[TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7

[CyberFr]

J'ajoute un petit détail dont il n'a pas été question à ma connaissance. J'ai mis en place un VPN et j'ai ajouté les règles qui lui sont propres dans la partie VPN du pare-feu et nulle part ailleurs. La règle fonctionne correctement.

[CMDC]

Il y a 6 heures, CyberFr a dit :

J'ajoute un petit détail dont il n'a pas été question à ma connaissance. J'ai mis en place un VPN et j'ai ajouté les règles qui lui sont propres dans la partie VPN du pare-feu et nulle part ailleurs. La règle fonctionne correctement.

Exactement !

Attention, cette règle n'est utilisable que si on utilise exclusivement OpenVPN , si on utilise un autre protocole il vaut mieux revoir soit le masque , soit la règle (lire:  10.8.1.0/255.255.255.0 ou 10.8.2.0/255.255.255.0 ou plus généralement 10.8.0.0/255.255.0.0) 

[CyberFr]

Il y a 10 heures, CMDC a dit :

Attention, cette règle n'est utilisable que si on utilise exclusivement OpenVPN

J'utilise Wireguard 😀

Attention, cette règle n'est utilisable que si l'on utilise un VPN. De plus les adresses IP présentes dans le filtre doivent être conformes à celles utilisées par le VPN.

[CMDC]

il y a une heure, CyberFr a dit :

J'utilise Wireguard 😀

J'ai beaucoup utilisé CyberGhost afin de pouvoir regarder Canal+ en Afrique du Nord. Il offre 3 protocoles de connexion à ses serveurs européens  OpenVPN TCP, OpenVPN UDP et Wireguard .

Wireguard marchait une fois sur 5 ,
OpenVPN UDP une fois sur deux,
et OpenVPN TCP quasiment tout le temps .

My two cents !

[.Shad.]

@CyberFr Tu peux très bien faire ainsi, la règle présente dans l'interface LAN 1 c'est pour ceux qui souhaiteraient accéder à l'IP LAN du NAS en étant connecté au VPN (pour bénéficier d'une résolution DNS qui ne dispose pas de vue comme DNS Serveur, par exemple Unbound).

[CyberFr]

Je n'ai pas tout compris. La règle VPN était auparavant dans l'interface LAN 1, malgré ça je n'arrivais pas à joindre l'IP locale de DNS Serveur dans wg-easy. Pour le coup j'ai mis Quad9 en serveur DNS.

[.Shad.]

Wireguard est installé comment sur le NAS ? Paquet ? Docker ?

Est-ce que l'interface WG est visible dans le terminal via :

ifconfig

[CyberFr]

Wireguard est installé via Container Manager. En lançant ifconfig je ne vois rien qui se rapporte à Wireguard.

[.Shad.]

@CyberFr Normal si Wireguard est conteneurisé.
Quand tu parles de l'IP de DNS Serveur, tu parles de l'IP du NAS ?

[CyberFr]

il y a 23 minutes, .Shad. a dit :

Quand tu parles de l'IP de DNS Serveur, tu parles de l'IP du NAS ?

Oui, c'est bien ça, je parle de l'IP locale de DNS Server qui est celle du NAS.

[CMDC]

Il y a 9 heures, CyberFr a dit :

Wireguard est installé via Container Manager

KISS !!!!      https://fr.wikipedia.org/wiki/Principe_KISS

[Mic13710]

Il y a 2 heures, CMDC a dit :

KISS !!!! 

Le plus simple et le plus efficace c'est de l'installer directement à la base du réseau, cad sur le routeur. Ainsi il est totalement indépendant du NAS.

[CyberFr]

Il y a 9 heures, Mic13710 a dit :

Le plus simple et le plus efficace c'est de l'installer directement à la base du réseau, cad sur le routeur. Ainsi il est totalement indépendant du NAS.

Je ne dispose que d'une box Internet sur laquelle Wireguard n'est pas configurable.

[Mic13710]

@CyberFr, c'est dispo sur toutes les freebox. Je ne sais pas pour les autres FAI, mais quel qu'il soit, on peut rajouter son propre routeur pour s'affranchir des limitations des box.

Je signalais juste que même si le VPN fonctionne bien sur le NAS, ce n'est pas l'équipement le plus approprié pour cette fonction. Ca reste toutefois une excellente solution quand il n'y a pas d'autre possibilité. Avec le VPN installé sur le routeur, on n'est pas tributaire du fonctionnement du NAS et on peut intervenir plus facilement sur ce dernier.

[CyberFr]

il y a 16 minutes, Mic13710 a dit :

@CyberFr, c'est dispo sur toutes les freebox. Je ne sais pas pour les autres FAI, mais quel qu'il soit, on peut rajouter son propre routeur pour s'affranchir des limitations des box.

Je suis en pleine réflexion sur le sujet justement parce que je dois migrer chez free et que le choix d'un routeur est lié à ce changement. Sur la freebox Ultra Essentiel il y a quatre ports 2,5 Gb/s or il y a très peu de routeurs qui font du multi-gigabits, ou alors ils sont hors de prix. Bref la situation est pour l'instant instable.

[CMDC]

Il y a 10 heures, Mic13710 a dit :

@CyberFr, c'est dispo sur toutes les freebox. Je ne sais pas pour les autres FAI, mais quel qu'il soit, on peut rajouter son propre routeur pour s'affranchir des limitations des box.

Je signalais juste que même si le VPN fonctionne bien sur le NAS, ce n'est pas l'équipement le plus approprié pour cette fonction. Ca reste toutefois une excellente solution quand il n'y a pas d'autre possibilité. Avec le VPN installé sur le routeur, on n'est pas tributaire du fonctionnement du NAS et on peut intervenir plus facilement sur ce dernier.

Bien vu !

A titre personnel j'ai un routeur Netgear qui implémente nativement un serveur OpenVPN ! 
Après activation, il n'y a quasiment plus rien à faire si ce n'est modifier une ligne dans un fichier, puis de l'importer sur chaque client OpenVPN

KISS ! 

[.Shad.]

Le 07/05/2024 à 3:59 PM, CyberFr a dit :

Oui, c'est bien ça, je parle de l'IP locale de DNS Server qui est celle du NAS.

Je suis étonné que tu n'arrives pas à joindre l'IP de ton NAS depuis Wireguard.

[CyberFr]

Il y a 11 heures, .Shad. a dit :

Je suis étonné que tu n'arrives pas à joindre l'IP de ton NAS depuis Wireguard.

Excellente remarque !

Je n'y arrive pas parce que, dans le compose, j'ai indiqué l'IP locale de DNS Server pensant qu'à partir du moment où le périphérique distant se connectait au travers du VPN il avait accès à cette adresse locale. Dans la liste d'IP sources autorisées de DNS Serveur j'ai indiqué les IP du LAN et du VPN. Et pourtant ça ne marche pas.

Quand je remplace cette adresse par mon nom de domaine tout rentre dans l'ordre.

[CyberFr]

Après une recherche laborieuse sur le net, je constate que le cas d'un serveur DNS au niveau du LAN n'est pas prévu. Je vais donc simplement indiquer 9.9.9.9.

[Mic13710]

@CyberFr petite discussion concernant wireguard et le split tunneling

 

[CyberFr]

il y a 57 minutes, Mic13710 a dit :

petite discussion concernant wireguard et le split tunneling

Discussion de haut vol !

Mais j'ai installé Wireguard avec le container wg-easy et j'ai cru comprendre qu'il n'acceptait que les DNS WAN. Je vais approfondir.

Et merci.

[Mic13710]

@CyberFr, les paramètres de connexion sont à faire côté client. C'est là qu'on défini la plage d'IP autorisée ainsi que les serveurs DNS faisant autorité.

P.S. : cette discussion s'éloigne fortement du sujet initial. Elle devrait se poursuivre sur un sujet dédié à Wireguard.

[CyberFr]

Il y a 3 heures, Mic13710 a dit :

P.S. : cette discussion s'éloigne fortement du sujet initial. Elle devrait se poursuivre sur un sujet dédié à Wireguard.

J'ai avancé (enfin bof) dans la mise en œuvre de Wireguard et suis revenu à la version du tuto. La suite dans "[TUTO][Docker] linuxserver/wireguard + Wireguard-UI".

[JPnux]

bonjour

j'ai voulu faire un test de connexion sur mon NAS depuis une IP étrangère (via VPN).

Effectivement, la page du NAS ne s'affiche pas dans le navigateur.

Mais j'aurai aimé voir dans les journaux du NAS qu'une tentative de connexion à la page a été faite. Je ne trouve pas. Ce n'est pas possible ?

[Mic13710]

@JPnux votre question n'a pas de rapport avec le présent tuto. Merci de la poser dans la section réservée au serveur VPN.