Question d'infrastructure réseau

Démarré par Macharius, 11 Mars 2014 à 16:38:30

« précédent - suivant »

0 Membres et 2 Invités sur ce sujet

Bon maintenant que je suis connecté, je me lance.

J'ai investi récemment dans un NAS Synology qui va me servir à héberger quelques unes de mes données les moins sensibles mais à forte valeur sentimentale (photos entre autres ;)) et aussi à expérimenter autour des problématiques réseau (DHCP, DNS, LDAP) car c'est un domaine qui m'intéresse (et vers lequel je me serais certainement orienté si je n'avais pas trouvé du boulot dans le développement).

Pour pouvoir y accéder aujourd'hui depuis l'extérieur et afin d'éviter de devoir faire des redirections en pagaille, j'ai mis en place un VPN qui me permet une fois connecté d'accéder à mon Syno et aussi de faire du RDP sur mon PC à la maison (genre pour lancer des mises à jour de jeux depuis le boulot histoire d'être au taquet en rentrant).

Ma question est donc la suivante :

Quelle est la solution la plus simple et la plus sexy à mettre en oeuvre ? Rester comme c'est là (donc VPN ou ouverture de port massive) ou autre chose (genre DMZ avec config du pare-feu du Syno) ? Est-ce qu'avec de l'IPv6 (qui si j'ai bien suivi permet d'avoir une IP publique pour nos équipements) y'a moyen de simplifier ?

Bon en fait ça fait 3 questions mais je ne doute pas que des bonnes âmes ne m'en tiendront pas rigueur et y répondront quand même ;)

Oulà, usine à gaz ^^...

Tu ouvre le port 5000 et 5001 vers le Synology, et c'est tout !
Ensuite tu t'y connecte avec tonip:5000

Surtout pas de DMZ (ou alors faut configurer le parefeu du syno.)
Pareil pas besoin de VPN pour le RDP, juste le port 3391 à ouvrir vers ton PC.

Sinon pour le syno, si tu mise à jour en DSM5 (sorti hier !), tu as le quickconnect qui te permet d'y acceder sans la moindre config réseau.

Perso, je n'aime pas laisser des ports ouverts.

Moi je planche en ce moment sur une solution perso :
Une petite appli que j'aurais avec moi sur une clef USB qui quand je la lancerais fera "toc-toc-toc" sur des ports fermés de mon routeur. Je cherche encore comment du coté du linux (qui est le routeur) je vais faire pour "authentifier" le "toc-toc-toc" d'après sa fréquence et les ports visés, puis ouvrir quelques port pour seulement l'IP depuis laquelle l'appli a tournée.

Je sais je suis un fada, mais hors de question de laisser une paire de ports RDP ouvert vers le monde; portant j'en ai tant besoin  ;D

Stéphane

Ouais enfin le 5000 et le 5001 c'est bien pour DSM mais pour les applis mobiles (ds file et consorts) ça suffit pas si ? Et j'ai moyennement envie de laisser mon NAS ouvert aux 4 vents !

Pour le RDP j'ai pas essaye avec knet mais sur la box précédente il ne voulait rien savoir...

Sinon steph le VPN c'est pas plus simple et secure parce que le jour ou tu perds ta clef...

Le nas il se protège tout seul hein :)
Mais cela dit tu peux changer le 5000 par un autre pas connu.

Par contre oui ca suffit pour les appli DS xxx

J'ai des ports ouverts pour les dizaines de syno chez des clients depuis des années, sans le moindre soucis !

Mouais, quickconnect, c'est plus simple de mettre des fichiers sur dropbox ou google drive, voir sur ton mur facebook.

Citation
Moi je planche en ce moment sur une solution perso :
Une petite appli que j'aurais avec moi sur une clef USB qui quand je la lancerais fera "toc-toc-toc" sur des ports fermés de mon routeur. Je cherche encore comment du coté du linux (qui est le routeur) je vais faire pour "authentifier" le "toc-toc-toc" d'après sa fréquence et les ports visés, puis ouvrir quelques port pour seulement l'IP depuis laquelle l'appli a tournée.
Ça existe :  http://www.zeroflux.org/projects/knock
À mes yeux, c'est un bel exploit inutile, m'enfin

Citation
Je sais je suis un fada, mais hors de question de laisser une paire de ports RDP ouvert vers le monde; portant j'en ai tant besoin  ;D
Installe un serveur SSH  ::)

Citation
Sinon steph le VPN c'est pas plus simple et secure parce que le jour ou tu perds ta clef...
Ben si tu perds la clef, t'en génère une autre et hop !
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Citation de: jack le 11 Mars 2014 à 20:27:48
Mouais, quickconnect, c'est plus simple de mettre des fichiers sur dropbox ou google drive, voir sur ton mur facebook

Quel rapport : on ne se connecte pas sépcialement à un syno à distance pour accéder aux fichiers.
Pour cela on installe le cloud station sur le nas et sur son pc :)
Ou au pire en FTP.

L'accès au synology sert à tellement d'autres choses bien plus interessantes (surveillance station, downloadstation...)

Citation de: jack le 11 Mars 2014 à 20:27:48
Je sais je suis un fada, mais hors de question de laisser une paire de ports RDP ouvert vers le monde; portant j'en ai tant besoin  ;D
Installe un serveur SSH  ::)

J'approuve l'option de jack, le tunnelling SSH, c'est la meilleure invention depuis le fil à couper le beurre :) Et c'est tellement simple à mettre en place !

Sinon, si tu es suffisamment sédentaire à l'extérieur de chez toi, Hamachi Log Me In marche pas mal. Je m'en sers surtout pour jouer en LAN à distance. Il ne me semble pas qu'il existe en version portable.

Citation de: jack le 11 Mars 2014 à 20:27:48
Citation
Moi je planche en ce moment sur une solution perso :
Une petite appli que j'aurais avec moi sur une clef USB qui quand je la lancerais fera "toc-toc-toc" sur des ports fermés de mon routeur. Je cherche encore comment du coté du linux (qui est le routeur) je vais faire pour "authentifier" le "toc-toc-toc" d'après sa fréquence et les ports visés, puis ouvrir quelques port pour seulement l'IP depuis laquelle l'appli a tournée.
Ça existe :  http://www.zeroflux.org/projects/knock
À mes yeux, c'est un bel exploit inutile, m'enfin

Citation
Je sais je suis un fada, mais hors de question de laisser une paire de ports RDP ouvert vers le monde; portant j'en ai tant besoin  ;D
Installe un serveur SSH  ::)

Citation
Sinon steph le VPN c'est pas plus simple et secure parce que le jour ou tu perds ta clef...
Ben si tu perds la clef, t'en génère une autre et hop !
Merci jack, je ne cherchais pas avec les bon mots-clef il semble. Ce sera plus simple d'utiliser comme base quelque chose qui existe plutôt que refaire moins bien from scratch. Je vais en chercher un du genre avec OTP si ça existe histoire d'éviter aussi un replay.

Pour le SSH oui, je ne gère mon proxy/routeur que en SSH d'ailleurs (et les raspberry), mais lui non plus je ne souhaite pas le laisser ouvert à tout vent.

Enfin je ne souhaite pas monter un VPN, surtout que je ne souhaite pas installer un client vnp sur le pc d'un pote parce que je veux accéder à mon infra.

#9
>  lui non plus je ne souhaite pas le laisser ouvert à tout vent.
ouai bon c'est secure quand meme SSH... au pire tu peux mettre un http://doc.ubuntu-fr.org/fail2ban
si avec ca tu te fait quand meme hacker... bon ... bin c'est que c'est la NSA ... Laisse tomber. De toute maniere c'est qu'ils ont deja tout rooté chez toi (y compris ton four micro-ondes)