[Résolu]Pb filtrage accès VPN par le firewall

[blancal64]

Bonjour,

Je ne sais pas si c'est le bon endroit pour poster cette demande.

J'ai configuré un accès VPN pour accéder à mon serveur d'entreprise de l'extérieur. Cela marchait plutôt bien jusqu'à récemment où cela était chaotique en termes de débit et de facilité à ce connecté. En regardant les connexions, je me suis rendu compte que j'avais de nombreuses connexion "UNDEF", qui semblaient à l'origine du problème. En me renseignant j'ai compris qu'il s'agissait d'attaque que l'une des manière de s'en prémunir était de configurer le pare feu pour bloquer les connexions venant de pays étrangers. Cela avait l'air de marcher dans un premier temps, mais j'ai à nouveau le problème. Je me suis donc probablement planté dans la configuration, ou mon problème est plus grave. Voici la configuration que j'utilise :

 

Merci pour votre aide.

Alexandre

 

[Mic13710]

C'est pas brillant.

Le VPN (on ne sait pas lequel) est ouvert aux 4 vents et tous les ports sont ouverts sur la France sans distinction.

Vous pouvez probablement limiter l'accès VPN aux seuls pays à partir desquels vous vous connectez. Et pour la France, limitez les ouvertures de ports aux seules applications qui doivent être utilisables de l'extérieur. Si vous utilisez le reverse proxy, le nombre de ports est alors plus restreint puisque tout passe par le 443, exception faite des ports pour certains protocoles (serveur Mail par exemple) ou applications (Synology Drive par exemple)

[PiwiLAbruti]

Dans quelle section sont créées ces règles de filtrage ? (affichée en haut à droite, non visible sur la capture d'éran)

[blancal64]

Bonjour,

@PiwiLAbruti j'ai configuré cela sur "toutes les interfaces"

@Mic13710 effectivement je peux limiter sur le port correspondant à l'accès au VPN, mais cela ne change pas que je me retrouve à chaque fois avec des connexions "UNDEF" qui réapparaissent.

Edit : et suite à vos remarque j'ai organisé comme cela :

toujours sur "toutes les interfaces". Est ce que cela est suffisant ?

Blancal

Modifié le 3 avril par blancal64

[Mic13710]

Là pour le coup, le NAS n'est joignable de l'extérieur que de la France par le port 50000. Plus de VPN donc. Remarquez, comme ça vous ne serez plus ennuyé par des tentatives de connexion sur ces ports !

Sauf erreur, le 50000 est un port http, et vers quel service svp ?

Si c'est redirigé vers le 5000 (DSM) ou bien que vous avez changé le port DSM http par défaut, alors y'a tout faux.

En terme de sécurité, on n'ouvre pas un port http vers l'extérieur.

[blancal64]

50000 est le port que j'utilise pour le VPN. J'ai préféré ne pas utiliser les ports par défaut pour limiter les risques justement.

Modifié le 3 avril par blancal64

[Mic13710]

Ca n'apporte pas grand chose en terme de sécurité, mais si ça vous rassure ainsi, pourquoi pas. Mais alors, si c'est le port que vous avez défini pour openVPN je suppose dans le NAS et le routeur, il devrait indiquer dans le parefeu non pas le port mais serveur VPN. Les ports sont réajustés selon les paramètres utilisateurs.

Vous n'avez pas d'autres applications que vous utilisez de l'extérieur ?

[blancal64]

Hello, oui je pourrais juste mettre "vpn server" au lieu de 50000 UDP comme je l'avais fait au départ. J'avais cru comprendre que c'était mieux ainsi.

Et non je n'utilise aucune autre application de l'extérieur, et ne souhaite pas en utiliser.

 

[blancal64]

Bon,

Finalement on va pouvoir clore le sujet. J'ai (ou plutôt un de mes collaborateur a) fait mon (son) boulet. Là où j'avais identifié une attaque de l'extérieur, il  fallait voir un Mac qui cherchait désespérément à se connecter de l'intérieur, en provoquant les connexion fantôme en "UNDEF". J'aurai au moins profité de l'occasion pour sécuriser un peu mieux les accès entrant sur mon NAS.

Merci en tout cas pour toutes vos réponses.

Blancal

[Mic13710]

Le problème est maintenant résolu. N'hésitez pas à ouvrir un nouveau message en cas de problème. Ceci est une réponse automatique.