Skarabaus Posté(e) le 17 mars Posté(e) le 17 mars (modifié) Bonjour, je ne sais pas si c’est la bonne section étant donné que le sujet concerne OpenVPN. N’hésitez pas à déplacer le sujet s’il n’est pas au bon endroit. J’ai passé en revue les tutos de sécurisation du NAS ainsi que de la mise en place d’un VPN mais je pense que je suis passé à côté de quelque chose. J’ai actuellement : une adresse en xxx.synology.me active. VPNServer installé et configurer en Split. Certificat LE R10 actif SecureSignin actif également sur mon NAS. Depuis un certains temps, qu’OpenVPN soit lancé ou non, je n’arrivais pas à me connecter aux applications Synology pour rejoindre mon Nas via l’@IP ou le nom de domaine. Que l’HTTPS soit coché ou non. Je pense que j’ai une coquille quelque part dans mes configurations. Hier, dans le doute, j’ai essayé de me connecter avec l’adresse 10.x.x.x (ce que j’aurais dû faire dès le départ vu que je passe par OpenVPN) et avec l’HTTPS coché. L’application m’a retourné « Le certificat SSL du Synology NAS n'est pas fiable. Cela signifie peut-être que c'est un certificat auto-signé, ou que quelqu'un essaie d'intercepter votre connexion. » et c’est là que j’ai repensé au fait qu’un certificat ne s’applique qu’à un nom de domaine (bien qu’avec mon adresse xxx.synology.me, ça ne fonctionne pas, OpenVPN actif ou non). En 10.x.x.x avec HTTPS décoché, l’application me demande le code SecureSignin. Et j’ai donc accès au contenu de l’application ! Ma question, sur mes devices, depuis l’extérieur, y a-t-il un intérêt à cocher « HTTPS » dans les applications Synology si on active OpenVPN au préalable ? Car après avoir vu ça je me suis dit que je sécurisais une connexion dans un tunnel déjà sécurisé… Merci à vous Modifié le 17 mars par Skarabaus 0 Citer
CyberFr Posté(e) le 17 mars Posté(e) le 17 mars Le 3/17/2025 à 8:45 AM, Skarabaus a dit : Ma question, sur mes devices, depuis l’extérieur, y a-t-il un intérêt à cocher « HTTPS » dans les applications Synology si on active OpenVPN au préalable ? Car après avoir vu ça je me suis dit que je sécurisais une connexion dans un tunnel déjà sécurisé… Développer Peux-tu développer ce point afin que l'on puisse t'aider le cas échéant ? 0 Citer
Skarabaus Posté(e) le 17 mars Auteur Posté(e) le 17 mars (modifié) Le 3/17/2025 à 4:37 PM, CyberFr a dit : Peux-tu développer ce point afin que l'on puisse t'aider le cas échéant ? Développer Merci de retour @CyberFr Depuis l’extérieur : Sans OpenVPN, en HTTPS et en passant par l’adresse Synology.me, je n’accède à rien depuis les applications. Idem en HTTP. Avec OpenVPN, en HTTPS et en passant par l’adresse Synology.me, je n’accède à rien depuis les applications. Idem en HTTP. Avec OpenVPN, en HTTPS et en passant par l’adresse 10.x.x.x, je n’accède à rien depuis les applications. Avec OpenVPN, en HTTP et en passant par l’adresse 10.x.x.x, j’ai accès. Je ne sais pas si les Screenshots aideront mais voici le déroulé : j’active OpenVPN sur mon iPhone. je lance DS File. Je coche HTTPS et voici ce qu’il m’affiche : En annulant l’opération voici ce qu’il me sort par contre si je décoche HTTP voici ce qu’il m’affiche : et c’est à partir de là uniquement que j’ai accès à mon NAS. Je me demande si le fait de lui coller HTTPS alors que je veux me connecter via OpenVPN en 10.x.x.x ne pose pas un problème (en sus de mes réglages) En espérant avoir répondu à ta question. Modifié lundi à 14:52 par Skarabaus 0 Citer
CyberFr Posté(e) le 18 mars Posté(e) le 18 mars Je te suggère de procéder étape par étape en commençant par relire le tuto sur la sécurisation du NAS sous DSM 7. Evite d'utiliser le VPN pour l'instant car quand tu dis Le 3/17/2025 à 6:55 PM, Skarabaus a dit : Sans OpenVPN, en HTTPS et en passant par l’adresse Synology.me, je n’accède à rien depuis les applications. Développer ce n'est pas normal. Evite aussi pour l'instant l'authentification à deux facteurs. L'idée est de repartir de zéro afin de savoir quand le problème se produit et donc de l'isoler. Essaie déjà de te connecter au portail d'administration de DSM en utilisant juste un navigateur. 0 Citer
Skarabaus Posté(e) le 18 mars Auteur Posté(e) le 18 mars (modifié) On est d’accord, avec l’adresse Synology.me je ne devrais pourtant pas rencontrer de problèmes. Depuis mon téléphone, aucun moyen de joindre DSM. Une fois le poste sous la main (en 192.x.x.x), je jetterai un œil aux ports ouverts sur le NAS & la box, désactiverais le 2FA et couperais VPN Server. Limite réinitialiser le NAS ce n’est pas plus simple ? Actuellement je n’ai rien dessus à part 2 comptes utilisateurs et des fichiers de test. Modifié le 18 mars par Skarabaus 0 Citer
CyberFr Posté(e) le 18 mars Posté(e) le 18 mars Le 3/18/2025 à 9:43 AM, Skarabaus a dit : Limite réinitialiser le NAS ce n’est pas plus simple ? Développer Une réinitialisation risque de ne rien changer tant que tu n'auras pas cerné le problème. Le 3/18/2025 à 9:43 AM, Skarabaus a dit : Depuis mon téléphone, aucun moyen de joindre DSL. Développer Il faut sérier les problèmes. Je te conseille de rester en local et d'utiliser un navigateur sur ton desktop. Il serait souhaitable que dans ta présentation tu décrives ton environnement matériel. 0 Citer
Skarabaus Posté(e) le 18 mars Auteur Posté(e) le 18 mars Le 3/18/2025 à 11:12 AM, CyberFr a dit : Il serait souhaitable que dans ta présentation tu décrives ton environnement matériel. Développer Désolé, maj à l’instant. Le 3/18/2025 à 11:12 AM, CyberFr a dit : Une réinitialisation risque de ne rien changer tant que tu n'auras pas cerné le problème. Développer Pardon, je voulais dire remettre le NAS à zéro/usine pour repartir sur une base saine et reprendre les tutos de sécurisation/DDNS. Mais pas de soucis, je commence déjà me séparer du SecureSignin et du VPN. Merci @CyberFr 0 Citer
CyberFr Posté(e) le 18 mars Posté(e) le 18 mars Le 3/18/2025 à 11:49 AM, Skarabaus a dit : Pardon, je voulais dire remettre le NAS à zéro/usine pour repartir sur une base saine et reprendre les tutos de sécurisation/DDNS. Développer Il te faudra reformater les disques dans ce cas. Au fait ils sont en RAID1 ou autre chose ? C'est une solution radicale qui a l'avantage de repartir de zéro. Si tu l'appliques, commence par relire le tuto consacré à la sécurité des NAS, j'estime que c'est le tuto à lire en priorité et le plus important pour bien démarrer. Procède par étape, n'aborde la suivante que lorsque la précédente donne toute satisfaction à la suite de tests. Et n'hésite pas à poser des questions si tu rencontres des difficultés. 0 Citer
Skarabaus Posté(e) le 18 mars Auteur Posté(e) le 18 mars Le 3/18/2025 à 12:03 PM, CyberFr a dit : Il te faudra reformater les disques dans ce cas. Au fait ils sont en RAID1 ou autre chose ? Développer Ils sont en BTRFS de mémoire, vu que c’était recommandé lors de l’installation. Le 3/18/2025 à 12:03 PM, CyberFr a dit : C'est une solution radicale qui a l'avantage de repartir de zéro. Développer Oui c’est pour ça que je parlais de ça. Ça ne fera que la 2ème en 3 mois. Je suis aux abonnés « Chat Noir ». Le 3/18/2025 à 12:03 PM, CyberFr a dit : Si tu l'appliques, commence par relire le tuto consacré à la sécurité des NAS, j'estime que c'est le tuto à lire en priorité et le plus important pour bien démarrer. Développer Justement j’avais suivi le processus de @Fenrir et en découvrant celle de @shad, je pense que c’est là que j’ai du mélanger les 2 lectures. Question : j’ai modifié le mot de passe du compte admin (qu’on désactive avant de créer un user avec les droit admin) il y a quelques semaines depuis le panneau de configuration. Est-ce que cela peut avoir une incidence au démarrage si j’effectue le Reset Mode 1 ou 2 ou le Factory ? 0 Citer
CyberFr Posté(e) le 18 mars Posté(e) le 18 mars Le 3/18/2025 à 12:46 PM, Skarabaus a dit : Ils sont en BTRFS de mémoire, vu que c’était recommandé lors de l’installation. Développer Certes le volume est en BTRFS puisque le DS220 le permet mais les disques peuvent être en RAID0 ou en RAID1. Le RAID0 utilise le cumul des capacités des disques mais ne présente aucune sécurité, si l'un des disques lâche, tu perds tout. Le RAID1 partage les données entre les deux disques et si l'un tombe en panne, l'autre prends le relai en attendant le remplacement du disque défectueux. Tu peux cliquer sur le lien de Wikipedia pour avoir plus d'explications RAID Informatique. Le 3/18/2025 à 12:46 PM, Skarabaus a dit : Oui c’est pour ça que je parlais de ça. Ça ne fera que la 2ème en 3 mois. Je suis aux abonnés « Chat Noir ». Développer Mais non, ce n'est pas une fatalité 😀 Raison de plus pour procéder étape par étape et poser des questions dés qu'un problème apparaît. Le 3/18/2025 à 12:46 PM, Skarabaus a dit : Justement j’avais suivi le processus de @Fenrir et en découvrant celle de @shad, je pense que c’est là que j’ai du mélanger les 2 lectures. Développer Le premier tuto sur la sécurité était une référence mais il date un peu et n'a pas été mis à jour pour DSM 7. @.Shad. l'a repensé/réécrit afin de tenir compte des évolutions récentes en matière de sécurité. C'est celui-là qu'il faut lire. Le 3/18/2025 à 12:46 PM, Skarabaus a dit : Question : j’ai modifié le mot de passe du compte admin (qu’on désactive avant de créer un user avec les droit admin) il y a quelques semaines depuis le panneau de configuration. Est-ce que cela peut avoir une incidence au démarrage si j’effectue le Reset Mode 1 ou 2 ou le Factory ? Développer Aucune importance si tu reformates les disques (réglages d'usine) par contre un Reset en mode 1 ou 2 réactive le compte admin. Un conseil dans ce cas, note soigneusement son mot de passe avant d'effectuer le Reset. 0 Citer
Skarabaus Posté(e) le 18 mars Auteur Posté(e) le 18 mars Alors ils sont en RAID1, c’est bien 4To affichés de mémoire. Le 3/18/2025 à 1:20 PM, CyberFr a dit : Aucune importance si tu reformates les disques (réglages d'usine) par contre un Reset en mode 1 ou 2 réactive le compte admin. Un conseil dans ce cas, note soigneusement son mot de passe avant d'effectuer le Reset. Développer Ok, je crois que de mémoire une fois le mdp appliqué on ne peut plus le voir par la suite. Je ne peux qu’en recréer un nouveau mais sans voir celui qui est en place. Je dois l’avoir sous la main, au pire je recréerai un nouveau juste avant d’effectuer le Reset 1 ou 2. Merci @CyberFr pour tes informations ! 0 Citer
CyberFr Posté(e) le 18 mars Posté(e) le 18 mars Le 3/18/2025 à 1:50 PM, Skarabaus a dit : Je ne peux qu’en recréer un nouveau mais sans voir celui qui est en place. Développer Exactement. Mais quitte à changer le mot de passe du compte admin, tu peux le noter quelque part avant de faire le reset. Parce que parfois quand tu fais un reset tu n'a déjà plus accès au NAS d'où l'intérêt de le noter avant la cata. Note que dans certains cas le mot de passe n'est pas demandé en fonction d'un réglage de DSM dont j'ai oublié l'origine. @Mic13710 pourrait peut-être me rafraîchir la mémoire. 0 Citer
Mic13710 Posté(e) le 18 mars Posté(e) le 18 mars @CyberFr, la réponse est directement donnée dans DSM dans Mise à Jour et Restauration, Réinitialisation du système : Si l'option est cochée, c'est le mot de passe donné lors du paramétrage du NAS qui est restauré lorsque le compte admin est réactivé par le reset mode 1 ou 2. Si elle est décochée, c'est le mdp par défaut de DSM. Je ne le connais pas, il faut chercher. Il est possible que ce soit 'admin'. A vérifier. Bien évidemment, j'ai coché cette case et je conserve le mdp long comme le bras dans mon gestionnaire de mots de passe. 1 Citer
CyberFr Posté(e) le 18 mars Posté(e) le 18 mars Merci de me rafraîchir la mémoire 👍 Le 3/18/2025 à 3:06 PM, Mic13710 a dit : Bien évidemment, j'ai coché cette case et je conserve le mdp long comme le bras dans mon gestionnaire de mots de passe. Développer Pas mieux, c'est ce que j'ai fait après vérification. Ton intervention m'a servi de piqure de rappel. 0 Citer
Skarabaus Posté(e) le 18 mars Auteur Posté(e) le 18 mars Merci @Mic13710 de ces précisions ! Le 3/18/2025 à 3:06 PM, Mic13710 a dit : Si l'option est cochée, c'est le mot de passe donné lors du paramétrage du NAS qui est restauré Développer Alors, question bête mais, quand tu dis « lors du paramétrage », tu veux dire en sortie de boîte à la première initialisation ? Ou peu importe du moment que c’est le mot de passe qui concorde avec le compte ? Car j’ai modifié le mot de passe plus tard depuis le panneau de configuration > utilisateurs. 0 Citer
Mic13710 Posté(e) le 18 mars Posté(e) le 18 mars On peut en changer à tout moment. Ce que je voulais dire c'est que si vous ne le modifiez pas, c'est celui qui était actif avant de désactiver le compte. Ce qui est important c'est de bien le conserver pour pouvoir se connecter au NAS en cas de reset. 0 Citer
Skarabaus Posté(e) le 18 mars Auteur Posté(e) le 18 mars Merci @Mic13710 ! je reviens vers vous & @CyberFr sur ce fil dès que le ménage (désactiver SignIn et VPN Server & désinstaller quelques applications pour le moment non nécessaires à mon problème) est fait dans mon Syno. 0 Citer
CyberFr Posté(e) le 18 mars Posté(e) le 18 mars Pourquoi ne pas repartir d'une configuration de sortie d'usine comme tu l'as suggéré ? Ce serait plus propre puisque tu n'as pas vraiment commencé à utiliser le NAS. Par contre, si tu as installé des données perso sur le DS220 que tu souhaites conserver, pense à les sauvegarder. 0 Citer
Skarabaus Posté(e) le 18 mars Auteur Posté(e) le 18 mars Désolé du retard @CyberFr. Justement je pense partir sur ce Factory Reset. Mais dans le doute, je préfère au moins me séparer de SignIn et vérifier le mdp de l’admin avant tout. Quand je parle de chat noir, je préfère ne pas avoir de nouveau la guigne 😅 0 Citer
Skarabaus Posté(e) le 18 mars Auteur Posté(e) le 18 mars (modifié) Le 3/18/2025 à 12:03 PM, CyberFr a dit : Il te faudra reformater les disques dans ce cas. Au fait ils sont en RAID1 ou autre chose ? Développer @CyberFr Le factory reset a été effectué. SHR BTRFS, avec protection de données. Le 3/18/2025 à 3:06 PM, Mic13710 a dit : Si elle est décochée, c'est le mdp par défaut de DSM. Je ne le connais pas, il faut chercher. Il est possible que ce soit 'admin'. A vérifier. Développer @Mic13710 Je ne sais pas si cela pourra t’apporter quelque chose ou si c’est normal mais : - Je demandé à ne pas garder le mdp admin lors du factory reset, bien que je l’avais sous la main à jour. J’ai lancé la procédure depuis mon poste sans rien faire d’autre. - Je suis reparti d’une configuration usine, au démarrage il ne m’a pas proposé de me connecter en admin (pour ensuite créer un nouveau user et désactiver admin) mais il m’a fait créer un compte utilisateur administrateur d’office. - À ma grande surprise dans le panneau de configuration, le compte admin est déjà désactivé (il est en System default user) et dans sa section le mot de passe est bien le dernier que j’ai rentré avant le factory reset. - Quant au compte utilisateur que j’ai créé au démarrage, il est aussi bien en user que administrateur. Modifié le 19 mars par Skarabaus 0 Citer
Skarabaus Posté(e) le 19 mars Auteur Posté(e) le 19 mars (modifié) MAJ Youpi Matin Youpi - Coupure du Wifi du poste pour passer en ethernet. Voici l’installation : Mac => AirPort Extreme RJ45 => Box FAI. - Tutoriel Sécurisation du NAS appliqué. 2-3 points non suivi tel que AFP etc.. au moment d’activer SSH je pense avoir bêtement cliquer sur OK au lieu de fermer la fenêtre du pare-feu. J’ai donc désactivé SSH dans le panneau de configuration ensuite. le reste a été mis en place tout dans l’ordre du tutoriel. - DDNS nouvellement créé. - Certificat LE actif et Normal. - Certificat Synology toujours présent et actif (mais pas par défaut). - Redirection HTTP -> HTTPS appliqué après la mise en place du Certificat. par contre, au moment de la redirection j’ai perdu la connexion à DSM. Me disant que je suis en local, je suis passé outre l’avertissement de connexion non sécurisée afin de poursuivre la tutoriel et redémarrer le NAS. Suite au redémarrage du NAS : - connexion à DSM (sous port 5000). - Redirection HTTP -> HTTPS activée. Pas de soucis, le changement d’affichage s’est effectué (passage en 5001). Depuis mon iPhone en wifi : - Safari : Pas moyen de me connecter à 192.x.x.x. Affichage de la « Connexion non sécurisée ». Comme m’avait dit @Mic13710 dans un ancien post, un certificat ce n’est que pour les domaines par les IP. Je préfère pour le moment ne pas aller plus loin par doute. Pas moyen de me connecter à xxx.synology.me. Que ce soit en HTTP ou HTTPS, affichage d’une Page blanche. - DS Finder : Adresse de connexion grisée : impossible de changer l’adresse en 192 par le DDNS. Bouton HTTPS activé d’entrée et pas moyen de le changer. Si je me connecte avec ces infos => Affichage de la « Connexion non sécurisée ». J’annule donc la connexion. Depuis mon iPhone en 4G, rien du tout. En même temps je n’ai ouvert de ports nulle part. En somme, de bon matin : Le NAS est en configuration Usine + Sécurisation du NAS uniquement. Je pense que j’ai oublié d’aller côté Pare-feu NAS pour voir si il y avait une règle pour SSH. Pas de port ouverts ni sur le NAS ni sur la Box à l’heure actuelle. Redémarrer le NAS c’est bien, mais je n’ai pas redémarrer la Box… Je n’ai pas vider l’historique de mon ordinateur lors du redémarrage pour le passage HTTP=>HTTPS. Pas d’accès depuis l’adresse Synology.me en local ou en 4G. Peut-être l’AirPort Extrême qui pose problème. Désolé de ce long post mais je souhaitais vous présenter la démarche du mieux possible. Modifié le 19 mars par Skarabaus 0 Citer
Skarabaus Posté(e) le 20 mars Auteur Posté(e) le 20 mars Alors j’ai refais un tour dans ma configuration et le tutoriel, je ne comprends pas là où j’ai cafouillé. Je ne pense pas qu’il y aient d’erreurs de la part de l’auteur @.Shad. mais je pose la question, dans le doute… Je vois que dans l’adresse 192.168.0.0, concernant le masque : La screenshot (255.255.255.x) Le texte (255.255.0.0) Le 8/26/2023 à 8:13 AM, .Shad. a dit : On va tout d'abord ajouter quatre règles garantissant un accès local complet à votre NAS : Pour ce faire, on procède ainsi : On clique sur Créer On coche IP spécifique puis on clique sur Sélectionnez On choisit Sous-réseau et on entre 192.168.0.0 dans Adresse IP, et 255.255.0.0 dans Masque de sous-réseau Développer À quelle information dois-je me fier ? 0 Citer
Mic13710 Posté(e) le 20 mars Posté(e) le 20 mars C'est une coquille. Pour couvrir toute la plage des IP en 192.168.0.0 c'est le masque de sous réseau 255.255.0.0 qu'il faut utiliser (192.168.0.0/16 en notation CIDR). Pour ne couvrir que la plage de votre propre réseau en 192.168.x.0, vous utilisez le masque de sous réseau 255.255.255.0 (192.168.x.0/24 en notation CIDR). Le tuto est sensé couvrir toute les plages des IP privées. Vous pouvez les laisser telles quelles ou les ajuster à vos propres besoins. 0 Citer
Skarabaus Posté(e) le 21 mars Auteur Posté(e) le 21 mars Merci @Mic13710 pour vos précisions. Dans ce cas, je ne comprends pas où est mon problème. Via le Terminal et Ping/nslookup, mon NAS est contacté, mais impossible de m’y connecter via le DDNS depuis le réseau local (RJ45/Wifi). 0 Citer
Skarabaus Posté(e) lundi à 14:52 Auteur Posté(e) lundi à 14:52 (modifié) Re-bonjour, Le 3/18/2025 à 8:46 AM, CyberFr a dit : Essaie déjà de te connecter au portail d'administration de DSM en utilisant juste un navigateur. Développer @CyberFr - En local, depuis mon Mac via Safari, je peux me connecter à 192.x.x.x (affichage de navigation non-privée donc je l'outrepasse). - Avec l'adresse DDNS, rien ne se passe. - Via mon iPhone, via Safari, en wifi, en 192.x.x.x (affichage de navigation non sécurisée). - En 4G depuis, Safari, avec l'adresse DDNS, rien ne se passe. - En local, depuis mon Mac via Firefox, "La connexion a échoué. Firefox ne peut établir de connexion avec le serveur à l’adresse 192.x.x.x." @Mic13710 Dans mes paramètres de certificats, je me retrouve avec celui créé via le tutoriel (certificat L.E appliqué par défaut) ainsi que celui d'origine. Se pourrait-il que le problème vienne de là ? Modifié lundi à 15:01 par Skarabaus 0 Citer
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.