Synology Assistant ne trouve pas mon NAS

[CyberFr]

Bonjour,

Le DS220+ est pourtant sur le même réseau local que mon Mac. C'est embêtant car cela peut servir en cas de soucis. J'ai changé de box récemment et cette absence m'a donné des frissons.

[firlin]

@CyberFr, as tu essayé de taper find.synology.com dans ton navigateur ? 

[CyberFr]

Merci @firlin pour ta suggestion mais ça ne marche pas. J'arrive pourtant bien à accéder au portail de DSM via l'IP locale du NAS (suivie du numéro de port) : "http://192.168.1.2:XXXX/".  Bien entendu, j'ai changé le port par défaut.

[firlin]

  Le 5/31/2024 à 2:09 PM, CyberFr a dit :

Bien entendu, j'ai changé le port par défaut.

Développer  

le probleme vient peut etre de là ?
Tu n'as pas un ndd sur ton nas ?

[CyberFr]

Oui, j'ai un nom de domaine et j'utilise systématiquement un reverse proxy y compris pour accéder à DSM.. C'est pourquoi le port 80 est fermé par le coupe-feu. Mais quand on accède à DSM via le réseau local, une règle prioritaire accepte toutes les connexions entrantes.

Après, si Synology Assistant utilise les ports par défaut de DSM, c'est une grave lacune en matière de sécurité car tous les pirates de la planète connaissent ces ports. Même le Conseiller de sécurité de DSM s'étrangle quand ces ports n'ont pas été modifiés.

[Mic13710]

@CyberFr Ca a toujours autant d'effet sur moi : l’irrésistible envie de me marrer.

Lorsqu'on utilise le reverse proxy pour atteindre des applications et que bien entendu les ports (modifiés ou pas) ne sont pas ouverts directement sur internet, je ne vois pas ce que ça change d'utiliser d'autres ports que le 5000 ou le 5001 ou tous les autres ports par défaut du NAS. Au mieux on se casse les pieds, au pire on se casse les pieds pour rien.

Et même si les fameux ports sont ouverts sur internet, ça ne change pas grand chose. N'importe quel scanner évolué donne la liste des ports accessibles pour une ip donnée en quelques secondes.

L'intention de synology de mettre cette alarme dans le conseiller de sécurité est louable mais n'a aucun intérêt si le reverse proxy est utilisé et un intérêt très limité si des ports sont ouverts vers l'extérieur. Je ne suis pas le seul à penser que c'est inutile (voir le tuto de Fenrir sur la sécurisation de nos NAS)

Le seul tout petit intérêt sur un réseau privé avec reverse proxy serait de ne pas faire confiance aux utilisateurs du dit réseau privé.

[Jeff777]

@CyberFr

Tu as testé toutes les pistes de l'aide synology ? :

https://kb.synology.com/fr-fr/DSM/tutorial/Unable_to_Locate_NAS

 

[ml78]

Quelques petites suggestions :

Est-ce que la box voit le Syno ?

Est-ce que l'adresse IP était fixe ? Si oui, est-ce que vous vous en rappelez ?

[CyberFr]

  Le 5/31/2024 à 4:19 PM, Mic13710 a dit :

Ca a toujours autant d'effet sur moi : l’irrésistible envie de me marrer.

Développer  

Certes mais je ne veux pas  avoir d'alerte au niveau du Conseiller de sécurité et changer les ports par défaut ne mange pas de pain.

  Le 5/31/2024 à 4:19 PM, Mic13710 a dit :

Et même si les fameux ports sont ouverts sur internet, ça ne change pas grand chose. N'importe quel scanner évolué donne la liste des ports accessibles pour une ip donnée en quelques secondes.

Développer  

Justement, du fait que j'utilise un reverse proxy les ports ne sont pas ouverts sur l'Internet.

  Le 5/31/2024 à 5:22 PM, Jeff777 a dit :

Tu as testé toutes les pistes de l'aide synology ? :

Développer  

Je les ai parcourues mais en dehors des trois premières les pistes sont farfelues, c'est en tout cas mon avis.

@ml78, je réponds oui à toutes tes questions.

Modifié le 1 juin 2024 par CyberFr
le message est parti sans prévenir

[PiwiLAbruti]

Synology Assistant n'a pas besoin d'un port ouvert sur le NAS pour le voir.

Il détecte les NAS avec un un scan IP (je n'ai pas vérifié le protocole exact), ce qui lui permet de récupérer les adresses MAC de tous les équipements connectés sur le même segment réseau. Ensuite il n'affiche que les adresses IP des MACs préfixées par 00:11:32.

Je me souviens que la détection ne fonctionnait pas sur certaines box où le broadcast Wi-Fi n'était pas propagé sur le réseau filaire. Mais ça date et ça ne doit plus être d'actualité aujourd'hui.

[CyberFr]

  Le 6/1/2024 à 7:00 AM, PiwiLAbruti a dit :

Je me souviens que la détection ne fonctionnait pas sur certaines box où le broadcast Wi-Fi n'était pas propagé sur le réseau filaire. Mais ça date et ça ne doit plus être d'actualité aujourd'hui.

Développer  

J'ai constaté le problème avec une box Bouygues Telecom et celui-ci se reproduit avec Free. Le NAS et le Mac sont reliés à la box par câble Ethernet.

[PiwiLAbruti]

Ce n'est pas lié à la box, je n'ai pas le problème en Wi-Fi sur une Freebox.

[Jeff777]

  Le 6/1/2024 à 7:00 AM, PiwiLAbruti a dit :

Ensuite il n'affiche que les adresses IP des MACs préfixées par 00:11:32.

Développer  

Pas sûr, chez moi il détecte les deux nas sur des adaptateurs 2.5Gbts (avec des adressess mac 00:e0:4c) et même leurs adresses virtuelles avec des adresses mac customisées. Est-ce parceque je suis en filaire ?

[CyberFr]

Il est dommage que Synology Assistant ne trouve pas mon NAS car ça peut être une solution de secours dans une situation qui l'impose. D'autant que je n'ai pas une configuration ésotérique.

[CyberFr]

Je déterre ce sujet car j'ai trouvé le coupable. J'ai interdit à Synology Assistant d'accepter des connexions entrantes (je n'aime pas les connexions entrantes qui sont des nids d'espions). Après être revenu sur ce choix, Synology Assistant trouve à nouveau mon NAS.

[PiwiLAbruti]

  Le 6/21/2024 à 8:46 AM, CyberFr a dit :

J'ai interdit à Synology Assistant d'accepter des connexions entrantes

Développer  

🤔

[CyberFr]

  Le 6/21/2024 à 8:46 AM, CyberFr a dit :

J'ai interdit à Synology Assistant d'accepter des connexions entrantes

Développer  

On ne peut pas faire de raccourcis osés (foireux ?) car certains y trouvent à redire 😀

La bonne formule est donc : J'ai réglé macOS afin d'interdire que Synology Assistant accepte des connexions entrantes.

[PiwiLAbruti]

C'est surtout qu'il n'y a aucune connexion entrante vers Synology Assistant, d'où mon interrogation.

Tu voulais peut-être dire que tout trafic entrant vers l'application était interdit ? (ça m'aide juste à comprendre pourquoi ça ne fonctionnait pas)

  Le 6/21/2024 à 2:02 PM, CyberFr a dit :

On ne peut pas faire de raccourcis osés (foireux ?) car certains y trouvent à redire 😀

Développer  

Tu vois en fait, c'est pire que ce que tu pensais 😄

[CyberFr]

D'après ce que j'ai fait au niveau des réglages de macOS, il ressort que Synology Assistant a besoin de recevoir (les connexions entrantes pour fonctionner. Si cela est interdit par macOS Synology Assistant  ne trouve pas le NAS.

[Overkilled]

  Le 5/31/2024 à 3:59 PM, CyberFr a dit :

Oui, j'ai un nom de domaine et j'utilise systématiquement un reverse proxy y compris pour accéder à DSM.. C'est pourquoi le port 80 est fermé par le coupe-feu. Mais quand on accède à DSM via le réseau local, une règle prioritaire accepte toutes les connexions entrantes.

Après, si Synology Assistant utilise les ports par défaut de DSM, c'est une grave lacune en matière de sécurité car tous les pirates de la planète connaissent ces ports. Même le Conseiller de sécurité de DSM s'étrangle quand ces ports n'ont pas été modifiés.

Développer  

Synology Assistant n'utilise pas les ports par défaut pour détecter la présence ou non d'un NAS sur le réseau local.
Il analyse plutôt les adresses matérielles MAC pour les repérer, au moins dans un premier temps.
Ensuite, quels ports sont exploités pour établir la connexion à l'accueil de gestion, c'est dans le secret de Synology.

On peut juste supposer qu'ils utilisent des bibliothèques telles que celles utilisées par les logiciels d'inspection du réseau tels que (gros trou de mémoire soudain) et identifier dans les paquets Ethernet le contenu des en-têtes (possiblement pas uniquement les en-têtes Ethernet ou IP, mais les tout premiers octets des données), pour y repérer des sortes de "watermark"  définis par Synology.
Faute de pouvoir consulter les sources, je spécule, mais c'est ainsi que je m'y prendrai si j'avais à développer un tel outil ou à en faire les spécifications. 
À partir de là, le port alloué par l'administrateur Synology fini par être reconnu et c'est pourquoi ça fonctionne même si ce n'est pas le port par défaut.

Oui, c'est potentiellement une faille de sécurité. Et c'est sans doute pourquoi Synology déconseille fortement d'avoir son NAS directement exposé à Internet.
Au minimum, il faut avoir déjà un routeur d'intercalé avec un firewall (intégré ou non) permettant de filtrer parmi les connexions entrantes, celles qui peuvent ou non référencer tel ou tel nœud du réseau ou (mieux encore) du sous-réseau local.
À ce propos, attention à ceux qui utilisent IPv6. Il faut ne pas oublier qu'il n'y a pas dans ce cas la "barrière" du NAT IPv4. Ce qui veut dire qu'en plus des adresses Ipv6 locales de base, chaque nœud IPv6 a également une adresse globale accessible par Internet (en l'absence de firewall efficace correctement configuré). 
Après, il y a les adresses IPv6 globales dynamiques (le choix par défaut fait par Windows) mais possiblement des statiques, que ce soit voulu ou non.

En résumé, en IPv6 il faut être bien plus prudent qu'en IPv4 (en dehors du fait que toutes les tentatives majeures d'intrusion se font massivement toujours en IPv4, parce que c'est plus simple et que la botte de foin où peut se cacher un de vos nœuds et bien plus petite en IPv4 (32 bits d'adressage) que celle de l'Ipv6 (132 bits d'adressage dont généralement 64 à la disposition de l'utilisateur final).