Synology Gestion de la connexion exterieur avec VPNServer

Jeyan

Apprenti
11 Octobre 2018
73
0
0
Bonjour,

J'ai une question qui me chatouille l'esprit comme on dit.
J'ai eu un soucis ce matin avec Quickconnect, et en regardant un peu les forums, beaucoup ne le recommande pas par sécurité. Du coup, j'ai regardé des tutos pour sécuriser au mieux la connexion vers l'exterieur.

Je me suis créé un DDNS car je suis en IP Dynamique made in Orange
J'ai ouvert le port 5001 (DSvideo) et 443 (DSPhoto)

Puis j'ai remarqué que sur DSVidéo, si je me connecte en HTTPS, (nom de domaine DDNS, nom et mdp) il me demande une certification, et aucune vidéo ne se lance. Par contre en HTTP
aucun problème, mais à priori c'est risqué.

Alors j'ai installé VPNServer sur mon Synology avec le protocole L2TP (étant sous iOS), j'ai configuré du côté du NAS et de mon iPhone : "VPN Connecté" (à priori j'ai bien bossé)
Je me connect à DSVidéo en utilisant l'IP de mon NAS (le même que pour ma connexion local) et ici tout fonctionne à merveille.

Si j'ai bien capté, c'est le serveur VPN qui utilise mon domaine DDNS créé afin de mettre à jour mon IP de connexion, et sur les applis (DSVideo, DsPhoto) je suis obligé de mettre l'IP local de mon NAS c'est bien ça ?? Ma connexion est alors bien sécurisé ? Par contre je n'ai plus de connexion internet 4G si mon téléphone est connecté au VPN.
 
Tu as tt compris... et ta connexion internet passera par ton vpn et dépendra donc du up du lieu où se trouve le nas.
Si tu fais un whatismyip.com tu noteras que c’est l ip de chez toi. ;0)
Au cas où: Il est fortement déconseillé de rester connecte en VPN si tu ne l utilises pas.
Et quant à quickconnect, ça transite vers des serveurs tiers... c’est bien pour le truc plug &play du débutant mais au delà de ça... à virer !!!

J’espère que tu as fermé tes ports depuis...;0)


Sent from my iPhone using Tapatalk
 
Oui les ports 5001 et 443 ont été virer de ma livebox.
Seuls les ports 500 et 4500 sont ouverts pour le VPN.
Et sur le pare feu de mon NAS, j'ai juste ouvert les ports 500, 4500,1701 et 1194, les IP local, et tout le reste est bloqué (j'ai suivi un super tutos d'un autre forum)

Pas d'autres choix du coup de devoir ce connecter par IP du coup ? Je dois indiquer 10.x.x.x pour l’extérieur en VPN et 198.168.x.x en local ? D'ailleurs en local (sur mon PC) je suis désormais en HTTPS, je ne sais pas si c'est mieux.

Et effectivement, le serveur VPN est éteint en continue, et sera réactivé lors de déplacements qui me demanderont une connexion au NAS (lire des films entre autre DSVideo, DSPhoto).

D'ailleurs le plantage du Quickconnect peut-être dû à un soucis serveur, m'a fait bloqué mon IP et je ne pouvais plus accéder au NAS... Pas hyper pratique ! J'ai dû la modifier et la rendre fixe le temps de régler le soucis.
 
1194 -> tu peux le virer c’est pour openVPN... toi tu es en L2TP/IPSEC... ;0)

Pour ta connexion en 10.x.x.x au lieu de 192.168.x.x regarde ici : https://www.forum-nas.fr/viewtopic.php?t=7233 sur le denier post notamment.
Ou ici : https://www.forum-nas.fr/viewtopic.php?t=10930

Tu peux laisser 192.168.x.x sauvegarde sur lappli ... de toute façon, en local ou vpn, ça sera la même...;0)


Sent from my iPhone using Tapatalk
 
Ca marche merci !
Derniere question, en locale chez moi, on est d’accord le VPN ne sert à rien, ce connecter au NAS en http suffit ?
Je demande car DSVideo si je vire le HTTPS a la connexion, il marche super et dans les options je n’ai plus de http ou de portà indiquer, comme en VPN.
 
Par curiosité c était quoi le pb ?
Vpn à la maison pour se connecter au nas... sauf si tu penses que tu as des espions russes (ou autres) entre ton client et le nas... sinon pas besoin. [emoji23]



Sent from my iPhone using Tapatalk
 
Merci de tes réponses en tout cas, désolé si quelques questions paraissent bête, mais avec tout ce qu'on peut lire, j'aime avoir des certitudes n'étant pas à fond sur les connexions réseaux.

En tout cas je pense avoir tout bien fait et mieux sécurisé l'accès en externe. Quand je ne l'utilise pas, je désactive même sur ma livebox les ports 500 et 4500 et suffit juste de réactiver en cochant pour une utilisation externe.

Du coup j'ai supprimé la redirection auto de HTTP vers HTTPS inutile pour moi.
Niveau part feu du NAS j'ai uniquement :
- Les ports 1701/500/4500
- IP 10.0.0.0/255.0.0.0 (VPN)
- IP 192.168.0.0/255.255.0.0 (IP Livebox)

J'avais ajouté l'IP 172.16.0.0/255.254.0.0, à priori moi je n'utilise pas ces IP. Je ne sais pas dans quelle condition on doit les utiliser.
 
Ya pas de mauvaises questions.
Très en vrac et il en manquera très certainement
Tu peux laisser la redirection http vers https, ca mange pas de pain.
Pour le pare feu, les masques sont trop larges. Réduit à 255.255.255.0
Tu peux aussi bloquer par région.
N oublies pas de tt bloquer sur la dernière ligne.
Désactive upnp sur la box.
Pas la peine de toucher à chaque fois les port 500 et 4500 sur la box.
N’en n ouvre pas d’autres
N utilise pas un compte “admin” pour te connecter.
Utilise un mot de passe sérieux . Au moins 10 caractères.
Ne clique jamais sur EZ-Internet sur le nas... ça crée des conneries !
NE DONNE JAMAIS TON WIFI À QQUN ! J insiste bien la dessus... loooool ... au grand desaroi de mes proches !

Bon ben moi je vais skier maintenant ! ;0))))


Sent from my iPhone using Tapatalk