossier de chaque users et les documents déposé que ce soit les photos sous Moments ou des documents (Pas normal).
Est-ce qu'il y a un problème de configuration de partage à modifier?

 

Merci pour aide

Modifié par hali
Lien vers le commentaire
Partager sur d’autres sites

1 - Et alors ? Pour pouvoir accéder à votre nas depuis l'extérieur, il faut bien qu'il soit visible d'internet, que ce soit directement par son IP ou par un ndd, ou via un ddns. Sinon, vous fermez tout et il n'y aura pas de risque de pouvoir joindre votre nas, que ce soit pour vous ou pour les autres. Il est bien évident que plus votre NAS sera exposé et plus il sera susceptible d'être attaqué. Ce sont les réglages que vous ferez au niveau du routeur, du parefeu et des identifiants qui réduiront votre exposition et les risques.

2 - Si vous ouvrez le 5001 et encore plus le 5000 dans le routeur, c'est que vous n'avez pas compris grand chose à la sécurité. Ouvrir le 5000 est un non sens car vous exposez tout votre trafic en clair et n'importe quel hacker de seconde, voire troisième zone sera capable d'intercepter votre connexion. En règle générale, on n'accède pas à DSM de l'extérieur, et si on doit le faire, mieux vaut passer par le serveur VPN. Quand à forcer le https, oui mais en activant le serveur web et en créant un .htaccess à la racine du serveur pour diriger les requêtes http vers le https. Si vous avez suivi le tuto, vous aurez remarqué qu'il n'est pas recommandé de le faire à partir de DSM car ça interfère dans le fonctionnement du reverse proxy.

3 - Normal. Un certificat ne fonctionne que pour un nom de domaine. Il est inactif si votre url est une IP, publique ou privée.

4 - Accès Externe, onglet Avancé. Il faut indiquer le ndd et les ports de connexion au service.

5 - Interdire l'accès à homes dans le groupe utilisateur, ou le faire de manière individuelle.

Lien vers le commentaire
Partager sur d’autres sites

J'ai bien fait de poser ces questions avant de faire des bétises...

1) Ok 

2) Pour admin j'ai mis la double authentification. Concernant les ports je suis un peu perplexe car d'autre tuto (lien) indique l'ouverture de ces ports. Comment les utilisateurs peuvent accéder à distance à File Station, Video Station qui utilise le port 5000 si je n'ouvre pas les ports. (Surement un point qui m'échappe)

Pour ce qui est du Reverse Proxy, je n'ai pas regardé pour le moment car je n'ai pas trop compris le concept.

3) quand j'accède au Nas à distance ça me met la même la chose en utilisant le nom de domaine créer (Le certificat Let's encrypt a été créer aussi sur le Nas)

4) je vais tester ce soir

5)les deux users on été affecté au groupe user. Le groupe user utilise le dossier homes par défaut. Enlever cet accès bloque l'accès complétement. Je pense que la solution est créer un dossier partagé Home_1 pour user 1 et Home_2 pour user 2 et définir l'accès unique à ces dossiers pour chaque user. A voir si c'est bien ça à faire et tester avec Moments et DS file le bon fonctionnement.

Lien vers le commentaire
Partager sur d’autres sites

il y a 40 minutes, hali a dit :

Concernant les ports je suis un peu perplexe car d'autre tuto (lien) indique l'ouverture de ces ports

Ce n'est pas parce qu'un tuto dit des âneries qu'il faut le suivre aveuglément. Sauf pour des raisons très particulières et après avoir mis en place les protections nécessaires, on n'ouvre pas un port http vers l'extérieur.

 

il y a 40 minutes, hali a dit :

Comment les utilisateurs peuvent accéder à distance à File Station, Video Station qui utilise le port 5000

Non. Les ports 5000 et 5001 sont uniquement réservés pour DSM. Si vous ne voulez pas mettre en place le reverse proxy (bien que ce soit, et de loin, la meilleure solution), vous avez des ports https dédiés pour les paquets : 7001 pour file station, 9008 pour video station. Vous les activez dans le portail des applications, vous les ouvrez dans le routeur, vous les autorisez dans le parefeu et ça devrait marcher. D'une manière générale, on accède aux paquets via leurs ports, pas à partir de DSM.

Lien vers le commentaire
Partager sur d’autres sites

il y a 45 minutes, hali a dit :

Concernant les ports je suis un peu perplexe car d'autre tuto (lien) indique l'ouverture de ces ports. Comment les utilisateurs peuvent accéder à distance à File Station, Video Station qui utilise le port 5000 si je n'ouvre pas les ports. (Surement un point qui m'échappe)

Pour ce qui est du Reverse Proxy, je n'ai pas regardé pour le moment car je n'ai pas trop compris le concept.

Essaie de comprendre le concept... Le principe : tu ouvres et redirige le port 443 (HTTPS) vers le NAS. Tu y accèdes via une URL de type https://xxx.ndd.tld. Dans le Reverse Proxy, tu indiques qu si l'URL commence pas xxx, tu la rediriges vers un port du NAS (par exemple si "dms" alors tu rediriges vers le port 5000, si "file" vers le port 7000, etc ...). Voir le tuto [Tuto] Reverse Proxy pour plus de précisions ...

 

Il y a 4 heures, hali a dit :

5) j'ai créé deux utilisateurs qui sont d'office attribué au groupe users. Lorsque j'ajoute des photos ou des documents pour un user ces derniers ne sont pas accessible aux autre users dans les appli DSfile ni Moments (normal). Mais par contre si je me connecte avec ce user dans DSM, Dans filestation, je vois les dossier de chaque users et les documents déposé que ce soit les photos sous Moments ou des documents (Pas normal).

C'est que tu as du jouer avec les droits des répertoires homes, et "home" ...

Pour rappel : tous les user sont automatiquement et obligatoirement dans le groupe user. Il ne faut absolument pas toucher aux droits par défaut de ce groupe (sauf si on est conscient des conséquences de ces actions. Par exemple,  en raison de la hiérarchie des droits NA> RW>R, l’interdiction d'accès à répertoire dans le groupe user se traduire par l'interdiction d'accès à ce répertoire à tous les user, même les admin !!!)

Ensuite, par défaut le répertoire home ne sera visible que par le user propriétaire de ce répertoire, c'est construit comme cela et il ne faut pas le changer. Si on a besoin qu'un répertoire soit accessible à plusieurs user,  il faut en faire un répertoire partagé (tiens, partagé !!!).

Et pour terminer le répertoire "home" n'existe pas. C'est un alias du répertoire /homes/user... Et seuls les admins voient le répertoire homes ....

Modifié par Kramlech
Lien vers le commentaire
Partager sur d’autres sites

il y a 41 minutes, hali a dit :

quand j'accède au Nas à distance ça me met la même la chose en utilisant le nom de domaine

Parce que vous n'avez pas paramétré votre certificat pour qu'il s'applique aux services. Sécurité/Certificat, bouton Configurer.

il y a 44 minutes, hali a dit :

Enlever cet accès bloque l'accès complétement.

Vous avez essayé ?

Et non, vous ne pouvez pas créer plusieurs dossiers home à la racine du volume. Le dossier Homes regroupe les home de chaque utilisateur.

Lien vers le commentaire
Partager sur d’autres sites

Hello,

J'ai donc enlevé toutes les ouvertures de ports que j'avais effectué et mis uniquement 443 et 80. J'ai suivi le tuto reverse Proxy avec la création du site et du fichier .htaccess 

à la fin quand je tape fichier.nomdedomaine ça me renvoi sur la page https://fichier.nomdedomaine. Je pense qu'on est bien là. Néanmoins ça m'affiche le site de connexion au nas mais dans la barre de navigation ça m'affiche un problème de certificat et que la site n'est pas sécurisé. Pourtant j'ai bien fait le certificat et il y a bien les nouvelles adresse créés... Pour les applications j'arrive à me connecter à distance. 

 

Concernant le dossier Homes et Home. De ma compréhension le Homes regroupe tous les Home de chaque user (alias comme vous le dites).

Chaque users (n'ayant pas d'accès admin) quand il se connecte à DS File (fichier.nomdedomaine:443) il voit un dossier Home avec ses infos mais il voit également le dossier Homes avec des sous dossier de tous les Home de chaque user et leur fichier.

Ce qui est marrant c'est que le seul compte Admin lui par contre il voit uniquement son dossier... le monde à l'envers

 

Modifié par hali
Lien vers le commentaire
Partager sur d’autres sites

pour les utilisateurs j'ai lecture écriture pour "homes" et pour admin j'ai aucun accès.

Si je supprime l'accès à "homes" pour les utilisateurs un message apparait pour indiquer que l'utilisateur n'aura plus accès à son propre dossier d'accueil.

Modifié par hali
Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, maxou56 a dit :

Bonsoir,

Il est conseillé de désactiver "admin" et de créer un autre (ou plus) utilisateur "administrateur"

C'est une erreur de language. C'est un utilisateur avec droit admin comme conseiller dans le tuto et des utilisateurs avec droit users only.

 

il y a 56 minutes, Kramlech a dit :

Donc tu as bricolé les droits d'accès du répertoire !!!

Essaie de remettre les droits par défaut pour le répertoire "homes" ...

 

Ok je vais essayer de remettre tout en ordre. Je vais voir comment

Lien vers le commentaire
Partager sur d’autres sites

Alors je viens de comprendre l'erreur lors de la création des compte utilisateur. J'accordais l'accès à tous les dossier partager au nouveau compte utilisateur.

A cet endroit je mettais lecture/écriture partout.

Capture.thumb.PNG.16228bcc641097657a7f6c5e37b97987.PNG

Chaque utilisateur maintenant a bien accès à son propre Home sans voir ceux des autres. (TOP)

Par contre étrange ou normal, on ne voit pas de dossier music, photo, video. 

Je suppose qu'ils sont géré directement des les applications respective DSaudio, DSphoto,DSvideo.

Néanmoins pensez vous que je dois ajouter lecture ecriture au moins sur video afin que ma bibliothèque vidéo soit accessible à tous le monde notamment via DS file pour récupérer les fichiers si besoin. 

Lien vers le commentaire
Partager sur d’autres sites

La plupart de mes soucis se sont résolus que ce soit pour l'accès au dossier des users et l'accès au Nas. J'ai mis en place le reverse proxy pour toutes les applications à et, je peux y accéder de l'extérieur sans avertissement grâce au certificat par internet et par les application DS file, Moments...

Deux points que je n'arrive pas à résoudre pour le moments : 

1- utilisation des applications (DS file, Moments..) en réseaux local. : elle marche en 4G (adresse externe) mais pas en Wifi avec une adresse local. L'accès se fait via fichier.ndd.synology.me:443. 

2 - partage de lien avec les applications. Les liens ne sont pas fonctionnels.  Je dois modifier le lien en ajoutant "fichier" dans l'adresse soit : fichier.ndd.synology.me/blablabla 

=> Dans Connectivité/Accès externe/avancé j'ai mis pour host : ndd.synology.me et rien sur DSM HTTP et HTTPS.

Modifié par hali
Lien vers le commentaire
Partager sur d’autres sites

1 - pour que vos adresses fonctionnent en local, il faut que votre routeur puisse faire du loopback. Sinon, la solution c'est de passer par le serveur DNS qui vous permet de séparer les requêtes privées des publiques. Il y a un tuto de Fenrir sur le serveur DNS.

2 - pour que les liens créés soient au bon format, il faut indiquer dans Accès externe, onglet Avancé le nom d'hôte (pour vous c'est fichier.ndd.synology.me) et mettre les ports pour y arriver, soit : http 80 et https 443

Lien vers le commentaire
Partager sur d’autres sites

1- J'ai vu le tuto de Fenrir mais ça m'a l'air vraiment complexe donc je pense que je vais me contenter de switcher entre 4G et Wifi et adresse local et NDD.

2- Cela marche, malheureusement en précisant "fichier" cela permet de résoudre uniquement le partage via DS File. Mais comme c'est spécifique cela ne marche pas sur les autres applications. Avec ces paramètre, quand je fais un partage avec Moments, je devrais modifier dans l'url de parage le mot "fichier" par "moments" (nom utilisé pour l'appli moments dans le reserve proxy).

ça fait bidouillage et peu compréhensible pour tous les utilisateurs du Nas.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, hali a dit :

Avec ces paramètre, quand je fais un partage avec Moments, je devrais modifier dans l'url de parage le mot "fichier" par "moments"

Je ne connais pas moments. Je suis encore sur photo station et je ne partage pas mes photos car ma liaison internet ne permet pas encore des téléchargements rapides (je suis en adsl). Mais s'agissant d'un lien de partage, il ne fait que renvoyer vers un dossier ou un fichier, l'url importe peu au final si elle renvoie au bon endroit. Aussi, je ne vois pas l'intérêt d'avoir deux chemins différents pour le même résultat.

Lien vers le commentaire
Partager sur d’autres sites

Moments était censé remplacer ds photo mais tout le monde n'a pas adhérer car il manquait une vue par dossier. Le prochain DSN intégrera Synology Photo pour concilier les 2.

Comment fonctionne Moments selon ma compréhension. Chaque utilisateur peut uploader ses photos dans son propre espace home. Moments organise les photo à sa manière (par défaut par date).

Néanmoins dans Moments tu as toutes tes photos et tu crées des album sans avoir de dossier spécifique et la gestion des droits de fait quand on partage l'album soit vers des user soit vers ceux qui ont le lien

Exemple :j'importe mes photo de vacance. Je me crée un album vacance que je partage avec ma femme. Je crée un autre avec moins de photo pour la famille. Je n'ai pas besoin de crée deux dossier en duppliquant les photos. Je crée juste 2 album différents. 

 

Du coup l'accès à ds file est plus destiner à tout ce qui est autre que photos et moments pour les photos.

Besoin de partager via HTTPS://fichier.... Et HTTPS ://moments....

Lien vers le commentaire
Partager sur d’autres sites

Je viens de lire le tuto VPN, je me demande si il est nécessaire de le mettre en place si on a mis tout le reste en place ? (Reverse Proxy, acces DSM uniquement en local, restriction pour utilisateur admin...)

Les utilisateurs utiliseront la plupart du temps soit l'appli moments soit Chrome sur leur mobile en 4G ou leur propre Wifi. De plus la plupart des users n'auront que des accès en lecture et pas en écriture.

La mise en place d'un VPN sur chaque périphérique me semble assez contraignant. 

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, hali a dit :

Je viens de lire le tuto VPN, je me demande si il est nécessaire de le mettre en place si on a mis tout le reste en place ? (Reverse Proxy, acces DSM uniquement en local, restriction pour utilisateur admin...)

Les utilisateurs utiliseront la plupart du temps soit l'appli moments soit Chrome sur leur mobile en 4G ou leur propre Wifi. De plus la plupart des users n'auront que des accès en lecture et pas en écriture.

La mise en place d'un VPN sur chaque périphérique me semble assez contraignant. 

Bonsoir,

Effectivement le VPN est surtout utile si c'est le seul mode d’accès et pour joindre d'autres équipements du LAN , camera IP, domotique...

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.