Synology Reglage pare feu

Pour quickconnect il faut activer quoi comme regle ? Je voudrais l'activer temporairement au cas ou
Très mauvaise idée quickconnect…
Ce n’est pas super sécurisé , et tout passe par les serveurs de Synology (en chiffré heureusement mais quand même…).
Mais surtout d’un point de vue sécurité, c’est pas ça du tout…
Des attaques récentes chez qnap ou Asustor sont passées par un service similaire…
 
Très mauvaise idée quickconnect…
Ce n’est pas super sécurisé , et tout passe par les serveurs de Synology (en chiffré heureusement mais quand même…).
Mais surtout d’un point de vue sécurité, c’est pas ça du tout…
Des attaques récentes chez qnap ou Asustor sont passées par un service similaire…
Oui je ne vais pas le laisser. C’est juste pour faire des tests et ne pas me retrouver en carafe comme aujourd’hui depuis l’extérieur. Je n’ai pas trouvé Quick Connect dans les service du pare-feu.
Je n’arrivais plus à me connecter au vpn ni rien.


Édit : je viens de voir ce tuto : https://www.cachem.fr/synology-tailscale-wireguard-vpn/
C’est mieux de faire ça qu’openvpn ?

Edit 2 : j'ai un peu avancé. J'accede a mon nas de puis l'exterieur avec le VPN. Il me restera a desactiver l'avant dernière ligne.
J'ai du ajouter une ligne VPNserver pour pouvoir me connecter au VPN
1649755791483.png

Il me reste a savoir comment faire avec DS audio et file station pour partager des fichiers....
Je n'ai pas compris le reverse proxy avec les application interse à DSM et l'histoire des sous domaine.
Pour jellyfin j'ai fait une adresse https://jellyfin.monnomdedomaine.me et je n'ai pas eu de certificats a refaire.
D'après le tuto il faut refaire le certificat pour les services interne a DSM... Pourquoi ?

J'ai juste laissé activé quickconnect pour le partage de fichiers.
 
Dernière édition:
Pour accéder en SSH depuis le VPN il faut activer quelque chose ou ca doit passer ? comme j'ai mis Tous sur la deuxième ligne ca doit passer non ?
 
Pour accéder en SSH depuis le VPN il faut activer quelque chose ou ca doit passer ? comme j'ai mis Tous sur la deuxième ligne ca doit passer non ?
Normalement oui, moi j'ai pas de ligne dédiée au SSH...

Oui je ne vais pas le laisser. C’est juste pour faire des tests et ne pas me retrouver en carafe comme aujourd’hui depuis l’extérieur. Je n’ai pas trouvé Quick Connect dans les service du pare-feu.
Le principe de Quickconnect c'est justement de ne pas avoir besoin d'ouvrir de ports :)

Édit : je viens de voir ce tuto : https://www.cachem.fr/synology-tailscale-wireguard-vpn/
C’est mieux de faire ça qu’openvpn ?
perso, je trouve pas d'un point de vue sécurité. Tout passe par les serveurs d'un tiers. Pas confiance moi.

Edit 2 : j'ai un peu avancé. J'accede a mon nas de puis l'exterieur avec le VPN. Il me restera a desactiver l'avant dernière ligne.
J'ai du ajouter une ligne VPNserver pour pouvoir me connecter au VPN
1649755791483.png
Ça me semble ok.
Mais ta règle pour le VPN m'intrigue...
En fait non ? j'ai une règle similaire sur mon routeur (car le serveur vpn est dessus, Synology RT2600ac avec VPN Plus Server).

Pour jellyfin j'ai fait une adresse https://jellyfin.monnomdedomaine.me et je n'ai pas eu de certificats a refaire.
D'après le tuto il faut refaire le certificat pour les services interne a DSM... Pourquoi ?
lorsque tu as créé ton domaine synology, ça ta générer en même temps un certificat :)
Il faut refaire le certificat si tu veux un certificat wildcard, c'est-à-dire valable pour ton-ndd.tld et *.ton-ndd.tld
Dans ton exemple, tu pourrais avoir machine1.jellyfin.monnomdedomaine.me
L'idéal aurait été de créer un ndd du type : xavxav-serv.synology.me
Alors tu pourrais accéder à jellyfin en mettant : jelly.xavxav-serv.synology.me
Puis pour audiostation : audio.xavxav-serv.synology.me
etc...
Il faudrait alors refaire le certificat en mettant *.xavxav-serv.synology.me dans le champs "Autres" (je suis pas sûr de cette appellation...).

J'ai juste laissé activé quickconnect pour le partage de fichiers.
Je te conseille de ne pas faire cela ;) Mais en attendant que tu ais un reverse-proxy fonctionnel ^^ avec les ndd et certificats :)
 
Merci, bon ba j'ai viré quickconnect, tous les service genre Dsaudio, filestation passent par le VPN, j'ai juste fait un reverse proxy pour Jellyfin
Pour la partge de fichier je verrai comment faire. mais je pense avoir compris pas mal de choses

Concernant DSM j'ai fait un reverse proxy accessible depuis la france que j'activerai dans le parefeu en cas de besoins au bureau sur la machine sur laquelle je ne peux pas activer le VPN

Si vous avez un tuto a conseiller pour parametrer open VPN comme il faut je suis preneur.
Message automatiquement fusionné :

J'ai encore une question, je n'arrive pas a acceder a jeelyfin depuis mon reseau local avec le sous domaine et le proxy inversé.
Je dois ajouter quoi comme regle ?
1649914178589.png
 
Dernière édition:
Bonjour, unpeu fatigué, j'ai reussi a bannir toutes les adresse IP sur mon NAS, il y a t'il un moyen rapide de reset la config pare feu ou la désactiver svp? Car meme en direct je ne le ping plus :/ Plus d'acces a la page de log et tout les voyants sont au vert. Svp, merci par avance.
 
Bonjour,

Il suffit d'appuyer 5 secondes sur le bouton reset de ton NAS.

Attention :
Une fois votre Synology NAS réinitialisé via le Mode 1, les paramètres suivants sont définis :
  • Le compte admin est restauré à sa valeur par défaut.
  • Le port de gestion de l'interface utilisateur est réinitialisé à 5000/5001.
  • IP, DNS, passerelle et autres interfaces réseau sont réinitialisées sur DHCP.
  • PPPoE est désactivé.
  • Le blocage automatique est désactivé.
  • Les règles de pare-feu sont désactivées.
  • Le cluster high-availability est supprimé.
  • Le cluster Virtual Machine Manager est supprimé.
  • Les dossiers chiffrés sont démontés et la fonction Monter automatiquement au démarrage est désactivée. Pour des raisons de sécurité, si le chiffre est une clé machine, il est supprimé du Gestionnaire de clés. Pour savoir comment conserver la clé machine pour déchiffrer les dossiers partagés après la réinitialisation

 
  • J'aime
Réactions: EVO