Aller au contenu

[TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7

.Shad.

Par .Shad.
dans Tutoriels

 Partager

Messages recommandés

CyberFr Mentor

CyberFr

Posté(e)
Posté(e)

J'ajoute un petit détail dont il n'a pas été question à ma connaissance. J'ai mis en place un VPN et j'ai ajouté les règles qui lui sont propres dans la partie VPN du pare-feu et nulle part ailleurs. La règle fonctionne correctement.

PJ.thumb.jpg.8becf54196502b06beed5185ad329046.jpg

1
  • Réponses 132
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Jours populaires

Meilleurs contributeurs dans ce sujet

Jours populaires

Messages populaires

.Shad.
.Shad.

Pour qui ? Depuis plusieurs années, ce tutoriel rédigé par @Fenrir est LA référence en matière de sécurisation des accès à un NAS. C'est de loin le tutoriel le plus lu du forum, et c'est une bonn

.Shad.
.Shad.

@CyberFr Je vais essayer de tourner les explications de mes collègues différemment. C'est quoi un code TOTP ? C'est une clé qui, une fois entrée dans un logiciel d'authentification 2 facteurs (quelque

Mic13710
Mic13710

@firlin, @.Shad., @PiwiLAbruti J'ai déplacé la question de firlin sur le ping dans un autre sujet car il n'avait pas de rapport avec la sécurisation des NAS  

Images postées

CMDC Enthusiast

CMDC

Posté(e)
Posté(e)
Il y a 6 heures, CyberFr a dit :

J'ajoute un petit détail dont il n'a pas été question à ma connaissance. J'ai mis en place un VPN et j'ai ajouté les règles qui lui sont propres dans la partie VPN du pare-feu et nulle part ailleurs. La règle fonctionne correctement.

PJ.thumb.jpg.8becf54196502b06beed5185ad329046.jpg

Exactement !

Attention, cette règle n'est utilisable que si on utilise exclusivement OpenVPN , si on utilise un autre protocole il vaut mieux revoir soit le masque , soit la règle (lire:  10.8.1.0/255.255.255.0 ou 10.8.2.0/255.255.255.0 ou plus généralement 10.8.0.0/255.255.0.0) 

0
CyberFr Mentor

CyberFr

Posté(e)
Posté(e)
Il y a 10 heures, CMDC a dit :

Attention, cette règle n'est utilisable que si on utilise exclusivement OpenVPN

J'utilise Wireguard 😀

Attention, cette règle n'est utilisable que si l'on utilise un VPN. De plus les adresses IP présentes dans le filtre doivent être conformes à celles utilisées par le VPN.

1
CMDC Enthusiast

CMDC

Posté(e)
Posté(e)
il y a une heure, CyberFr a dit :

J'utilise Wireguard 😀

J'ai beaucoup utilisé CyberGhost afin de pouvoir regarder Canal+ en Afrique du Nord. Il offre 3 protocoles de connexion à ses serveurs européens  OpenVPN TCP, OpenVPN UDP et Wireguard .

Wireguard marchait une fois sur 5 ,
OpenVPN UDP une fois sur deux,
et OpenVPN TCP quasiment tout le temps .

My two cents !

0
.Shad. Grand Master

.Shad.

Posté(e)
  • Auteur
Posté(e)

@CyberFr Tu peux très bien faire ainsi, la règle présente dans l'interface LAN 1 c'est pour ceux qui souhaiteraient accéder à l'IP LAN du NAS en étant connecté au VPN (pour bénéficier d'une résolution DNS qui ne dispose pas de vue comme DNS Serveur, par exemple Unbound).

0
CyberFr Mentor

CyberFr

Posté(e)
Posté(e)

Je n'ai pas tout compris. La règle VPN était auparavant dans l'interface LAN 1, malgré ça je n'arrivais pas à joindre l'IP locale de DNS Serveur dans wg-easy. Pour le coup j'ai mis Quad9 en serveur DNS.

0
.Shad. Grand Master

.Shad.

Posté(e)
  • Auteur
Posté(e)

Wireguard est installé comment sur le NAS ? Paquet ? Docker ?

Est-ce que l'interface WG est visible dans le terminal via : 

ifconfig
0
CyberFr Mentor

CyberFr

Posté(e)
Posté(e)
il y a 23 minutes, .Shad. a dit :

Quand tu parles de l'IP de DNS Serveur, tu parles de l'IP du NAS ?

Oui, c'est bien ça, je parle de l'IP locale de DNS Server qui est celle du NAS.

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)
Il y a 2 heures, CMDC a dit :

KISS !!!! :biggrin:

Le plus simple et le plus efficace c'est de l'installer directement à la base du réseau, cad sur le routeur. Ainsi il est totalement indépendant du NAS.

0
CyberFr Mentor

CyberFr

Posté(e)
Posté(e)
Il y a 9 heures, Mic13710 a dit :

Le plus simple et le plus efficace c'est de l'installer directement à la base du réseau, cad sur le routeur. Ainsi il est totalement indépendant du NAS.

Je ne dispose que d'une box Internet sur laquelle Wireguard n'est pas configurable.

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

@CyberFr, c'est dispo sur toutes les freebox. Je ne sais pas pour les autres FAI, mais quel qu'il soit, on peut rajouter son propre routeur pour s'affranchir des limitations des box.

Je signalais juste que même si le VPN fonctionne bien sur le NAS, ce n'est pas l'équipement le plus approprié pour cette fonction. Ca reste toutefois une excellente solution quand il n'y a pas d'autre possibilité. Avec le VPN installé sur le routeur, on n'est pas tributaire du fonctionnement du NAS et on peut intervenir plus facilement sur ce dernier.

1
CyberFr Mentor

CyberFr

Posté(e)
Posté(e)
il y a 16 minutes, Mic13710 a dit :

@CyberFr, c'est dispo sur toutes les freebox. Je ne sais pas pour les autres FAI, mais quel qu'il soit, on peut rajouter son propre routeur pour s'affranchir des limitations des box.

Je suis en pleine réflexion sur le sujet justement parce que je dois migrer chez free et que le choix d'un routeur est lié à ce changement. Sur la freebox Ultra Essentiel il y a quatre ports 2,5 Gb/s or il y a très peu de routeurs qui font du multi-gigabits, ou alors ils sont hors de prix. Bref la situation est pour l'instant instable.

0
CMDC Enthusiast

CMDC

Posté(e)
Posté(e)
Il y a 10 heures, Mic13710 a dit :

@CyberFr, c'est dispo sur toutes les freebox. Je ne sais pas pour les autres FAI, mais quel qu'il soit, on peut rajouter son propre routeur pour s'affranchir des limitations des box.

Je signalais juste que même si le VPN fonctionne bien sur le NAS, ce n'est pas l'équipement le plus approprié pour cette fonction. Ca reste toutefois une excellente solution quand il n'y a pas d'autre possibilité. Avec le VPN installé sur le routeur, on n'est pas tributaire du fonctionnement du NAS et on peut intervenir plus facilement sur ce dernier.

Bien vu !

A titre personnel j'ai un routeur Netgear qui implémente nativement un serveur OpenVPN ! 
Après activation, il n'y a quasiment plus rien à faire si ce n'est modifier une ligne dans un fichier, puis de l'importer sur chaque client OpenVPN

KISS ! 

0
.Shad. Grand Master

.Shad.

Posté(e)
  • Auteur
Posté(e)
Le 07/05/2024 à 3:59 PM, CyberFr a dit :

Oui, c'est bien ça, je parle de l'IP locale de DNS Server qui est celle du NAS.

Je suis étonné que tu n'arrives pas à joindre l'IP de ton NAS depuis Wireguard.

0
CyberFr Mentor

CyberFr

Posté(e)
Posté(e)
Il y a 11 heures, .Shad. a dit :

Je suis étonné que tu n'arrives pas à joindre l'IP de ton NAS depuis Wireguard.

Excellente remarque !

Je n'y arrive pas parce que, dans le compose, j'ai indiqué l'IP locale de DNS Server pensant qu'à partir du moment où le périphérique distant se connectait au travers du VPN il avait accès à cette adresse locale. Dans la liste d'IP sources autorisées de DNS Serveur j'ai indiqué les IP du LAN et du VPN. Et pourtant ça ne marche pas.

Quand je remplace cette adresse par mon nom de domaine tout rentre dans l'ordre.

0
CyberFr Mentor

CyberFr

Posté(e)
Posté(e)

Après une recherche laborieuse sur le net, je constate que le cas d'un serveur DNS au niveau du LAN n'est pas prévu. Je vais donc simplement indiquer 9.9.9.9.

0
CyberFr Mentor

CyberFr

Posté(e)
Posté(e)
il y a 57 minutes, Mic13710 a dit :

petite discussion concernant wireguard et le split tunneling

Discussion de haut vol !

Mais j'ai installé Wireguard avec le container wg-easy et j'ai cru comprendre qu'il n'acceptait que les DNS WAN. Je vais approfondir.

Et merci.

0
Mic13710 Grand Master

Mic13710

Posté(e)
Posté(e)

@CyberFr, les paramètres de connexion sont à faire côté client. C'est là qu'on défini la plage d'IP autorisée ainsi que les serveurs DNS faisant autorité.

P.S. : cette discussion s'éloigne fortement du sujet initial. Elle devrait se poursuivre sur un sujet dédié à Wireguard.

0
CyberFr Mentor

CyberFr

Posté(e)
Posté(e)
Il y a 3 heures, Mic13710 a dit :

P.S. : cette discussion s'éloigne fortement du sujet initial. Elle devrait se poursuivre sur un sujet dédié à Wireguard.

J'ai avancé (enfin bof) dans la mise en œuvre de Wireguard et suis revenu à la version du tuto. La suite dans "[TUTO][Docker] linuxserver/wireguard + Wireguard-UI".

0
JPnux Newbie

JPnux

Posté(e)
Posté(e)

bonjour

j'ai voulu faire un test de connexion sur mon NAS depuis une IP étrangère (via VPN).

Effectivement, la page du NAS ne s'affiche pas dans le navigateur.

Mais j'aurai aimé voir dans les journaux du NAS qu'une tentative de connexion à la page a été faite. Je ne trouve pas. Ce n'est pas possible ?

0

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets
×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.