Synology Sous-réseau sur mon Firewall Synology

[nounours1895]

Bonjour,

Avant d'installer VPN Server (afin d'ouvrir mon NAS sur internet de façon sécurisée), je configure mon Pare-feu pour autoriser tout le trafic de mon LAN (maison) et interdire ce que je ne veux pas venant de l'extérieur.

Pour ce faire, je me base sur cette vidéo, mais aussi sur le tuto très bien fait de ce site.

Je vais donc avoir les règles suivantes dans mon pare-feu (avant d'interdire/autoriser les accès extérieurs):



où le tuto indique clairement que:
La règle N°1 va autorisé tout le trafic provenant d'une connexion depuis VPN Serveur par exemple ( sous réseau en 10.0.0.0 ).
La règle N°2 va autoriser tout le trafic provenant des sous-réseaux de Docker par exemple.
La règle N°3 va autoriser tout le trafic provenant des appareils de votre réseau local. ( sous réseau en 192.168.0.0 ).

Je n'ai aucun problème pour créer les règles, mais avant d'activer le pare-feu, une question m'inquiète un peu car j'ai 2 switches dans mon réseau, dont l'un est dédié aux échanges 10Gb/s entre les NAS et mon PC, comme le montre le schéma ci-dessous:



j'interprète (peut-être à tort) ceci comme un sous réseau 10Gb de mon LAN: y a-t-il un risque que je ne puisse plus accéder à mon NAS une fois le pare-feu activé avec ces règles ??

Parce qu'évidemment je ne voudrais pas activer mon pare-feu et me retrouver sans accès à mon NAS (d'ailleurs que doit-on faire si on se retrouve dans cette situation après s'être planté dans les règles du Pare-feu ??)....

Merci aux sachants !

 

[Neo974]

Si tu crée une règle qui risque de te bloquer a partir de ton pc, tu auras un pop up indiquant qu'une règle va empêcher cet ordinateur de se connecter.

Ensuite il faut adapter les adresses ip à la réalité de ton réseau.

 

[nounours1895]

Si tu crée une règle qui risque de te bloquer a partir de ton pc, tu auras un pop up indiquant qu'une règle va empêcher cet ordinateur de se connecter.

Entre temps j'avais lu ceci effectivement, ça rassure !

Ensuite il faut adapter les adresses ip à la réalité de ton réseau.

c'est bien ce qui m'inquiète car je suis une buse en réseau (enfin presque...):

• ma box a toujours la même adresse qu'à l'origine: 192.168.1.1
• je connais les adresses de mes NAS, lesquelles ne me semblent pas avoir quoi que ce soit de particulier, mais bon...
• Mon DS1821 a une adresse différente quand connecté sur sa carte 10Gb (normal), mais j'ai défini des IP fixes dans ma box afin d'éviter les surprises

donc quand tu dis "il faut adapter les adresses IP à la réalité de ton réseau", à quelles adaptations penses-tu ??

Merci

 

[bliz]

sous réseau en 192.168.0.0

pourquoi avoir choisie ce "sous réseau", vous avez des adresses qui vont de 192.168.0.x à 192.168.255.x ? ou alors tous vos appareils sont dans la plage 192.168.1.0 à 192.168.1.255 ?

 

[zypos]

sous réseau en 192.168.0.0

Normalement les livebox ont un réseau local en 192.168.1.xxx ; donc tous les équipements reliés doivent être dans la plage 192.168.1.2 à 192.168.1..255 ; la Livebox etant en 192.168.1.1 .
Tu devrais retrouver l'adresse IP de tes équipements dans l'interface de la livebox partie réseau /DHCP
Dans le parre feu du NAS il convient donc de changer ce paramètre .
En regardant le schéma de ton réseau je trouve un peu bizare que le switch Zyxel 10Gbits soit relier en 1 Gbits a un switch D-Link .
J'aurrais fait l'inverse : relier le switch Zyxel directement à la Box et son port 3 ( qui semble vide) relier à l'autre switch ;
Je serais curieux de connaître les débits optenus entre NAS 1 et PC principal ?
Note : cela fait un momment qu'Orange diffuse la Livebox 6 avec une prise à 2,5 Gbits et un débits 2Gits cela te permettrais de doubler tes débits sur les devices 10 Gbits . Les offres Orange sont en cours de modification avec l'arrivée de la Livebox 7.

 

[bliz]

Je serais curieux de connaître les débits optenus entre NAS 1 et PC principal ?

il sera limité par la vitesse du raid ou du sata3, donc maxi dans les 500 mo/s avec son ds1821 si il n'a pas les nvme d'installé. Et pour la connexion 1 gb entre switch, normal, il a différencier les débit 1 gb et 10 gb. Par contre, un panneau de brassage n'a pas de débit (ici indiqué 10 gb) car ce ne sont que des connexion

 

[Neo974]

pourquoi avoir choisie ce "sous réseau", vous avez des adresses qui vont de 192.168.0.x à 192.168.255.x ? ou alors tous vos appareils sont dans la plage 192.168.1.0 à 192.168.1.255 ?

C'est une capture d'écran d'un tutoriel pour les débutants.
Le but est de couvrir les différents cas de box opérateurs, de routeur additionnel.....

Ensuite il faut adapter les adresses ip à la réalité de ton réseau.

Ici il convient de réduire la plage IP en mettant par exemple 192.168.1.0 / 255.255.255.0

Par contre, un panneau de brassage n'a pas de débit (ici indiqué 10 gb) car ce ne sont que des connexion

Il parle sûrement de la capacité des câbles.
Il aurait dû indiquer plutôt la catégorie des câbles et des connecteurs utilisés.

 

[bliz]

Il parle sûrement de la capacité des câbles.
Il aurait dû indiquer plutôt la catégorie des câbles et des connecteurs utilisés.

sur le schema, c'est des 6a, donc il peut monter à 10 gb. Mais j'insiste, il est ridicule de parler de débit sur un panneau de brassage sur que l'on peut passer si l'on veut du 20 gb

 

[zypos]

Ici il convient de réduire la plage IP en mettant par exemple 102.168.1.0 / 255.255.255.0

Ce n' est pas plutôt : 192.168.1.0 ? Et en quoi cela réduit la plage IP ?

 

[zypos]

Et pour la connexion 1 gb entre switch, normal, il a différencier les débit 1 gb et 10 gb.

Je ne voie pas trop le rapport , dans son cas in fine tout se retrouve mélanger au niveau du switch 1 Gbits .
Si tu veux séparer les réseaux qu'une solution : mettre en place des VLAN , mais impossible avec une Livebox.
Avec un réseau multigigue tu vas du plus rapide vers le moins rapide .
Mais peut-importe car la Livebox 4 ( qui va disparaitre ) est limiter par des sorties 1 Gbits

 

[bliz]

Je ne voie pas trop le rapport , dans son cas in fine tout se retrouve mélanger au niveau du switch 1 Gbits .
Si tu veux séparer les réseaux qu'une solution : mettre en place des VLAN , mais impossible avec une Livebox.
Avec un réseau multigigue tu vas du plus rapide vers le moins rapide .
Mais peut-importe car la Livebox 4 ( qui va disparaitre ) est limiter par des sorties 1 Gbits

je ne parle pas d'isoler les réseaux avec le vlan, mais de différencier les réseaux selon le débit. On ne mélange pas des 10 Gb avec des 1 Gb, cela serait du gâchis. Dans le schema, la partie gauche est entièrement en en 1 gb y compris le dhcp de la livebox et la partie droite est en 10 Gb, et même si le dhcp est dans la partie 1 GB, cela ne réduit pas le débit du 10 GB.

 

[zypos]

mais de différencier les réseaux selon le débit. On ne mélange pas des 10 Gb avec des 1 Gb, cela serait du gâchis.

Sur le fond je suis d'accord avec toi ; mais dans la réalitée tu n'a pas trop le choix ; Dans mon LAN j'ai du 10 Gbits ; du 2,5 du 1 et même du 100Mbits pour une vielle imprimante RJ45 et le pont Philips Hue . Je ne vais pas faire 4 réseaux différent . Le pont Hue et l'imprimante sont relier à un switch en 2,5Gbits car il me restait des ports de libre .

 

[bliz]

ok, mais rien à voir avec le schéma, dans le schéma, lui a des switch 1 gb et 10 gb

 

[Neo974]

Après selon son schéma le pc et le NAS communique entre eux en 10Gb.

On s'éloigne de beaucoup du sujet initial qui est de l'aider au mieux de configurer son pare-feu.

Alors on va reprendre.

La règle N°1 va autorisé tout le trafic provenant d'une connexion depuis VPN Serveur par exemple ( sous réseau en 10.0.0.0 ).

dans ton cas il faudrait une fois le VPN configurer regarder la plage IP se celui-ci et y mettre un masque plus restreint ( 255.255.255.0)

La règle N°2 va autoriser tout le trafic provenant des sous-réseaux de Docker par exemple.
La règle N°3 va autoriser tout le trafic provenant des appareils de votre réseau local. ( sous réseau en 192.168.0.0 ).

Ce n' est pas plutôt : 192.168.1.0 ? Et en quoi cela réduit la plage IP ?

le tutoriel indique une plage ip qui débute en 192.168.0.1 et une plage de 255.255.0.0

Il convient de réduire à 192.168.1.0 et un masque de 255.255.255.255.0.
Ça réduit quand même la plage ip même si le risque est faible sur cette partie.

j'interprète (peut-être à tort) ceci comme un sous réseau 10Gb de mon LAN: y a-t-il un risque que je ne puisse plus accéder à mon NAS une fois le pare-feu activé avec ces règles ??

tes switch ne font pas DHCP donc tout tes équipements sont dans le même réseau ( celui de ta livebox).

Parce qu'évidemment je ne voudrais pas activer mon pare-feu et me retrouver sans accès à mon NAS (d'ailleurs que doit-on faire si on se retrouve dans cette situation après s'être planté dans les règles du Pare-feu ??)....

La seule solution est un reset du NAS.
Ou se connecter à un autre port tj45 du NAS avec une ip autoriser par le pare-feu.

 

[nounours1895]

Purée les experts, là je suis absolument perdu avec toutes vos réponses, et je ne sais plus ce que je dois faire !

pourquoi avoir choisie ce "sous réseau", vous avez des adresses qui vont de 192.168.0.x à 192.168.255.x ? ou alors tous vos appareils sont dans la plage 192.168.1.0 à 192.168.1.255 ?

je n'ai rien choisi du tout: c'est ainsi depuis le début.

Normalement les livebox ont un réseau local en 192.168.1.xxx ; donc tous les équipements reliés doivent être dans la plage 192.168.1.2 à 192.168.1..255 ; la Livebox etant en 192.168.1.1 .

Exact.
Et je connais l'IP de chacun de mes équipements: j'ai passé les NAS en IP fixes dans ma box il y a un moment déjà.
Le vieux DS413 (n'ayant qu'un port 1Gb) est en 192.168.1.xx
Le DS1821+ sur son port 1Gb est en 192.168.1.yy et lorsqu'il est connecté à sa carte 10Gb il est en 192.1.168.zz.

Et si un "Grand Maître" veut connaitre les valeurs exactes, mieux vaut sans doute les donner en MP...

Après selon son schéma le pc et le NAS communique entre eux en 10Gb.

On s'éloigne de beaucoup du sujet initial qui est de l'aider au mieux de configurer son pare-feu.

Ah super Neo974: c'est bien la question de départ que je me pose !

Donc j'avoue que je suis complètement perdu: je suis une quasi une buse en réseau Messieurs (!), et surtout je ne pige pas comment fonctionne les "masques", donc je ne vois pas ce qui est autorisé ou pas...

Edit de 14h55:
je suis en train de lire des explications sur les masques donc ça commence à être plus clair !

Je me contente de suivre bêtement le tuto où se trouve les règles n° 1, 2 et 3 indiquées plus haut, en essayant de m'en sortir sur la config du pare-feu (sans bloquer mes accès depuis ma maison) avant de passer à la config du VPN...

Du coup les experts, je fais quoi ???: je configure avec les règles 1, 2 et 3, ou bien je change certaines valeurs ??

 

[bliz]

Pour les masque, c'est pas compliqué, les adresse vont de 0 à 255 (exemple 192.168.1.0/192.168.1.255) et les masques ont cette même valeur de 255, donc ont a 255.255.255.0. Lorsque l'on voit un zéro dans le masque, comme ici 255.255.255.0, c'est que la plage d'ip à réservé 255 places pour les appareils, le 0 étant à droite, donc pour l'ip ça se joue sur la 4 ième partie : 192.168.1.0 puis 192.168.1.1 .... jusqu'à 192.168.1.255.
si il y a deux zéro sur le masque, c'est à dire 255.255.0.0, c'est que la plage d'ip va de 192.168.0.0 à 192.168.255.255.

en gros pour faire simple, quand le zéro est dans le masque, la plage d'ip prend autant de 255 dans la même place que ce situe le 0 dans le masque

voici un calculateur de masque simple, tu peux essayer certains chiffres :

Calculatrice de sous-réseau - DIRTECH IT

Calculatrice de sous-réseau permettant de déterminer l'adresse d'un réseau, l'adresse de diffusion, le masque réseau et inversé, les hôtes

www.dir-tech.com

 

[nounours1895]

Bliz: Super ton lien, ça facilite !

Donc voyons si j'ai compris pour la règle n°3:

Comme ma LiveBox est en "192.168.1.1" et que mes équipements ont des IP en "192.168.1.xyz", pour qu'ils puissent accéder au NAS il faut changer les paramètres de la règle n°3 du tuto et remplacer "192.168.0.0 / 255.255.255.0" par "192.168.1.0 / 255.255.255.0", ce qui me semble être confirmé par la copie écran que j'obtiens à partir du lien que tu as donné:


Si je comprends bien (c'est ce que je comprends en lisant Neo974 plus haut), les Box ont habituellement une adresse 192.168.0.0. sauf les liveBox d'Orange qui sont en 192.168.1.1. , d'où la nécessité de modifier la règle n°3 ainsi.

Ai-je bien compris la règle n°3 ??

Merci

 

[zypos]

Comme ma LiveBox est en "192.168.1.1" et que mes équipements ont des IP en "192.168.1.xyz", pour qu'ils puissent accéder au NAS il faut changer les paramètres de la règle n°3 du tuto et remplacer "192.168.0.0 / 255.255.255.0" par "192.168.1.0 / 255.255.255 .0

OUI

Si je comprends bien (c'est ce que je comprends en lisant Neo974 plus haut), les Box ont habituellement une adresse 192.168.0.0. sauf les liveBox d'Orange qui sont en 192.168.1.1

Je ne serais pas si affirmatif car suivant les BOX , les FAI : tu peux avoir 36 cas de figure et tu peux mettre un routeur perso derrière une BOX
( mais c'est un autre sujet ...)
Le pb c'est qu'un tuto c'est super , mais il faut comprendre un minimun pour pouvoir l'adapter à sa config et non pas le suivre à la lettre
(Visiblement dans les posts précédents je n'ai pas été bien compris)

 

[nounours1895]

OUI

Super : j'apprends des choses aujourd'hui et ça me plaît !

Je ne serais pas si affirmatif car suivant les BOX , les FAI : tu peux avoir 36 cas de figure et tu peux mettre un routeur perso derrière une BOX
( mais c'est un autre sujet ...)

Donc moralité: faut adapter en fonction de sa box puisqu'elles ne sont visiblement pas toutes pareilles...

Quant au routeur derrière la box, j'y passerai un jour vu la mauvaise réputation des Livebox, mais j'ai trop de "grosses manœuvres" en cours, dont le changement prochain de mon vieux DS413 (par un gros Qnap), et l'actuel DS1821+ qui deviendra NAS de sauvegarde, mais c'est un autre sujet...

Super, maintenant que j'ai compris pour la règle n°3, attaquons-nous aux deux autres !

La règle n°1:
est sensée "autoriser tout le trafic provenant d'une connexion depuis VPN Serveur par exemple ( sous réseau en 10.0.0.0 )." d'après le tuto.

Mais d'où vient ce "sous-réseau 10.0.0.0": est-ce une sorte de standard pour tous les VPN ??
Si je retourne dans le calculateur de ton lien, je trouve ceci:


qui indique que le 1er hôte utilisable est "10.0.0.1" et le dernier est "10.255.255.254" : à quoi correspondent ces hôtes ???
ce sont des IP qui identifient toutes les connexions venant d'un serveur VPN à destination du NAS ?? (je dis peut-être une grosse bêtise, mais j'essaie de comprendre...).

La règle n°2:
est sensée "autoriser tout le trafic provenant des sous-réseaux de Docker par exemple."

Celle-ci est encore plus nébuleuse pour moi.... à quoi correspond ce "176.16.0.0" ?...

Le calculateur donne ceci:


disant que les hôte utilisables vont de "176.16.0.1" à "176.31.255.254" : est-ce que ce sont des IP "normalisées" pour les applications Docker ??

Merci pour le cours !!

 

[zypos]

Donc moralité: faut adapter en fonction de sa box puisqu'elles ne sont visiblement pas toutes pareilles...

OUI ; et je rajouterais que pour les Livebox tu peux manuellemet changer le plage DHCP dans l'interface de la BOX /réseau /serveur DHCP
mais c'est se compliquer la vie : donc à ne pas faire sauf cas particulier

La règle n°1:
est sensée "autoriser tout le trafic provenant d'une connexion depuis VPN

Je préfère botter en touche car pas exert VPN

Pour Docker : vaste sujet , c'est l'appli Container Manager qui va adresser les IP ; mais ce n'est pas immuable , ni figer tout dépand de la manière que tu installe tes images et les paramètre réseau que tu modifies . Tu peux trés bien avoir plusieurs réseau Docker . Si cela t'intéresse je peux te faire des copies d'écran