Connexion impossible en local avec Chrome et Windows

[Typiac]

Bonjour,

Ayant dû reprendre un peu mon installation électrique, j'ai débranché le NAS. Je pensais que l'IP resterait fixe comme paramétrée dans la box mais j'ai dû tout refaire. 

A présent, je parviens bien à me connecter via l'IP publique mais lorsque je veux faire de même en local, j'ai un message de chrome:

"Pour bénéficier du niveau de sécurité le plus élevé de Chrome, activez la protection renforcée"

Le lien sensé renvoyer vers l'activation ne fonctionne pas et si je fais clic droit pour ouvrir dans un nouvel onglet, le lien est le suivant:

chrome-error://chromewebdata/#

 

J'ai donc fais de même avec Firefox. J'ai aussi une alerte de sécurité mais je peux mettre une exception et me connecter tout de même.

Pour ce qui est de windows à présent: J'ai la même alerte et cela m'ouvre une fenêtre de chrome identique à la première décrite... Je ne peux donc pas accéder à mes fichier via l'explorer.

 

Je précise au passage que j'ai un certificat synology actif et renouvelé. Comment puis-je retrouver cet accès en local à votre avis?

[oracle7]

@Typiac

Bonjour,

A mon humble avis, si tu récupères une alerte de sécurité quelque soit le navigateur employé, c'est que tu as un problème avec ton certificat qui n'est plus bon.

Vérifies le, et vérifies aussi qu'il est bien affecté aux services (bouton "Configurer" dans l'onglet Certificat).

Cordialement

oracle7😉

 

[Typiac]

Le certificat à l'air ok, d'autant que je l'ai renouvelé. je mets un screen shot en PJ mais a priori, pas de soucis...

 

[oracle7]

@Typiac

Bonjour,

Donc avant de te proposer de te lancer dans un éventuel paramétrage de ta box et de ton NAS pour les mettre d'aplomb, si tu pouvais répondre à ces questions, merci :

1. Quel est le type de ta Box ?

2. As-tu une @IP externe (celle de ta box) fixe ou dynamique ?

3. Si ton @IP externe est dynamique tu as donc défini un DDNS dans DSM, vers quoi il pointe (quelle @IP, celle de ta box) ?

4. Utilises-tu un routeur derrière ta box ?

5. Depuis l'extérieur, dans un navigateur Web avec cache vidé : taper l'URL http://<@IP Externe>:5000 --> tu dois atteindre le NAS, est-ce le cas ?

6. As-tu, lus et appliqués les TUTO suivants :

• TUTO : Débuter avec un NAS Synology

• TUTO : Sécuriser les accès à son NAS
  Dans le cas contraire, avant toutes choses, je t'invite à les suivre.

Cordialement

oracle7😉

[Typiac]

Merci de ton aide. Alors bizarrement, tout est revenu à la normal il y a une heure.

Cependant, j'ai l'alerte de sécurité due au certificat non certifié. Est-ce normal?

Dans le doute, voici les infos:

1- c'est une freebox, pas de switch ni de routeurs intercalés

2- L'IP est fixe

3- J'ai une redirection de ports organisée comme ceci:

-> IP de la BOX:1574 -> IP du NAS:7415 (https)

Le certificat est celui fourni par Synology créé avec let's encrypt si mes souvenir sont bons.

Je fais super attention à ça parce que je suis en train de passer une formation diplômante en cyber-sécurité et quand on fait des challenges de type CTF pour ceux qui connaissent, la moindre ip qui traine est les mecs tentent des attaques (rien de méchant mais bon...)

[oracle7]

@Typiac

Bonjour,

Il y a 18 heures, Typiac a dit :

J'ai une redirection de ports organisée comme ceci:

-> IP de la BOX:1574 -> IP du NAS:7415 (https)

A propos du changement de ports du NAS, je crois à mon humble avis que c'est une fausse bonne idée.

Il est en effet inutile de changer les ports par défaut. Ce qu'il faut soigner, ce sont les protections des accès. Mais rien ne t'empêche de le faire si tu penses que c'est bien. L'utilité est franchement discutable car si tu fais une commande « nmap » sur ton IP publique, tu verras en quelques secondes tous les ports accessibles depuis le lieu de la commande, donc que DSM soit sur le port 5000 ou 7415, cela ne change rien. Une commande « curl » renseignera également directement sur le contenu de la page renvoyée par ton @IP sur ce port. Donc aucun intérêt, mais ce n’est que mon avis …

De plus, lors d'une attaque d'un malveillant, en changeant les ports par défauts, tu ne fais que de le retarder que de quelques secondes. Il aura vite fait de trouver la supercherie. Comme de toutes façons, il ne cherche qu'à déterminer la réponse du service/appareil connecté au port testé, il trouveras vite derrière quel port est ton NAS.

enfin si tu changes les ports par défaut dans le portail des applications, il faut aussi qu'ils soient autorisés dans le pare-feu et qu'ils soient ouverts dans le routeur/box, c'est le b a ba.

De plus, pour que les applications DSxxx fonctionnent, il faudra rajouter dans l’URL de connexion, le port de communication soit : ndd (ou IP publique):<N°PortApplication/Service>. Ce qui au final rajoute de la complexité à l'usage courant car il faut mémoriser chaque combinaison pour chaque application. Pas simple ...

Cordialement

oracle7😉

[Typiac]

Oui, je suis tout à fait d'accord avec toi. J'ai initialement créé une redirection car j'utilise en parallèle des containers dockers et j'avais besoin de spécifier les ports mais effectivement, ça ne sert pas à grand chose concernant l'accès classique.