Périphériques trop bavards

[YanHulbert]

bonjour,
je voudrais interdire à certains périphériques de mon réseau local, de contacter leur maison mère. recherche automatique de mise à jour, envoi de je ne sais pas quel fichier. bref ils sont trop bavards à mon gout.
je n'ai pas trouvé car je n'ai certainement pas cherché au bon endroit.
Comment bloquer ces périphériques ? par leur adresse IP, par leur adresse Mac ?  ou mettre une règle ?
merci pour vos conseils.

cordialement

Yan

[PiwiLAbruti]

Configure leur adresse IP manuellement en ne précisant ni serveur DNS, ni passerelle.

[YanHulbert]

bonjour et merci @PiwiLAbruti  oui mais non car ces périph ont besoin de se connecter à d'autre périph de mon réseau local, ne serait-ce que se mettre à l'heure synchro de mon serveur NTP.

je cherche le moyen de faire une règle sur le RT2600 et uniquement sur le RT
cordialement

Yan

[Mic13710]

De ce que j'ai compris, les routeurs Synology ne sont pas encore capables de faire ça. La prochaine version (annoncée la semaine dernière) devrait le proposer, ainsi que le VLAN. Sortie prévue .... quand ce sera dispo.

[MilesTEG1]

Il me semble qu’on peut interdire le traffic sortant sur internet pour un périphérique, non ?

faut juste j’aille voir pour faire une capture.

[oracle7]

@YanHulbert

Bonjour,

Dans le pare-feu du Routeur RT2600 tu crées une règle pour l'@IP locale de chacun de tes périphériques locaux qui n'autorise que ton réseau local en destination et cela devrait le faire. Si je ne dis pas de bêtises toute @IP externe ne sera donc pas joingnable pour ces périphériques mais attention dans certains cas cela peut empécher de périphérique en question de fonctionner correctement, donc à faire de façon pertinente.

Cordialement

oracle7😉

 

 

[PiwiLAbruti]

Il y a 1 heure, YanHulbert a dit :

oui mais non car ces périph ont besoin de se connecter à d'autre périph de mon réseau local

Supprimer la passerelle ne les empêchera pas d'accéder aux autres machines du réseau local, sauf si tu as plusieurs sous-réseaux(ce dont je doute fortement).

[YanHulbert]

je crois que j'ai trouvé, sauf votre avis contraire.

RT2600 > Centre réseau > Contrôle du trafic  
il semble qu'en cliquant sur 'Banni' en regard du périphérique à bloquer (en faisant donc apparaitre le petit globe), si je comprends bien la doc  "Guide de l'utilisateur du synology router" au chapitre 5 page14 'appliquer le controle du trafic' bloquerait toute sortie du périph vers internet.

votre avis ?

cordialement,

Yan

[PiwiLAbruti]

Si ça fonctionne et que ça te convient, c'est le principal.

Personnellement je préfère que le trafic ne sorte même pas de la source, et donc que le pare-feu n'ait rien à bloquer.

[YanHulbert]

 

il y a 11 minutes, PiwiLAbruti a dit :

Si ça fonctionne et que ça te convient, c'est le principal.

j'ai pas dit que cela fonctionnait et me convenait, je n'ai pas assez de recul.  j'ai écris "je crois que j'ai trouvé, sauf votre avis contraire.   ../.. il semble  ../.. si je comprends bien .../... bloquerait .../... votre avis ? "

je vais attendre l'avis d'autres personnes.

 

@PiwiLAbruti dans ce cas, le parefeu ne sert jamais alors cela remet en cause le pourquoi de son existence.  et que devient le trafic et l'échange des data entre les périphériques d'un même réseau local si tu ne définis ni passerelle ni sous réseau ?  faudra que je soumette ta préconisation à l'ingé réseau du pro car ça dépasse mes compétences mais ça ne sera pas avant l'année prochaine, vacances obligent...

[MilesTEG1]

il y a 40 minutes, YanHulbert a dit :

je crois que j'ai trouvé, sauf votre avis contraire.

RT2600 > Centre réseau > Contrôle du trafic  
il semble qu'en cliquant sur 'Banni' en regard du périphérique à bloquer (en faisant donc apparaitre le petit globe), si je comprends bien la doc  "Guide de l'utilisateur du synology router" au chapitre 5 page14 'appliquer le controle du trafic' bloquerait toute sortie du périph vers internet.

votre avis ?

cordialement,

Yan

@YanHulbert C'est bien là ce dont je parlais ce matin 😉 Vous avez été plus rapide que moi 😉 
Cela-dit, voilà quand même une capture d'écran :

Par contre, les caméras doivent être configurées pour récupérer l'heure depuis le NAS ou un autre serveur sur le LAN puisque tout le traffic sortant du LAN sera bloqué.

[church]

Hello !

Il y avait déjà eu une demande identique il y a quelques mois sur ce topic :

 

Je confirme que l'option fonctionne parfaitement : je bloque toute communication de mes caméras IP avec le cloud du fabricant de cette manière.

Elles restent parfaitement accessibles en local et je m'y connecte à distance en passant par le VPN hébergé sur le routeur.

Note : service NTP activé sur le RT2600AC. Les caméras sans fil y sont connectées en fixant les IP locales ainsi que l'adresse du routeur dans les DNS. La synchro de l'heure se fait bien automatiquement.

[PiwiLAbruti]

Il y a 3 heures, YanHulbert a dit :

que devient le trafic et l'échange des data entre les périphériques d'un même réseau local si tu ne définis ni passerelle ni sous réseau ?

Ne définis que l'adresse IP et le masque sur les appareils restreints, ça suffit pour que l'appareil puisse communiquer avec les machines du même sous réseau. Le passerelle n'est utilisée que pour atteindre des réseaux dont l'adressage est différent de celui de l'appareil.

Il y a 3 heures, YanHulbert a dit :

dans ce cas, le parefeu ne sert jamais alors cela remet en cause le pourquoi de son existence.

Sachant que le pare-feu devrait bloquer tout le trafic des appareils restreints, ça lui fait ça de moins à gérer. Le pare-feu ne filtre que le trafic entre réseaux différents, le trafic du réseau local (d'un même réseau) ne fait que le traverser le pare-feu sans aucun contrôle.

Donc je ne vois pas en quoi ça remettrait en cause l'existance du pare-feu.

[cadkey]

Il y a 5 heures, church a dit :

 

Note : service NTP activé sur le RT2600AC. Les caméras sans fil y sont connectées en fixant les IP locales ainsi que l'adresse du routeur dans les DNS. La synchro de l'heure se fait bien automatiquement.

@church,
Comment fais-tu la synchro de l'heure des cameras avec le service NTP du RT2600ac?
Moi la config des caméras ne voit que 4 serveurs NTP prédéfinis.
Configures-tu NTP pour les caméras dans Surveillance Station?

[maxou56]

il y a 46 minutes, cadkey a dit :

Comment fais-tu la synchro de l'heure des cameras avec le service NTP du RT2600ac?

Bonjour,

Sur le Routeur (ou sur le NAS) tu actives le serveur NTP (sur SRM dans Panneau de configuration > service > service NTP).

Puis dans la caméra, tu rentres manuellement (si c'est possible) l'IP du serveur NTP (parfois même si il n'y qu'une liste, on peut aussi rentrer manuellement un IP, c'set le cas sur macOS par exemple, ou les Reolink avec le client).

Sinon le plus simple, si surveillance station géré l'option pour la caméra, le mieux c'est de mettre pour le serveur de temps "synchronisation avec surveillance station"

(Sinon si c'est codé en dur et que le périphérique utilise bien le NTP standard, on doit pouvoir contourner avec un serveur DNS nondusrveurNTP.org > redirection de type A > IP du serveur NTP local)

[cadkey]

@maxou56, merci de ton aide
sur le routeur j'ai bien activé NTP
sur Surveillance station "synchronisation avec surveillance station" est grisé. les cam sont configurées en ONVIF.
sur mon RT2600ac, dans centre reseau controle de trafic je les bloque pour ne pas qu'elles se connectent sur le net, et le NTP ne fonctionne pas. pourtant c'est le routeur qui fait le service NTP. 
si je ne les bloque pas ça fonctionne
 

[church]

Hello !

Je n'utilise pas surveillance station. Uniquement le client de mes caméras reolink. Comme dit plus haut, j'ai paramétré l'adresse du serveur NTP (IP du routeur Synology) dans l'interface des caméras. L'update de l'heure se fait donc par ce biais.
 

[cadkey]

@church, d'accord. je pensais que tu avais Surveillance Station.
@maxou56, merci. j'ai modifié ma confige et j'ai pu activer "synchronisation avec surveillance station"
Merci à vous.

[YanHulbert]

Il y a 20 heures, MilesTEG1 a dit :

Par contre, les caméras doivent être configurées pour récupérer l'heure depuis le NAS ou un autre serveur sur le LAN puisque tout le traffic sortant du LAN sera bloqué

bonjour,

en effet, je récupère les trames des satellites GPS pour les utiliser comme serveur de temps. je ne dépends pas des NTP internet à cause des coupures trop fréquentes. pour mon hobby de presque retraité, j'ai besoin que tous mes enregistrements aient un décalage de temps de moins d'un quart de seconde.

 

Il y a 20 heures, church a dit :

Je confirme que l'option fonctionne parfaitement : je bloque toute communication de mes caméras IP avec le cloud du fabricant de cette manière.

bonjour,
merci pour ta confirmation. je fonctionne tout comme toi.
j'ai pas trouvé le post que tu cites.

 

 

Il y a 11 heures, cadkey a dit :

j'ai modifié ma confige et j'ai pu activer "synchronisation avec surveillance station"

bonjour,
 hahaha  je vois que ma QLC (Question à La Con) a été utile. chouette.

 

Il y a 14 heures, maxou56 a dit :

Sur le Routeur (ou sur le NAS) tu actives le serveur NTP (sur SRM dans Panneau de configuration > service > service NTP).

bonjour,

c'est vrai que c'est très simple. et ça permet d'avoir toutes les bécanes du réseau à la même heure.
( et ça fatigue moins le parefeu qui n'a plus analyser et a laisser passer les innombrables requêtes de trames NTP vers l’extérieur) 🧐

Il y a 18 heures, PiwiLAbruti a dit :

Sachant que le pare-feu devrait bloquer tout le trafic des appareils restreints, ça lui fait ça de moins à gérer.

bonjour,

si maintenant il faut se préoccuper de la charge de travail d'un parefeu, ce pour quoi il est fait ....

Il y a 18 heures, PiwiLAbruti a dit :

Donc je ne vois pas en quoi ça remettrait en cause l'existance du pare-feu

c'est ta 'recette' pour empêcher la connexion vers l'extérieur qui remet en cause le rôle même du parefeu qui devient donc inutile dans une infra en regard des couches 2 et 3 du modèle OSI

 

bonne journée,
Yan

[cadkey]

il y a 33 minutes, YanHulbert a dit :

en effet, je récupère les trames des satellites GPS pour les utiliser comme serveur de temps. je ne dépends pas des NTP internet à cause des coupures trop fréquentes. pour mon hobby de presque retraité, j'ai besoin que tous mes enregistrements aient un décalage de temps de moins d'un quart de seconde.

Bonjour,
Peut-on savoir avec quoi tu recuperes les trames GPS et tu les utilises dans ton Syno?
Merci

[PiwiLAbruti]

il y a 16 minutes, YanHulbert a dit :

c'est ta 'recette' pour empêcher la connexion vers l'extérieur qui remet en cause le rôle même du parefeu qui devient donc inutile dans une infra en regard des couches 2 et 3 du modèle OSI

Ça ne remet rien en cause du tout et ça ne s'applique qu'aux appareils concernés, les autres ont besoin du pare-feu ne serait-ce que pour limiter une partie du trafic. C'est juste la façon la plus sécurisée d'empêcher des appareils maîtrisés d'accéder à d'autres réseaux (on les prive de niveau 3 en leur retirant la passerelle, rien ne sort de ces appareils en dehors du trafic local).

Maintenant chacun fait comme il le souhaite.

[.Shad.]

Il y a 19 heures, PiwiLAbruti a dit :

Le pare-feu ne filtre que le trafic entre réseaux différents, le trafic du réseau local (d'un même réseau) ne fait que le traverser le pare-feu sans aucun contrôle.

Je me permets de t'interroger là-dessus.
Je ne sais pas ce qu'il en est du RT, mais ça m'interpelle, avec pfSense (défini en passerelle sur chaque périphérique) je peux totalement contrôler, au sein d'un même sous-réseau, qui communique avec qui, comment, etc...
Mais j'imagine que c'est parce que le pare-feu est défini comme passerelle si je comprends bien tes propos ? En gros si j'enlevais l'IP du pare-feu en passerelle, chaque appareil pourrait communiquer avec son voisin de sous-réseau (en ne tenant pas compte des éventuels pare-feux logiciels de chaque périphérique) ?

[PiwiLAbruti]

@.Shad. Si tu parles bien du trafic entre deux machines d'un même réseau, ça me paraît peu probable :

Il y a 20 heures, PiwiLAbruti a dit :

Le passerelle n'est utilisée que pour atteindre des réseaux dont l'adressage est différent de celui de l'appareil.

Autrement dit, le trafic local n'ayant pas besoin d'être routé, la passerelle n'est pas utilisée.

il y a 52 minutes, .Shad. a dit :

En gros si j'enlevais l'IP du pare-feu en passerelle, chaque appareil pourrait communiquer avec son voisin de sous-réseau (en ne tenant pas compte des éventuels pare-feux logiciels de chaque périphérique) ?

Exactement. C'est le moyen le plus simple et efficace d'empêcher des équipements d'accéder à d'autres réseaux (dont internet). Pas de bras, pas de chocolat 😄

Au passage, je ne sais pas s'il est possible de personnaliser les options d'une réservation DHCP dans SRM. Ça peut être pratique pour retirer la passerelle de certaines machines tout en les laissant en adressage dynamique (DHCP).

[YanHulbert]

Il y a 1 heure, cadkey a dit :

Peut-on savoir avec quoi tu recuperes les trames GPS

bonjour,
 j'ai forcé un peu-beaucoup la chance pour récupérer un NTS-6002-GPS chez un client au pays du soleil et du sable ou il fait 35° en permanence.

Il y a 1 heure, PiwiLAbruti a dit :

st juste la façon la plus sécurisée

houlalalalalala...

Il y a 1 heure, PiwiLAbruti a dit :

Maintenant chacun fait comme il le souhaite

oui, toutafé.

 

Il y a 1 heure, .Shad. a dit :

Je me permets de t'interroger là-dessus.

Rhoooooo🧐 👍👍👍

 

Il y a 1 heure, .Shad. a dit :

En gros si j'enlevais l'IP du pare-feu en passerelle, chaque appareil pourrait communiquer avec son voisin de sous-réseau (en ne tenant pas compte des éventuels pare-feux logiciels de chaque périphérique) ?

@.Shad. 🤗💯

mouarff 

bin oui et non puisque le parefeu est inutile !!

 

Pardon, je me retire de la discussion mais je lirai vos propos avec la plus grande attention et le plus grand plaisir.

cordialement

Yan

[PiwiLAbruti]

il y a 19 minutes, YanHulbert a dit :

bin oui et non puisque le parefeu est inutile !!

Je ne comprends toujours pas en quoi le pare-feu devient subitement inutile.

Le pare-feu (et donc la passerelle dans le cas présent) n'est jamais utilisé dans le cas des communications entre machines d'un même réseau. Donc retirer la passerelle sur tes caméras ne les empêchera pas de se mettre à jour via NTP sur le réseau local, peu importe que le serveur NTP soit sur un routeur, un NAS, ou autre. Je ne vois pas ce qu'il y a de choquant là-dedans.