Aller au contenu

Messages recommandés

Posté(e) (modifié)

Logo DiskStation Manager

 

Pour qui ?

Depuis plusieurs années, ce tutoriel rédigé par @Fenrir est LA référence en matière de sécurisation des accès à un NAS. C'est de loin le tutoriel le plus lu du forum, et c'est une bonne chose, car cela signifie que les utilisateurs de NAS Synology se préoccupent de sécuriser leurs données.

Néanmoins, bien que le tutoriel soit toujours d'actualité, certaines sections de DSM sont organisées différemment depuis l'arrivée de DSM 7.
En outre, certaines informations importantes se trouvent dans les innombrables pages de commentaires, ce qui ne facilite pas la tâche aux nouveaux venus.

A l'usage, on remarque également qu'il peut :

  • parfois aller trop vite sur certains points pour des néophytes
  • être a contrario trop succinct pour des utilisateurs souhaitant aller plus loin dans la sécurisation des accès.

Il a donc été convenu de rédiger deux versions du tutoriel :

  • cette version, une version plus pas-à-pas, reprenant l'essentiel du tutoriel original, destinée à permettre une rapide mise en service d'un NAS de manière sécurisée. C'est l'objet du tutoriel que vous allez maintenant suivre.
  • une version plus avancée, pour utilisateurs avertis

Le tutoriel s'inspire grandement du tutoriel original, merci encore à @Fenrir son rédacteur.

Préambule et recommandations

Définition

Mais commençons par un peu de vocabulaire, un produit labélisé NAS chez Synology est en réalité un serveur, disposant d'un OS, d'un processeur et de mémoire, permettant :

  • La mise à disposition en réseau de données par de nombreux protocoles : HTTP, HTTPS, CIFS, NFS, SSH, etc...
  • L'hébergement de services divers et variés :
    • nativement (Centre de paquets)
    • par conteneurisation (Container Manager) (plus d'info ici)
    • par virtualisation (Virtual Machine Manager)

Dans la suite du tutoriel, nous emploierons improprement le terme NAS par commodité.

Cahier des charges

Ce que ce tutoriel couvre :

  • La configuration des protocoles utilisés pour les accès au NAS
  • La configuration du pare-feu
  • La mise en place d'un certificat TLS
  • La configuration d'un service de notification
  • La protection des accès utilisateurs
  • La configuration des cartes réseau

Ce que ce tutoriel ne couvre pas :

  • La configuration de votre box pour un accès distant
  • La mise en place d'un proxy inversé
  • La mise en place d'un serveur VPN
  • Le chiffrement de volume ou de dossier partagé
  • La sauvegarde et la restauration de données (outre la configuration du système)

// IMPORTANT \\

En appliquant ce tutoriel, vous coupez votre NAS de tout accès extérieur. Pour accéder à votre NAS à distance, il existe plusieurs méthodes :

  1. Utilisation du relais QuickConnect de Synology, point abordé dans la partie Accès externe.
  2. Accès par nom de domaine (point abordé dans la partie Accès externe également) + redirection de ports (avec ou sans proxy inversé)
  3. Utilisation d'un serveur VPN sur le NAS
  4. pour le transfert de fichiers uniquement : FTP, SFTP, WebDAV, etc...

Veuillez vous référez aux liens fournis pour la mise en place d'un accès externe sécurisé.

Prérequis et méthode

Le vocabulaire dédié au monde du réseau est spécifique, il est conseillé de lire le sujet rédigé par @Kramlech, ces notions seront utiles pour la compréhension de la suite du tutoriel. De plus, ce tutoriel renverra vers d'autres tutoriels pour ceux qui souhaitent aller plus loin.

Si une catégorie ou un onglet ne sont pas mentionnés, c'est qu'ils ne présentent pas d'intérêt dans le cadre de ce tutoriel.

Lorsque des explications supplémentaires mais non nécessaires sont proposées, elles sont cachées dans des balises spoiler :

Révélation

Ca reste quand même intéressant à lire !

Lisez ce tutoriel en diagonale une première fois pour avoir une vision globale des modifications que vous vous apprêtez à effectuer

La plupart des fenêtres que vous ouvrirez dans DSM possède une aide intégrée, celle-ci est généralement bien documentée et traduite, cela vous permettra de connaître plus en détail les fonctionnalités offertes par les divers champs activables :

help_1.PNG.763ed2c55c8c7088a924041eba8b3016.PNG

 

Précautions

Sauvegarde de la configuration

Que vous veniez d'installer DSM sur votre NAS, ou que vous ayez déjà une instance de DSM en production, il est impératif de réaliser une sauvegarde de la configuration avant de commencer, pour cela, on va dans Démarrer -> Panneau de configuration ->  Mise à jour et restauration -> Sauvegarde de configuration -> Exportation manuelle :

sauvegarde_conf_1.PNG.03f7bb226e86844e331fa2f7e6843173.PNG

Cliquez sur Exporter et sauvegarder le fichier sur votre ordinateur.
En cas de problème, il sera possible de restaurer la configuration précédemment exportée en cliquant sur Restauration.

J'ai tout cassé

Si vous n'arrivez plus à avoir accès à votre NAS suite à un réglage effectué au cours du tutoriel, vous pouvez toujours effectuer un reset mode 1 du NAS.
Celui-ci est suffisant dans l'extrême majorité des cas, et il a l'avantage de réinitialiser un nombre limité de réglages qui sont susceptibles de provoquer une perte d'accès à DSM.

_________________________________________________________________________________________________________________________________________________________________________________________

Sécurité

Cette section sera abordée plus en détail par après, mais dans un premier temps il est impératif de sécuriser les accès à votre NAS.

Pare-feu - Accès locaux

Par défaut, le pare-feu n'est pas activé, et donc tous les accès sont permis.
L'idée générale est d'autoriser les accès depuis le réseau local, et de le fermer aux accès distants.
Au fil des années, nous avons pu constater que la pratique habituelle de créer des règles pour toutes les interfaces pouvaient avoir des effets de bord indésirables, notamment dans le cadre de l'utilisation d'un serveur VPN, il est donc plus sécurisé de créer le minimum de règles pour chaque interface séparément. Et c'est la méthode que nous allons détailler.

Pour configurer le pare-feu, il faut cocher Activer le pare-feu.
Il est conseillé de laisser les notifications du pare-feu tout en les refusant quand elles apparaitront à l'installation de paquets, afin d'être informé des ports utilisés par les dits paquets.
On va ensuite cliquer dans la liste déroulante contenant les profils de pare-feu, et cliquer sur Gérer le profil du pare-feu.

securite_4.PNG.5d1eebf48e18d2799d8dfe3b2d55c522.PNG

On va cliquer sur Créer pour créer un nouveau profil, et on le nomme par-interface :

securite_5.PNG.264a4fd15ebec390947989b7a7a7e9d8.PNG

On sélectionne l'interface qu'on souhaite configurer, ici pour l'exemple LAN 1.

On va tout d'abord ajouter quatre règles garantissant un accès local complet à votre NAS :

securite_8.PNG.19cc5f7d8228bbfb03ec87066e8ac6aa.PNG

Pour ce faire, on procède ainsi :

  1. On clique sur Créer
  2. On coche IP spécifique puis on clique sur Sélectionnez
  3. On choisit Sous-réseau et on entre 192.168.0.0 dans Adresse IP, et 255.255.0.0 dans Masque de sous-réseau
    ATTENTION : si vous le souhaitez, vous pouvez restreindre à votre réseau local. Ici on couvre toute la plage locale possible en 192.168.
    Par exemple, si le réseau de votre box est 192.168.1.x, alors vous pouvez entrer 192.168.1.0/255.255.255.0
  4. On valide :

    securite_7.PNG.4fa84985deb10f98e5d51acbd9fc40b1.PNG
     
  5. On répète la même opération pour les deux autres règles, 172.16.0.0/255.240.0.0 et 10.0.0.0/255.0.0.0
  6. On ajoute une règle pour les accès locaux en IPv6 :

    securite_15.PNG.3b85f2fc86192fb2fa0f03daaa1fb582.PNG

A elles quatre, ces règles permettent à tous les clients utilisant des IP privées d'accéder à tous les services du NAS (attention, ils sont toujours toutefois soumis aux processus d'authentification, ces règles leur permettent uniquement de ne pas faire se refouler à l'entrée).

Dernier point, mais le plus important, on choisit Refuser l'accès comme comportement du pare-feu en cas de requête non déclenchée par les règles précédemment ajoutées :

securite_6.PNG.b7380ee5086b7396ddb0540bc7d0966f.PNG

_________________________________________________________________________________________________________________________________________________________________________________________

Notifications

Celles-ci sont requise pour certaines fonctionnalités comme l'authentification à deux facteurs ou plus simplement pour que vous soyez prévenu dès qu'un problème survient dans le système.

On va dans Panneau de configuration -> Notification :

notif_1.thumb.png.9d20cd9bd56861fd4bd80dfc9124495b.png

 

  • Dans Compte Synology, cochez Recevez des notifications directement dans votre compte Synology lorsque l'état du système change ou lorsque des erreurs se produisent
    En activant l'option, vous serez invité à vous connecter à votre compte Synology
    . Cela nécessite la création ou l'association à un compte Synology
  • Dans Email, on clique sur Configurer, et on choisit un fournisseur SMTP ou on configure le sien si on en a un
  • Dans Profils de destinataires, on peut choisir des adresses mail différentes suivant la criticité des événements. On clique sur Ajouter. On utilise la règle Warning et on entre l'email de destination, il peut être le même que l'expéditeur
  • Dans Paramètres d'email, on peut personnaliser le préfixe de l'objet du mail
  • On clique sur Envoyer un e-mail de test dans Profils de destinataires pour vérifier que tout fonctionne. Vérifier votre boîte de spam si rien n'arrive

_________________________________________________________________________________________________________________________________________________________________________________________

Services de fichiers

On va dans Panneau de configuration -> Services de fichiers

SMB

Général

SMB (ou Samba dans sa déclinaison Linux) est le protocole utilisé par Windows lorsqu'on monte un lecteur réseau dans l'explorateur de fichiers. Mais même sous Linux, il est le protocole à privilégier lorsqu'on se connecte à un NAS.

smb_1.PNG.87f0de054aaf01e2dc587dce2b0bd76d.PNG

  1. Dans Paramètres SMB, cochez Activez le journal des transferts
  2. On coche Masquer les dossiers partagés pour les utilisateurs ne disposant pas d'autorisation
  3. Dans WS-Discovery, on coche Activer la découverte de réseau Windows pour autoriser l'accès aux fichiers via SMB :

    smb_4.PNG.f0ce550a87858ee5c26e6b18e12854ac.PNG
     
  4. On clique sur Paramères avancés et on définit le protocole SMB minimum sur SMB2 et Large MTU, SMB1 a de nombreuses failles de sécurité et n'est plus nativement par défaut activé dans DSM :

    smb_2.PNG.4e1d10e626454ccbebf96914050576ea.PNG

Autres

  1. On coche les 3 options suivantes :

    smb_3.PNG.0aecac190c1e5a1c51d04ddd14e89fb1.PNG
     
  2. Si on souhaite activer SMB3 multicanal, on doit cocher Activer SMB3 multicanal et Activer la lecture asynchrone, le service est ensuite redémarré.

AFP, NFS, FTP, rsync et Avancés

N'activez que les protocoles et options dont vous avez besoin, autrement laissez les réglages par défaut.

_________________________________________________________________________________________________________________________________________________________________________________________

Utilisateur et groupe

Utilisateur / Groupe

Ce tutoriel n'aborde pas dans le détail la gestion des groupes et utilisateurs, gardez toutefois à l'esprit que :

  • Rationalisez les permissions. Dans le cas d'utilisateurs similaires, créer un groupe reprenant les permissions partagées est plus élégant que de configurer manuellement les droits de chaque utilisateur
  • Limitez les permissions d'un utilisateur ou un groupe au strict nécessaire

Compte administrateur alternatif

Lors du passage à DSM 7, ou lors d'une nouvelle installation, vous êtes invités à créer un nouveau compte administrateur si votre seul compte administrateur est le compte "admin".
Cela permet d'avoir un compte administrateur avec des accès plus robustes (voir Politique de mot de passe), et de désactiver le compte "admin" par défaut, sur lequel vous ne pourrez plus vous connecter.

/!\ CETTE ÉTAPE EST OBLIGATOIRE /!\

user_1.thumb.PNG.fe8b947c56ad6c339965743491b03435.PNG

Configuration du mot de passe

On se dirige vers l'onglet Avancé -> Configuration du mot de passe :

user_2.PNG.d9ace164ad15fe246cd74f204ee2085f.PNG

Révélation

Un bon mot de passe c'est un mot de passe facile à retenir ou à retrouver de tête (donc pas sur un post-it) et relativement long. On lit souvent qu'il faut utiliser des caractères spéciaux car ça rend les mots de passe plus complexes. C'est vrai si ces 3 conditions sont réunies :

  • les utilisateurs arrivent à s'en souvenir sans le noter
  • les utilisateurs arrivent à le taper (clavier mobile, braille, étranger, ...)
  • sa longueur est d'au moins 12 caractères

Du point de vue sécurité, imposer des caractères spéciaux à un mot de passe ne le complexifie que d'un "bit" en équivalent cryptographique. Ajouter deux caractères "normaux" le complexifie de 11 bits.

Pour un humain, deviner une chaine de 10 caractères spéciaux est très complexe, pour une machine c'est plus facile qu'une chaine de 10 caractères "normaux".

De façon générale, privilégiez une chaîne de mots ayant un sens pour vous, par exemple : Goldorak_Anime_Manga_Japon567
C'est souvent plus simple à retenir, et complexifie énormément toute tentative de brute force.

Espace personnel de l'utilisateur

Au bas du menu Avancé on coche Activer le service d'accueil de l'utilisateur, afin que chaque utilisateur dispose de son propre dossier personnel dans homes (homes n'est visible que des membres du groupe administrateurs).

ATTENTION : Il est primordial de ne pas toucher aux permissions du dossier homes (visible uniquement par les administrateurs) et aux dossiers home (pour les utilisateurs non administrateurs).

_________________________________________________________________________________________________________________________________________________________________________________________

Accès externe

QuickConnect

Si vous ne souhaitez pas accéder à votre NAS en dehors de votre domicile, désactivez Quickconnect.

Révélation

Sur NAS-FORUM, on déconseille fortement l'utilisation de QuickConnect pour plusieurs raisons :

  • Vous êtes tributaires des serveurs Synology pour vous connecter à votre NAS
  • Le trafic est plus lent
  • Vous êtes soumis aux failles de sécurité éventuelles des prestataires intermédiaires

Pour information, voici comment fonctionne QuickConnect :

quickconnect_1.thumb.PNG.3c82ce09771bf1db63aca511016b59b7.PNG

  1. Votre NAS établit un tunnel OpenVPN avec un serveur tiers loué par Synology (donc de fait, ils ont un accès direct au NAS s'ils le souhaitent)
  2. En parallèle est créé et mis à jour un enregistrement DNS avec votre IP publique (comme le DDNS)
  3. Lorsque vous entrez l'adresse QuickConnect de votre NAS, votre client va essayer de déterminer si vous pouvez vous connecter en direct
  4. Si ce n'est pas le cas, votre trafic sera dirigé sur un serveur de Synology qui se chargera de router le trafic dans le tunnel du point 1 (donc ils peuvent voir tout ce qui passe)

Il est préférable d'opter pour la location d'un nom de domaine ou d'utiliser celui fourni gratuitement par Synology.

Néanmoins, QuickConnect a l'avantage d'être une solution intéressante lorsque votre IP n'est pas accessible publiquement :

  • Vous êtes derrière du CGNAT, c'est-à-dire votre IP publique ne l'est pas vraiment et commence possiblement par 10
  • Vous n'avez pas de contrôle sur le routeur ou la box en amont de l'emplacement de votre NAS (derrière un pare-feu d'entreprise par exemple)

Une solution alternative consiste à utiliser un client VPN sur le NAS pour se connecter à un VPS sur lequel on a un contrôle complet, même s'il n'est plus très à jour, ce tutoriel peut vous orienter sur la marche à suivre.

DDNS

Si vous ne souhaitez pas accéder à votre NAS en dehors de votre domicile, vous pouvez ignorer ce passage.

Révélation

Pour configurer l'accès distant, le plus simple est d'utiliser le nom de domaine Synology disponible pour toute instance de DSM déployée, on va dans l'onglet DDNS, on clique sur Ajouter :

ddns_1.PNG.bf756adc90a07238c3481d76c9fbdabf.PNG

  • On se connecte à notre compte Synology, et on choisit un nom de domaine, ici exemple.synology.me renverra vers l'IP publique qu'on peut lire dans Adresse externe(IPv4)
  • On décoche Obtenez un certificat auprès de Let's encrypt, on le créera manuellement par après
  • On active Heartbeat, on sera ainsi informé via mail par Synology si le NAS n'est plus accessible via son nom de domaine

Lorsqu'on valide, on doit vérifier que l'état de la connexion est bien défini sur Normal :

ddns_2.thumb.PNG.6e38f86a136a69fe257ba591e85e8291.PNG

Configuration du routeur

Ne cliquez pas ici, ça fait partie des options que Synology devrait vraiment retirer de ses boitiers. C'est très dangereux du point de vue sécurité.

Ça sert à ouvrir automatiquement des ports dans votre routeur/box, ça peut paraitre sympa comme ça mais en pratique c'est une faille de sécurité très importante.

Deux exemples pour essayer de vous convaincre :

  • pour que cette fonction marche, votre routeur doit gérer l'UPnP, donc tous les équipements de votre réseau pourront faire de l'ouverture dynamique de port, le PC qui vient d'être vérolé pourra automatiquement, sans la moindre notification, ouvrir un port permettant à un attaquant d'entrer dans votre réseau
  • de même, si vous avez configuré des redirections de ports pour plusieurs équipements, ces redirections risquent de sauter si une requête UPnP demande le même port

Avancé

Un onglet que beaucoup oublient de configurer, il n'est pas obligatoire et pas lié (pas directement du moins) à la sécurité mais ça permet d'éviter de chercher des heures la raison pour laquelle un lien de partage (par exemple) ne fonctionne pas :

ddns_3.PNG.06a429252b4c16398da9e170ed6ff920.PNG

REMARQUE : si vous utilisez le proxy inversé ou le portail des applications de DSM, il n'est pas utilie de configurer ce menu.

_________________________________________________________________________________________________________________________________________________________________________________________

Réseau

L'onglet Réseau dans le panneau de configuration permet de régler la connectivité de votre appareil et ses interfaces.

Interface réseau

IPv4

reseau_2.PNG.977c9bdbea6e54da41f024cdc6399fb2.PNG

Dans l'onglet Interface réseau, on sélectionne l'interface qu'on souhaite configurer et on clique sur Modifier :

reseau_3.PNG.f8d5eeb29865d8e42568271b364fbb5b.PNG

Pour obtenir une IP, deux méthodes existent :

  • Le NAS acquiert son IP grâce au serveur DHCP, généralement votre box ou votre routeur. Pour s'assurer que cette IP ne change pas d'une fois à l'autre, il faut faire ce qu'on appelle une réservation statique d'IP dans votre serveur DHCP. Concrètement, cela signifie que pour une adresse MAC donnée (le numéro d'identité de votre carte réseau en quelque sorte), le serveur DHCP attribuera toujours la même adresse IP.
  • On fixe l'IP du NAS directement sur celui-ci, pour cela on choisit Utiliser la configuration manuelle et on choisit une IP.
    ATTENTION : il faut que l'IP choisie :
    • soit dans la plage IP de votre réseau local
    • soit hors de la plage DHCP d'attribution de votre box/modem.

La première méthode a l'avantage qu'en cas de :

  • changement de box
  • de modification de sous-réseau (passer de 192.168.1.0 à 192.168.10.0 par exemple)
  • de déménagement

Le NAS restera accessible car il obtiendra une IP dans tous les cas avec un nouveau modem, il ne vous restera plus qu'à le trouver via Synology Assistant.

IPv6

A l'heure actuelle, l'IPv6 est bien plus prise en charge par les FAI qu'au temps de la rédaction du tutoriel original, certains mêmes ne proposent plus que de l'IPv6 nativement.
Si vous souhaitez l'activer, choisissez Auto :

reseau_4.PNG.f9c5f6c0b7100800301b61a5de5e7d27.PNG

Général

Dans l'onglet Général de la catégorie Réseau :

Révélation

reseau_1.PNG.cb99b80cf17db1436e0754a20c2e478c.PNG

  • Modifier permet de déterminer la priorité des interfaces de sortie, utile si on a plusieurs interfaces (LAN1, LAN2, VPN, etc...)
  • Configurer manuellement le serveur DNS permet d'écraser les DNS reçus via le serveur DHCP. C'est utile si votre serveur DHCP fournit plus d'un serveur DNS à ses clients car DSM en l'état ne tient compte que du premier serveur DNS envoyé par le serveur DHCP (dans l'impression d'écran ci-dessus, le NAS a préféré répété l'IP du serveur primaire plutôt que d'accepter la seconde).

reseau_5.PNG.191b397deaf4d94dbad69dd9e9d8990f.PNG

REMARQUE :

Les serveurs DNS sont le moyen le plus simple pour les fournisseurs d'accès de filtrer votre navigation en bloquant l'accès à certains sites, notamment suite à des injonctions juridiques. Il existe de nombreux serveurs DNS publiques que vous pouvez renseigner dans votre serveur DHCP ou dans la configuration manuelle du NAS :

  • FDN : 80.67.169.12 et 80.67.169.40
  • Cloudflare : 1.1.1.1 et 1.0.0.1
  • Quad9 : 9.9.9.9 et 149.112.112.112

Il est également possible de bénéficier d'un filtrage DNS ciblé en utilisant par exemple les serveurs DNS d'Adguard :

reseau_6.PNG.d31e47f0fd08347f1f40cf52a124918e.PNG

  • Dans Paramètres avancés :
    • Cochez Répondre à la demande ARP si l'adresse IP cible est identique à une adresse locale configurée sur l'interface entrante, cela permet de faire en sorte que les données sortent par leurs interfaces respectives.
    • Cochez Activer la détection des conflits IP, vous aurez des notifications dans DSM si votre NAS rencontre des problèmes de conflit d'IP.

Connectivité

Cochez Activer HTTP/2

_________________________________________________________________________________________________________________________________________________________________________________________

Sécurité

A n'en pas douter la catégorie la plus importante de ce tutoriel !
Le pare-feu a été configuré pour un accès local en tout début de tutoriel.

Général

Vous pouvez laisser les réglages par défaut

Compte

 Authentification à deux facteurs (2FA)

L'authentification à deux facteurs apporte une couche de sécurité supplémentaire, mais elle n'est en aucun cas un remède palliatif à des accès utilisateurs trop faibles.
L'authentification à deux facteurs est également plus contraignante en cas de perte du périphérique sur lequel elle est configurée, s'il s'avérait être le seul. Un code de récupération est fourni par DSM pour y retrouver accès, il est impératif de le noter.

Si vous souhaitez activer l'authentification à deux facteurs, suivez les étapes suivantes :

Révélation

Allons dans Panneau de configuration -> Sécurité -> Compte et cochez Appliquer l'authentification à 2 facteurs pour les utilisateurs suivants :

securite_1.thumb.PNG.352381caeaf004ae3c96142b2e364381.PNG

Je recommande de spécifier les utilisateurs qui vont pouvoir utiliser la 2FA, choisissez donc Utilisateurs ou groupes spécifiques, si vous avez bien construit vos groupes ce sera d'autant plus facile.

On va maintenant voir comment configurer la 2FA pour un utilisateur donné, pour cela on va dans les réglages personnels de l'utilisateur dans la barre des tâches :

2FA_1.PNG.f375b381f2f2324a6726d1d59251bf53.PNG

Dans Compte, on définit une adresse e-mail si ce n'est déjà fait et on procède à sa vérification :

2FA_2.PNG.b0e303e3d1108a1c763c233c1417208c.PNG

Dans Sécurité, on choisit Authentification à deux facteurs, trois possibilités s'offrent à vous :

  • Vérification via Synology Secure SignIn, application dédiée de Synology
  • Vérification par code (OTP), compatible avec toutes les applications 2FA type Google Authenticator, Microsoft Authenticator, FreeOTP+, KeeOTP ou encore Aegis
  • Vérification via clé matérielle type YubiKey

Quel que soit votre choix, lisez attentivement les étapes d'initialisation de l'authentification à deux facteurs, dans le cas d'utilisation d'un code OTP vous arriverez ensuite à cet écran :

securite_19.PNG.3c40af2854c8f79dc53d1083e404c12c.PNG

AVANT DE CONTINUER : Cliquez sur Vous ne parvenez pas à le scanner, prenez ABSOLUMENT note de la clé secrète affichée.
Celle-ci vous permet :

  1. de configurer un périphérique qui ne dispose pas de caméra pour scanner le code (navigateur, application sur pc/laptop, etc...)
  2. de récupérer l'accès à votre compte en cas de perte du mobile

securite_20.PNG.bc761caeb052c3b9e63cf09bee006d6d.PNG

Sachez également que la plupart des applications d'authentification à 2 facteurs permettent d'exporter les codes OTP, et de façon chiffrée. Il est prudent d'avoir une copie de ce fichier ailleurs que sur le smartphone, par exemple sur votre NAS et sur le cloud.

Adaptive MFA

Cochez Activer l'authentification multifacteur adaptative pour les utilisateurs appartenant au groupe administrateurs (pour version de DSM > 7.2)

Protection du compte

Cochez Activez la protection du compte :

securite_3.PNG.a4dcd22db35f5ee64459b568d32cae86.PNG

Ajuster les valeurs proposées par défaut à votre convenance.

Pare-feu - Accès distant

Cette section est restreinte au minimum, car le but est ici de sécuriser les accès à votre NAS. A partir du moment où le NAS est accessible depuis l'extérieur, sa surface d'exposition est bien plus importante. Mais vu que nous allons voir comment obtenir un certificat pour votre NAS, il paraît naturel d'évoquer la mise en place d'un accès distant sur celui-ci, pour en savoir plus, c'est par ici :

Révélation

Sachez qu'il existe plusieurs méthodes pour configurer un accès distant, dans l'ordre croissant de préférence :

  • QuickConnect
  •  Translation de port de la box vers le NAS sur un port non sécurisé (HTTP) 
  • Translation de port de la box vers le NAS sur un port sécurisé (HTTPS)
  • Utilisation d'un proxy inversé
  • Utilisation d'un serveur VPN

La mise en place d'un proxy inversé ou d'un serveur VPN sont les meilleures méthodes, mais elles font l'objet de tutoriels dédiés ; ici pour le proxy inversé, et pour le serveur VPN.

Nous allons voir comment autoriser l'accès distant à une application ou un port spécifique de DSM dans le pare-feu, la mise en place de la redirection est propre à votre box ou votre routeur, prenez connaissance de la documentation de celui-ci.

Dans cet exemple, nous allons mettre en place un accès distant à File Station.

Pour cela nous allons dans un premier temps attribuer un port spécifique pour cette application, afin de la séparer de DSM. On va dans Panneau de configuration -> Portail de connexion -> Applications, on sélectionne File Station et on clique sur Modifier :

securite_11.PNG.126413c699b88b830efe9f9afa160278.PNG

On peut garder le port suggéré par défaut ou le changer, peu importe. On valide. L'important est de définir un port HTTPS et pas HTTP.

On peut maintenant retourner sur notre pare-feu. On crée une nouvelle règle (si vous utilisez le profil "toutes les interfaces" la règle doit se trouver avant la règle de refus).
Dans Ports, on choisit Sélectionner dans une liste d'applications intégrées et on clique sur Sélectionnez, puis on coche File Station, on s'assure que seul le port précédemment défini est actif :

securite_12.PNG.b9e4ebe0d95647c84edb33f93dfd6fc9.PNG

Ensuite, dans IP Source, plusieurs possibilités :

  • Si vos utilisateurs ont des IP publiques fixes, le mieux est de limiter la surface d'exposition à leur IP. On clique sur Sélectionnez à côté de IP spécifique dans IP Source.
    On coche Hôte unique et on entre l'IP de notre utilisateur. On valide la règle. Ce qui donne par exemple au final :

    securite_13.PNG.324b230191398a04ad2735eab4eb95d2.PNG
     
  • Si votre utilisateur a une IP dynamique vous pouvez tout de même réduire la surface d'exposition au pays source, par exemple la France. Pour cela, on clique sur Sélectionnez à côté d'Emplacement dans IP Source, on choisit la France et on valide :

    securite_14.PNG.bd98773a00168e752d4cca7b2bc2bcea.PNG

Une fois la redirection de ports effectuée, vous pourrez accéder à votre NAS depuis un réseau externe (via données mobiles par exemple).
Si vous avez mis en place le DDNS Synology, en l'utilisant pour vous connecter à File Station :

https://xxx.synology.me:7001

Vous arriverez sur la page d'authentification, vous aurez cependant un avertissement de sécurité de votre navigateur, pas de panique, ce problème sera réglé à l'obtention et la configuration d'un certificat pour votre domaine Synology.
Temporairement, pensez à désactiver la règle en la décochant et en appliquant les modifications.

Protection

Cochez Activer le blocage auto, ainsi que Activer l'expiration des blocages avec les réglages suivants :

securite_16.PNG.c97e11997c000cb455d61fcac9a66680.PNG

Cliquez ensuite sur Autoriser/Bloquer la liste, sélectionnez Créer -> Ajouter une adresse IP, choisissez Sous-réseau et ajouter les deux entrées suivantes :

securite_17.PNG.e0bf3000a06e3b9e7d02b67536a7209a.PNGsecurite_18.PNG.8a35aeef42bad5fd23b6b12c07fb25aa.PNG

REMARQUE : Si vous avez mis un sous-réseau et masque plus restrictifs que 192.168.0.0/255.255.0.0 dans vos règles de pare-feu, par exemple pour vous conformer au réseau utilisé par votre box, supposons 192.168.1.0/255.255.255.0, vous pouvez dans ce cas spécifier 192.168.1.0/24 dans le menu ci-dessus.

Enfin, cochez également Activer la protection DoS.

Certificat

La mise en place d'un certificat est utile pour :

Si les uns et les autres ne vous sont d'aucune utilité, passez à la section suivante.

Révélation

Un certificat (TLS de nos jours, SSL autrefois) est un certificat numérique que l’on associe à un nom de domaine ou une URL. Il permet d’établir avec certitude le lien entre le site internet et son propriétaire. L’authentification du site Internet permet de sécuriser les échanges électroniques avec les utilisateurs qui s’y connectent via le protocole HTTPS.
Le chiffrement est symbolisé par un cadenas dans la barre d'adresse de votre navigateur préféré.

Pour obtenir un certificat, il existe plusieurs méthodes :

  • Créer votre propre autorité de certification et émettre votre certificat :
    • Peu pratique pour la navigation, car il faudra l'installer sur tous les appareils destinés à accéder à votre NAS (car votre autorité de certification n'est pas officielle et donc, pas pré-installée dans les magasins de certificat embarqués dans la plupart des OS)
    • Utile en revanche si on souhaite disposer d'un certificat d'une durée très longue, plusieurs années par exemple.
  • Obtenir un certificat auprès de Let's Encrypt, ZeroSSL, etc...
    • C'est gratuit, valable 3 mois mais renouvelable automatiquement
    • C'est entièrement géré par DSM

Il existe en outre deux possibilités pour obtenir un certificat :

  1. On couvre le domaine racine (xxx.synology.me ou un domaine personnel xxx.ovh) + les sous-domaines spécifiques qui doivent également être couverts : dsm.xxx.synology.me, homeassistant.xxx.synology.me, etc...)
  2. On couvre le domaine racine et tous les sous-domaines possibles, on appelle ça un certificat wildcard et ça s'écrit *.xxx.synology.me

La deuxième méthode a le gros avantage de ne pas devoir ouvrir de ports, car la vérification se fait directement au niveau de la zone DNS, toutefois dans DSM cette méthode n'est prise en charge nativement que pour le domaine fourni par Synology. Si vous souhaitez l'appliquer pour un domaine personnel, je vous conseille de vous référer à ce tutoriel.

Nous développerons donc la méthode d'obtention d'un certificat wildcard pour un domaine Synology.

Pour commencer, rendez-vous dans l'onglet Certificat de le catégorie Sécurité du panneau de configuration, vous y verrez un certificat Synology auto-signé et pré-existant que nous n'utiliserons pas/plus.

certificat_1.PNG.e382ccf5aa8865de2d326be717bae74c.PNG

Cliquez sur Ajouter puis sélectionnez :

  1. Ajouter un nouveau certificat
  2. Procurez-vous un certificat auprès de Let's Encrypt
    • vous pouvez aussi donner une description à votre certificat
    • Cochez Configurer comme certificat par défaut

Vous arrivez ensuite à la fenêtre suivante :

certificat_2.PNG.fcb8ab783b9658af5561653343e3ac66.PNG

  • Vous remplacez évidemment xxx par votre DDNS personnel
  • L'adresse mail sert à Let's Encrypt pour vous notifier de l'expiration prochaine de votre certificat

On clique sur Effectué et on attend, ça peut prendre 1 à 2 minutes, jusqu'à obtenir votre certificat :

certificat_3.PNG.7adc7561700fe0fccd214a7ed3c9ad27.PNG

On va ensuite associer ce certificat nouvellement créé avec les services de DSM, on va cliquer sur Paramètres :

certificat_4.PNG.a36a277a5088e6f29f6ef5ebe7092ed4.PNG

On a maintenant un certificat valide pour notre nom de domaine Synology et utilisé par les applications système.

Avancé

Dans cet onglet, nous allons régler le niveau de sécurité de chiffrement des services systèmes :

securite_10.PNG.0e386ad305c093baf416e24dba94660c.PNG

La compatibilité moderne correspond à TLS 1.3 qui est maintenant assez répandu, si vous avez des smartphones relativement récents vous ne devriez pas rencontrer de problème.
La compatibilité intermédiaire prend en charge TLS 1.3 et 1.2, c'est le choix qui couvrira le plus de périphériques.

Depuis la version 7.1 de DSM, il est possible via le menu Paramètres personnalisés de définir séparément le niveau de sécurité utilisé par les applications.

_________________________________________________________________________________________________________________________________________________________________________________________

Terminal & SNMP

Avancé

Je recommande de cocher Activer le service SSH, cela vous donne une porte de secours en cas de problème d'accès à DSM.
Si vous deviez rendre accessible le terminal de votre NAS depuis l'extérieur, je recommande très fortement de ne pas faire une simple redirection de port au niveau de votre box mais d'utiliser un serveur VPN, par exemple via le paquet VPN Server.

_________________________________________________________________________________________________________________________________________________________________________________________

Portail de connexion

DSM

Vous pouvez cocher la case Rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM pour vous connecter automatiquement en HTTPS même si l'adresse entrée commence par HTTP. Il est préférable d'avoir mis en place un certificat avant d'activer cette option pour éviter les avertissements de sécurité du navigateur.
REMARQUE : Ne pas activer cette option si vous utiliser un proxy inversé pour accéder à vos services DSM.

_________________________________________________________________________________________________________________________________________________________________________________________

Options régionales

Pour que l'authentification à deux facteurs fonctionne correctement, il est important que vos périphériques soient synchronisés temporellement.
Assurez-vous de régler la synchronisation temporelle du NAS sur une source sure, dans Temps puis Paramètres de l'heure, cochez Synchroniser avec un serveur NTP et entrez manuellement l'adresse fr.pool.ntp.org par exemple si vous résidez en France, ou ntp.fdn.org.

La liste complète des serveurs NTP peut se trouver à l'adresse suivante :

https://www.ntppool.org/zone/@

ntp_1.PNG.ae76c8178b35593d968d400ea757ef62.PNG

_________________________________________________________________________________________________________________________________________________________________________________________

Mise à jour et restauration

Mise à jour du DSM

On clique sur Options de mise à jour, puis on choisit M'avertir et me laisser décider d'installer la nouvelle mise à jour :

maj_2.PNG.730e895fa52f6f94ebd70e830526e8ee.PNG

Synology est coutumière de déploiements erratiques de ses mises à jour, donc suivez ces quelques conseils :

  • Prenez le temps de lire les notes de patch lors de la sortie d'une nouvelle version de l'OS, il se peut qu'elle n'apporte rien dans votre utilisation du NAS
  • N'appliquez de préférence une mise à jour que si elle est proposée automatiquement par le système (évitez les mises à jour manuelles)
  • Sauf correctifs de sécurité importants, ne vous précipitez pas pour appliquer une mise à jour, laissez le temps aux développeurs et aux autre utilisateurs le soin de se casser les dents dessus, il y en a suffisamment sur le forum. 😉 

Sauvegarde de configuration

Si vous avez lié votre compte Synology à votre NAS, par le biais de la configuration du DDNS ou via la section Compte Synology dans le panneau de configuration, vous avez la possibilité d'enregistrer automatiquement la configuration de votre NAS dans votre espace client Synology.
C'est une option intéressante et je recommande de l'activer :

maj_3.PNG.83a23a435c07e6a06a6dbeb7531df296.PNG

IMPORTANT : Avoir une sauvegarde automatique de la configuration dans le cloud ne dispense pas de disposer d'une version locale de celle-ci.
En cas de changement notable dans votre configuration, pensez à faire une Exportation manuelle de la configuration, et à la copier sur un ou plusieurs périphériques : PC, clé USB, disque externe, etc...

_________________________________________________________________________________________________________________________________________________________________________________________

Privilèges d'application

Pas de recommandation spécifique à ce sujet, vous pouvez décider de restreindre les privilèges accordés par défaut à TOUS les utilisateurs dans cette catégorie, ou bien laisser les autorisations et restreindre au niveau de permissions de groupe et d'utilisateur.

A titre personnel, je trouve plus simple de régler de façon granulaire les accès des groupes et utilisateurs dans la catégorie Utilisateur et groupe.

_________________________________________________________________________________________________________________________________________________________________________________________

MAJ : 07/11/2023

Modifié par .Shad.
Modifications suggérées par feedback
  • .Shad. a modifié le titre en [TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7
  • Mic13710 a épinglé ce sujet
Posté(e)

Tuto en ligne.

Merci @.Shad. pour cet énorme travail de réactualisation du Tuto de @Fenrir qui a été de loin ,et pour cause, le tuto le plus consulté de ce forum mais qui commençait à accuser le poids des ans.

Je souhaite une aussi longue vie à cette nouvelle mouture qui devrait j'en suis sûr en intéresser plus d'un.

  • Mic13710 a mis en évidence ce sujet
Posté(e)

Concernant le pare-feu je vois que toutes les règles sont dans l'interface LAN1 y compris les IP utilisées par VPN Server (10.0.0.0/255.0.0.0). Les autres interfaces ne sont pas utilisées y compris l'interface VPN le cas échéant ?

Posté(e)

@CyberFr L'idée de ce tutoriel est de limiter les réglages à un usage basique néanmoins sécurisé pour néophyte. C'est pourquoi seule la configuration de LAN 1 est évoquée, c'est transposable à LAN 2, etc...
Paramétrer l'interface VPN de DSM implique généralement qu'on a mis en place VPN Server. Qui implique selon moi l'assimilation et la mise en places des recommandations du présent tutoriel.
Configurer les règles par interface permet notamment de maîtriser beaucoup plus facilement ce qui est exposé et où c'est exposé.

Pour un utilisateur tel que toi, tu apprendras assez peu de choses, ça reste intéressant de le lire en diagonale, notamment les règles concernant IPv6.

Posté(e)

Merci @.Shad. pour la réponse.

Il y a 11 heures, .Shad. a dit :

Pour un utilisateur tel que toi, tu apprendras assez peu de choses, ça reste intéressant de le lire en diagonale, notamment les règles concernant IPv6.

Je pense qu'il est intéressant de faire un point de temps en temps et de revenir sur les réglages que l'on a choisis avec une vue plus globale que lors de la mise en œuvre. Surtout pour un tuto qui touche à la sécurité.

  • 2 semaines après...
Posté(e)

Bonjour,

Quelle est la manière la plus simple de faire 2FA (double authentification) lors de la connexion à mon Serveur Synology depuis extérieure, pour l'utilisateur (une personne âgée) qui n'a pas beaucoup d'expérience avec un PC Win 10/11, e-mail ou un Smartphone?

Je sais que c'est risqué mais c'est nécessaire et je n'ai pas trop le choix 😅

Merci!

 

 

Posté(e)

@Vista1967 le 2FA n'est pas une obligation. Je dirais même qu'il est préférable de l'éviter pour les utilisateurs sans droits administrateurs car ça peut s'avérer un obstacle et une contrainte pour beaucoup .

Perso, je ne pratique le 2FA que pour des comptes administrateurs spécifiques. Le plus important c'est d'avoir un mdp fort et de restreindre les accès de l'utilisateur aux seuls dossiers et applications auxquels il doit avoir accès.

Posté(e)

Merci pour votre réponse!

J'utilise uniquement 2FA pour mon compte administrateur 🙂

Je vais créer un mot de passe fort ou peut-être que je laisserai DSM générer seul MDP et restreindre les accès aux seuls dossiers concerne.

 

 

Posté(e)

Bonjour et merci pour ce tuto actualisé pour DSM 7.0

J'ai globalement suivi toutes les étapes, sauf quelques bricoles que j'avais déjà paramétré de mon côté.
J'ai malgré tout deux questions.

1/ Tu dis au début "Par exemple, si le réseau de votre box est 192.168.1.x, alors vous pouvez entrer 192.168.1.0/255.255.255.0".
Jusque là je suis d'accord.
Puis dans la section SECURITE  -> Protection "Cliquez ensuite sur Autoriser/Bloquer la liste, sélectionnez Créer -> Ajouter une adresse IP, choisissez Sous-réseau et ajouter les deux entrées suivantes" tu indiques une valeur 192.168.0.0.
Est-ce qu'on doit partir du principe que si on a mis 192.168.1.0 au début, toutes les autres valeurs où c'est indiqué 192.168.0.0 dans le tuto doivent également être converties en 192.168.1.0 si notre routeur définit les IP de cette manière ?

2/ Si maintenant on a installé un VPN via OpenVPN, comment peut-on faire pour accéder à notre NAS via l'extérieur lorsque ce dernier est connecté au serveur VPN ?
Car actuellement lorsque j'active ma connexion VPN, je vois l'IP changer dans la section Réseau -> Général. Mais lorsque je cherche à me connecter à mon NAS avec son URL suivi du port DSM, ça ne fonctionne plus. Je me doute que c'est normal mais du coup, quel réglage faut-il paramétrer pour que l'accès reste possible même avec le NAS connecté au VPN ? Le seul accès qui fonctionne en mode VPN est l'accès local via l'IP définit par le routeur.

Merci.
 

Posté(e)
Le 26/08/2023 à 10:13 AM, .Shad. a dit :

La compatibilité moderne correspond à TLS 1.3 qui est maintenant assez répandu, si vous avez des smartphones relativement récents vous ne devriez pas rencontrer de problème.

Les seuls problèmes que j'ai rencontrés avec la comptabilité moderne se situent au niveau des applications de Synology comme DS Audio ou DS Video qui ne la supportent pas. C'est pourquoi j'ai du rétropédaler et choisir la comptabilité intermédiaire en attendant une éventuelle mise à jour.

Posté(e)
Il y a 1 heure, EmatuM a dit :

Bonjour et merci pour ce tuto actualisé pour DSM 7.0

J'ai globalement suivi toutes les étapes, sauf quelques bricoles que j'avais déjà paramétré de mon côté.
J'ai malgré tout deux questions.

1/ Tu dis au début "Par exemple, si le réseau de votre box est 192.168.1.x, alors vous pouvez entrer 192.168.1.0/255.255.255.0".
Jusque là je suis d'accord.
Puis dans la section SECURITE  -> Protection "Cliquez ensuite sur Autoriser/Bloquer la liste, sélectionnez Créer -> Ajouter une adresse IP, choisissez Sous-réseau et ajouter les deux entrées suivantes" tu indiques une valeur 192.168.0.0.
Est-ce qu'on doit partir du principe que si on a mis 192.168.1.0 au début, toutes les autres valeurs où c'est indiqué 192.168.0.0 dans le tuto doivent également être converties en 192.168.1.0 si notre routeur définit les IP de cette manière ?

2/ Si maintenant on a installé un VPN via OpenVPN, comment peut-on faire pour accéder à notre NAS via l'extérieur lorsque ce dernier est connecté au serveur VPN ?
Car actuellement lorsque j'active ma connexion VPN, je vois l'IP changer dans la section Réseau -> Général. Mais lorsque je cherche à me connecter à mon NAS avec son URL suivi du port DSM, ça ne fonctionne plus. Je me doute que c'est normal mais du coup, quel réglage faut-il paramétrer pour que l'accès reste possible même avec le NAS connecté au VPN ? Le seul accès qui fonctionne en mode VPN est l'accès local via l'IP définit par le routeur.

Merci.
 

Dommage que mes remarques aient été nettoyées ! @.Shad. en assumera, j'imagine toute la responsabilité !
Justement cela concernait la règle sur le sous-réseau 10.0.0.0/255.0.0.0 qu'il ne faut en aucun cas affecter à l'interface LAN1 ; c'est un manquement grave à la sécurité du système.

Par contre effectivement comme tu le suggères il faut l'affecter à l'interface VPN uniquement et vu que dans ton cas, tu n'utilises qu'OpenVpn il vaut mieux restreindre cette règle à 10.8.0.0/255.255.255.0 (je me répète à affecter à l'interface VPN UNIQUEMENT)

Ensuite, pour toi, pour accéder à ton NAS, après avoir activé ta connexion VPN,  tu te connectes à l'URL http://10.8.0.1:5000 (qui est l'adresse VPNisée de ton NAS) en ignorant les avertissements de sécurité car tu es chez toi et tu ne risques, théoriquement, rien .

My two cents

Posté(e)
Il y a 2 heures, EmatuM a dit :

Puis dans la section SECURITE  -> Protection "Cliquez ensuite sur Autoriser/Bloquer la liste, sélectionnez Créer -> Ajouter une adresse IP, choisissez Sous-réseau et ajouter les deux entrées suivantes" tu indiques une valeur 192.168.0.0.
Est-ce qu'on doit partir du principe que si on a mis 192.168.1.0 au début, toutes les autres valeurs où c'est indiqué 192.168.0.0 dans le tuto doivent également être converties en 192.168.1.0 si notre routeur définit les IP de cette manière ?

Oui car à la base j'avais laissé la règle pour le /16 (255.255.0.0) plutôt qu'un /24, mais effectivement tu peux limiter la plage à celle de ton réseau local. Je vais éditer pour être plus précis concernant les plages, merci de ton retour. 🙂

Concernant l'accessibilité de ton NAS lorsqu'il est connecté en tant que client VPN (si j'ai bien compris ?), quelle IP vois-tu ? l'IP publique fournie par ton fournisseur d'accès VPN ?

@CMDC83 Merci de t'inquiéter pour ma conscience, c'est très aimable de ta part. Je n'ai rien de plus à ajouter que ce que j'ai dit dans le fil qui a été créé pour ne pas polluer ce sujet (tu as l'air de sous-entendre que tes messages ont été supprimés). Tu mélanges réseau local personnel et réseau "local" au niveau de ton FAI en CGNAT. Tu n'étayes en rien, nous si, mais merci de tes mises en garde.

Posté(e)
Il y a 2 heures, .Shad. a dit :

mais merci de tes mises en garde

Si ca peut rendre service, c'est avec plaisir !

Il y a 2 heures, .Shad. a dit :

pour ne pas polluer ce sujet

Je ne pense pas polluer le sujet en avertissant gentiment et poliment que la règle sur le réseau 10 , affectée à une interface autre que VPN est inutile et potentiellement dangereuse 

Point final pour ma part 

Posté(e)

Bonjour @.Shad.
Merci pour ton retour. Et c'est cool d'apporter des correctifs à ton tuto 🙂 

Donc si j'ai bien suivi, pour la partie qui concerne SECURITE  -> Protection "Cliquez ensuite sur Autoriser/Bloquer la liste, sélectionnez Créer -> Ajouter une adresse IP je peux dans toutes les configurations mettre 192.168.1.0 à partir du moment où mon retour délivre des adresse en 192.168.1.X c'est bien ça ?

"Concernant l'accessibilité de ton NAS lorsqu'il est connecté en tant que client VPN (si j'ai bien compris ?)"
Oui en tant que Client, ça doit être ça. Quand tu vas dans Réseau -> Interface réseau et que tu cliques sur Créer et que tu choisis Créer un profil VPN.

Je ne m'y connais pas trop mais l'IP semble être toujours la même quelque soit le serveur OpenVPN que j'exporte de l'interface de mon fournisseur dans la section Général -> passerelle par défaut du NAS.
Je pense donc que c'est bien ce que tu nommes l'IP Public fourni par mon fournisseur. Mettons que ça soit 10.75.1.10 (c'est un exemple), je dois donc mettre cet IP dans la partie VPN comme l'indique CMDC83 c'est ça ?

 

Posté(e)
Il y a 4 heures, CMDC83 a dit :

Dommage que mes remarques aient été nettoyées ! @.Shad. en assumera, j'imagine toute la responsabilité !

Plutôt que de faire des effets de manches, il serait bon que vous suiviez vos propres sujets.

Les remarques en question n'étant pas liées au présent tuto, elles ont été tout simplement déplacées dans un sujet plus adapté.

Ici, c'est un forum d'entraide et personne n'a à assumer de responsabilité envers qui que ce soit sur l'aide apportée. C'est à chacun de se positionner et d'appliquer, ou pas, les informations qui sont données.

Posté(e)
Il y a 3 heures, EmatuM a dit :

Donc si j'ai bien suivi, pour la partie qui concerne SECURITE  -> Protection "Cliquez ensuite sur Autoriser/Bloquer la liste, sélectionnez Créer -> Ajouter une adresse IP je peux dans toutes les configurations mettre 192.168.1.0 à partir du moment où mon retour délivre des adresse en 192.168.1.X c'est bien ça ?

Oui c'est bien ça, tu mettrais donc 192.168.1.0 dans l'adresse IP et 24 dans le masque.
Tu peux aussi décider de limiter à certaines IP spécifiques, par exemple le PC 1 et PC 2 uniquement ne peuvent être bannis lors de tentatives infructueuses de connexion.
A toi de placer le curseur où tu le souhaites.

Concernant la question sur le VPN, quelle IP as-tu tout simplement quand le NAS est connecté au VPN ? Si ça commence par 10, c'est une IP privée et ce serait étrange.
Tu peux masquer C et D pour une IP de la forme A.B.C.D pour éviter de dévoiler ton IP publique ici. 😉 

Posté(e)
Il y a 14 heures, Mic13710 a dit :

Plutôt que de faire des effets de manches, il serait bon que vous suiviez vos propres sujets.

Ce n'est pas mon sujet : désolé

Posté(e)

@.Shad.

Quand tu dis que je dois mettre 24 dans le masque, c'est à quel endroit que je dois mettre la valeur 24 ?
Concernant l'IP une fois connecté au VPN, voilà deux images. Je suppose que tu parles de l'IP de la 2e image ? C'est qui commence par 146.

__Syno1.jpg

__Syno2.jpg

Posté(e)

Bonjour,

J'ai commencé la configuration j'ai un Synology DS216j 4TB, j'arrive au niveau des notifications et j'ai cette erreur lors du test d'envoi du mail :

Echec de l'envoi du courriel de test. Veuillez vérifier vos paramètres et réessayez.
Error: Server Response Code: 401

 

Merci pour votre aide

Posté(e) (modifié)
Il y a 14 heures, EmatuM a dit :

Quand tu dis que je dois mettre 24 dans le masque, c'est à quel endroit que je dois mettre la valeur 24 ?

Quand tu ajoutes des permissions dans Autoriser/Bloquer la liste dans Sécurité -> Protection -> Blocage auto, tu as "Adresse IP/Nom de domaine" et "Masque de sous-réseau/Longueur du préfixe", c'est dans ce dernier champ.

Pour le VPN, essaie d'activer les passerelles multiples dans Réseau -> Général -> Paramètres avancés. Ca aide parfois à la résolution du problème. L'origine du problème est décrite ici : https://kb.synology.com/fr-fr/DSM/tutorial/Cannot_connect_Synology_NAS_using_VPN_via_DDNS

Une solution aussi est que le fournisseur VPN mette à disposition une redirection de ports, ce qui de ce que j'ai compris n'est pas fréquent.

@Eric1246 Salut, quel serveur SMTP utilises-tu ? Pour Gmail il faut maintenant créer un jeton d'accès dans leur API après avoir activé l'authentification à deux facteurs pour utiliser leurs services, voir la remarque tout à la fin de la page : https://kb.synology.com/en-nz/DSM/tutorial/How_to_use_Gmail_SMTP_server_to_send_emails_for_DSM

Ou alors Outlook, ou un SMTP personnel ?

Modifié par .Shad.
Posté(e)
Bonjour,
J'ai commencé la configuration j'ai un Synology DS216j 4TB, j'arrive au niveau des notifications et j'ai cette erreur lors du test d'envoi du mail :
Echec de l'envoi du courriel de test. Veuillez vérifier vos paramètres et réessayez.
Error: Server Response Code: 401
 
Merci pour votre aide
Bonjour à tous. Excellent tuto. Merci à tout ceux qui ont pris le temps de trouver des solutions pour nous les novices.

@Eric1246. Perso, j'utilise Outlook. Gmail complique un peu les accès externes à des appli tierces(je suppose que tu as paramétré un smtp gmail?). Essaye avec outlook....

Envoyé de mon SM-S901U1 en utilisant Tapatalk

Posté(e)
Le 25/10/2023 à 1:01 PM, Mic13710 a dit :

Perso, je ne pratique le 2FA que pour des comptes administrateurs spécifiques. Le plus important c'est d'avoir un mdp fort et de restreindre les accès de l'utilisateur aux seuls dossiers et applications auxquels il doit avoir accès.

Aujourd'hui, suite à la panne de mon smartphone j'ai dû désactiver le 2FA, aussi bien au niveau de DSM que de Vaultwarden. Heureusement que j'ai pu utiliser le 2FA une dernière fois pour le désactiver justement, avant que le téléphone ne parte à l'atelier pour réparation...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.