[Réseau/NAS]Le topic des gros nas

[madcorp]

J'avais aussi eu une vaque de tentatives d'accès il y a quelques années à cause de ça, j'ai changé de méthode d'accès à l’extérieur (DNS Dynamique + proxy inversé) et pas eu de soucis.

Merci pour ta réponse, est ce que tu peux m'expliquer en quoi cela consiste et comment mettre cela en place?

[revanwolf]

DNS dynamique qui permet de lier une adresse IP dynamique à un nom de domaine (exemple madcorp.no-ip.org) et permet d'accéder plus facilement à ton NAS par exemple depuis l'extérieur.

Le proxy inversé est l'inverse du proxy , en gros ça rajoute en poil de sécurité.

Et bien sur le tout avec un accès en HTTPS avec un certificat fourni par Let's Encrypt pour sécuriser encore plus le tout et garder un maximum le contrôle.

La sécurité est le gros soucis des solution clé en main de type QuickConnect : les informations sont sur un serveur distant dont tu ne contrôle rien et donc s'il se fait pirater ils peuvent se connecter à ton NAS.

Sachant que ce que j'ai fait s'applique qu'aux NAs Synology, une méthode similaire doit exister sur les autres fabricants mais je jamais touché à d'autres marques de NAS.

[honu]

Est-ce que tu aurais un lien de tuto pour mettre tout ça en place ? J'utilise QuickConnect par facilité, mais je sais que ce n'est pas l'idéal en terme de sécurité et je n'ai pas du tout envie de perdre mes 17 To de donnees en étant piraté...
Mais bon, j'ai jamais réussi à mettre en place tout ce que tu dis (sauf le DNS dynamique).

[Redd]

A l'époque, j'avais utilisé ces 2 tutos :
https://www.nas-forum.com/forum/topi...C3%A0-son-nas/
https://www.nas-forum.com/forum/topi...reverse-proxy/

[revanwolf]

Bizarrement il existe pas de tuto tout près pour faire ça, j'ai pas mal tâtonné pour avoir un résultat correct (surtout sur la partie proxy).

Il y a la partie DNS dynamique via le service de Synology qui simplifie un peu le certificat Let's Encrypt car il permet les alias (*.MonNAS.Synology.me peut-être DSM.MonNAS... ou audio.monnas...) ce qui permet de pas avoir forcement à réfléchir à tout les différents services.

Par contre il faut créer le certificat après coup car ce lui généré par le NAS à pas forcement d'alias de base.

Il faut aussi ouvrir les ports 80 et 443 sur ton modem/routeur vers ton NAS.

Et la partie proxy inversé (planqué dans la partie portail d'applications) ou tu crée une règles HTTPS qui va du port 443 de ton "nom de domaine" vers le port du NAS (5001 par défaut).

Et aussi ne pas oublier de définir le certificat vers le nom de domaine (dans certificat).

Et avec ça tu as un accès vers ton NAS depuis l'extérieur en HTTPS valide (qui va pas t'engueuler car le certificat est pas valide).

Ajouter la double authentification est aussi une bonne idée.

[revanwolf]

A l'époque, j'avais utilisé ces 2 tutos :
https://www.nas-forum.com/forum/topi...C3%A0-son-nas/
https://www.nas-forum.com/forum/topi...reverse-proxy/

Le second est mauvais (tu as pas besoin d'ouvrir de port dans le pare-feu du NAS et la partie certificat est manquante).

Mais beaucoup de tuto français ont des erreurs dans le genre.

[Redd]

Et avec ça tu as un accès vers ton NAS depuis l'extérieur en HTTPS valide (qui va pas t'engueuler car le certificat est pas valide).

Pour le coup, chez moi, les "sous domaines", ça ne fonctionne pas bien.
Mon certificat est valide (ex : toto.truc.com) mais les sous domaines rattachés (ex : plex.toto.truc.com) sont systématiquement reconnus comme certificat non valides par le navigateur (ce qui n'empêche pas l'accès, mais c'est un peu pénible).
J'ai du créer d'autres certificats à côté.

[revanwolf]

Il faut que les sous-domaines soit dans la partie nom alternatif du certificat, Let's Encrypt via le DNS dynamique Synology permet les alias (*.toto.truc.com sera valide pour tous les sous-domaines de ce dernier).

[Redd]

oui, c'est bien le cas pour moi (enfin si on parle de la même chose : dans l'interface synology, cela s'affiche dans la partie intitulée "pour")
Et dans les "paramètres", j'ai bien les sous domaines (plex.toto.truc.com) qui apparaissent sous l'intitulé "services" et qui sont rattachés au certificat (toto.truc.com)

Pour autant le navigateur n'en a cure et indique :

Impossible de vérifier sur le serveur qu'il s'agit bien du domaine plex.toto.truc.com, car son certificat de sécurité provient du domaine toto.truc.com. Cela peut être dû à une mauvaise configuration ou bien à l'interception de votre connexion par un pirate informatique.

[revanwolf]

C'est le SAN (Server Alternative Name) appelé "Autre nom de l'objet" dans DSM qui doit aussi avoir tout les noms de sous-domaine sauf si celui qui délivre le certificat supporte les Alias/Wildcard (*).

S'il supporte les alias ton certificat doit avoir comme autre nom *.toto.truc.com et dans ce cas ton navigateur va reconnaitre comme valide plex.toto.truc.com car le certificat est valide pour tous les sous-domaine.

Dans le cas contraire il faut donner tous les sous-domaine (plex.toto.truc.com ; drive.toto.truc.com).

[Redd]

ahh d'accord, merci
je vais tester

edit : ça marche ! top !

[Wobak]

C'est le SAN (Server Alternative Name)

Subject Alternative Name*

[revanwolf]

Subject Alternative Name*

J'avais hésité car on trouve les deux termes.

[Wobak]

J'avais jamais entendu le Server, mais pour le coup la doc openssl ne fait pas mention de l'autre appellation.

Je verrai si je l'entends de plus en plus souvent ou pas

[honu]

Mais vous voulez pas l'écrire ce tuto ? Ou qu'on l'écrive à plusieurs mains ? C'est plein de talents ici !
C'est à la fois tellement complexe, mais tellement essentiel ces histoires de sécurité réseau que ça vaudrait le coup !

[Redd]

Oui pourquoi pas.
Mais on ne l'avait pas fait il y'a quelques pages (on en avait parlé en tout cas).

Pour ma part, ce serait full Synology par contre.

Je peux me tromper bien sûr, mais voici ce que j'ai fait et que je pourrais decrire dans un tuto :

- Création du DDNS dans la dsm
- Création du certificat dans la dsm
- Paramétrage du proxy reverse dans la dsm
- Ouverture des ports 443 et 80 sur la box
- redirection automatique des http vers HTTPS.
- interdiction via firewall aux IP en provenance des pays hors de ma liste blanche
- désactivation des comptes admin et guest
- authentification en 2 étapes

[Foksadure]

C'est à la fois tellement complexe, mais tellement essentiel ces histoires de sécurité réseau

Il faut également cibler le ratio complexité vs besoin.

Si on n'expose pas son NAS sur internet pour bénéficier d'un accès distant à son contenu (hors VPN point à point), les recommandations de l'assistant de sécurité Synoloy suffisent AMHA.

[Bah]

Perso moi j'ai abandonné. Je pensais que ce serait compliqué, on m'a dit qu'en fait non et au final j'ai jamais réussi à avoir un truc fonctionnel. Probablement qu'il y'a moyen de tout réussir en suivant des tutos, mais si y'a le moindre problème ça devient difficile à résoudre pour des utilisateurs lambda qui comprennent pas vraiment ce qu'ils font.

[honu]

Oui pourquoi pas.
Mais on ne l'avait pas fait il y'a quelques pages (on en avait parlé en tout cas).

Pour ma part, ce serait full Synology par contre.

Je peux me tromper bien sûr, mais voici ce que j'ai fait et que je pourrais decrire dans un tuto :

- Création du DDNS dans la dsm
- Création du certificat dans la dsm
- Paramétrage du proxy reverse dans la dsm
- Ouverture des ports 443 et 80 sur la box
- redirection automatique des http vers HTTPS.
- interdiction via firewall aux IP en provenance des pays hors de ma liste blanche
- désactivation des comptes admin et guest
- authentification en 2 étapes

Oui. Se pose la question de le mettre dans un endroit bien référencé sur le net. Au cœur d’un forum ce n’est pas toujours l’idéal.
En tous les cas, c’est exactement ce que tu décris !

Il faut également cibler le ratio complexité vs besoin.

Si on n'expose pas son NAS sur internet pour bénéficier d'un accès distant à son contenu (hors VPN point à point), les recommandations de l'assistant de sécurité Synoloy suffisent AMHA.

Oui, pour ma part j’ai besoin d’y accéder aussi depuis l’extérieur. Pas tout le temps effectivement. Il faudrait pouvoir aussi facilement l’activer/le désactiver.

[Wobak]

Oui. Se pose la question de le mettre dans un endroit bien référencé sur le net. Au cœur d’un forum ce n’est pas toujours l’idéal.
En tous les cas, c’est exactement ce que tu décris !
.

Je vais en faire un de tuto, mais ça sera pas sur Synology, désolé

[honu]

Ah ah, je risque d’être comme Bah alors !
Bon, depuis le temps que j’ai à gérer mon réseau, y’a pas mal de choses qui sont rentrés dans ma petite tête. Je suis pas complètement perdu. Mais bien souvent encore, parce que c’est complexe et que chaque matériel a ses propres procédures (sans compter qu’il y a toujours ce foutu routeur, et le mien - un Huawei B311-221 - est particulièrement exotique je pense), je risque de ne pas m’en sortir si ce n’est pas un Synology.

[revanwolf]

Il faudrait pouvoir aussi facilement l’activer/le désactiver.

Il suffit juste de fermer le port sur ton routeur/box.

[tompalmer]

J'ai mon Synology qui est tombe et les disques se sont ejectes, maintenant c'est marque comme Degrade (un des deux disques est marque en panne).

Le NAS essaye de me faire racheter un disque, cependant il a l'air de tourner quand meme. Y'a t'y pas un moyen de juste le faire repartir ? Et comme c'est un deux baie, aucun moyen de faire du Hot Spare

Ironwolf marque le disque comme sain, ainsi qu'un test rapide SMART

[Foksadure]

Si le volume de stockage était en RAID/SHR, le NAS peut tourner avec un seul disque, sans redondance des données.
Normalement, il propose de réparer le volume s'il y a un problème.

Mais s'il est tombé alors qu'il était en fonctionnement, et que les disques sont sortis de leur logement en cours d'I/O, les têtes de lecture n'ont peut-être pas apprécié...

Perso, j'effectuerai un test complet du disque signalé en panne (scan de toute la surface, si possible avec l'outil du fabricant) sur un PC.
S'il passe tous les tests, il y a peut-être moyen de le remettre et faire réparer le volume sur le NAS.
Au pire, le formater bas niveau avant de le remettre, pour obliger le NAS à le valider comme un nouveau disque (long) et reconstruire la grappe RAID (long également).

[tompalmer]

Syno proposait dans une infobulle de desactiver le disque et le reactiver pour voir s'il redevient compatible, mais je trouve pas comment le reactiver

Le disque est marque comme sain ... Je fais reparer et il me dit qu'il peut pas puisque le disque 1 est désactive donc je suis coince

Je vais pas m'emmerder de trop a faire des scans de fou puisque ca stocke rien de tres sensible et que c'était en Raid 1, je fais un Smart étendu en attendant de trouver la solution

Remplacer le disque me coutera 98 USD donc je prefere eviter s'il est sain

- - - Mise à jour - - -

Edit : ah il faut peut etre que je redemarre le NAS et remette le disque

- - - Mise à jour - - -

Bon bah ca répare maintenant

[Anklum]

Hello! Je viens de perdre un disque de 8 To et forcément je n’ai que mes yeux pour pleurer, n’ayant jamais sauvegardé ces données ?
Je voudrais bien mettre en place un boitier nas en réseau, idéalement je me dis en raid 5 ou 6, et si possible quand meme silencieux, il devrait rester dans le salon.
Problème je n’y connais pas grand chose… Vous pourriez m’aider? Sur le choix du boitier et des disques?
Je precise que je veux uniquement faire du stockage de fichiers ( mais plus securisé qu’actuellemnt ) je n’ai besoin d’aucune fonctionnalité en plus.

[Anklum]

Salut et merci,

Alors non le disque n’était pas sur une infra dédiée mais directement sur mon pc, sans être partagé :/
Cependant, vu le prix des nas je commence a réfléchir a monter un raid sur ce même pc, même si apparemment ce n’est pas une bonne idée de partager la carte mère du raid avec celle du pc c’est bien ça ?
Pour le pool parité windows ca m’intéresse ! Mais je ne comprend pas, quelle est la différence avec le raid 5, le fait que ce soit géré par windows et non pas via le bios?
Désolé si mes questions sont a côté de la plaque, je ne connais pas bien!

[Guapo]

Salut et merci,

Alors non le disque n’était pas sur une infra dédiée mais directement sur mon pc, sans être partagé :/
Cependant, vu le prix des nas je commence a réfléchir a monter un raid sur ce même pc, même si apparemment ce n’est pas une bonne idée de partager la carte mère du raid avec celle du pc c’est bien ça ?
Pour le pool parité windows ca m’intéresse ! Mais je ne comprend pas, quelle est la différence avec le raid 5, le fait que ce soit géré par windows et non pas via le bios?
Désolé si mes questions sont a côté de la plaque, je ne connais pas bien!

Le raid ne va rien sécuriser du tout (ou si peu).
Ce que tu veux c'est faire du backup de tes données. Tu peux faire ça dans le cloud (coût à l'année ou au mois variable), sur un NAS avec 1 ou 2 disques (100 à 200€, hors disque), ou même sur un disque externe.

[Anklum]

Le raid ne va rien sécuriser du tout (ou si peu).
Ce que tu veux c'est faire du backup de tes données. Tu peux faire ça dans le cloud (coût à l'année ou au mois variable), sur un NAS avec 1 ou 2 disques (100 à 200€, hors disque), ou même sur un disque externe.

Bah en fait j’ai environ 15 To de données sur mon pc (documents, photos, videos, données de travail qui sont plutôt des gros fichiers). Et je cherche la meilleure manière de faire. La je viens de perdre un disque de 8 To et je suis pas mal dégoûté….

Pour du cloud ça parait cher et pas approprié avec ma volumétrie de données. Je me trompe peut être ?

Je pensais déjà a du raid pour éviter a nouveau une perte de disque et pourquoi pas une copie de sauvegarde oui.

Mais quoi acheter? Un boitier nas? Quels disques?
Un nas avec 15 To de données ( sans parler de sauvegarde ) me parait déjà un budget de 1000 € minimum ?

[Guapo]

Bah en fait j’ai environ 15 To de données sur mon pc (documents, photos, videos, données de travail qui sont plutôt des gros fichiers). Et je cherche la meilleure manière de faire. La je viens de perdre un disque de 8 To et je suis pas mal dégoûté….

Pour du cloud ça parait cher et pas approprié avec ma volumétrie de données. Je me trompe peut être ?

Je pensais déjà a du raid pour éviter a nouveau une perte de disque et pourquoi pas une copie de sauvegarde oui.

Mais quoi acheter? Un boitier nas? Quels disques?
Un nas avec 15 To de données ( sans parler de sauvegarde ) me parait déjà un budget de 1000 € minimum ?

Si tu as 15To, un raid 5 te demanderait 3x10To, ce qui ferait du 20To. Le jour où un disque rend l'âme, il faut (1) racheter un disque de capacité égale ou supérieure et (2) reconstruire, ce qui, pour cette capacité prendra plusieurs jours. Le risque q'un des autres disques lâche pendant la reconstruction est assez important dans ce cas. Ici, personne ne te recommendera ça sans un backup en plus. Et surtout pas directement sur ton PC.

Si tu veux un NAS pour y déplacer tes données et en faire un backup, les solutions sont multiples.
1. 1 NAS 2 HD, plus une sauvegarde externe, mais dans ton cas, il te faudrait des disques très gros, donc chers.
2. 1 NAS 4 HD ou plus, avec une sauvegarde externe.
3. 1 NAS homemade avec du TrueNAS ou plus pratique, unRaid, qui te permet de mixer les tailles de disques et de faire grossir ton NAS à la demande. Cette solution n'est pas très adaptée à une solution "salon" (mais aucune ne l'est vraiment pour être honnête).
Dans les 3 cas, ça demande un investissement non négligeable.

Sinon, backup simple, un disque externe WD à 450€ pour un 18to (perso, je n'aime pas trop, mais c'est une solution) ou backblaze, $70 pour du stockage illimité si toutes tes données sont sur 1 PC (ou Mac), ou un truc équivalent.
Un NAS qui fait juste le backup est possible, mais je ne suis pas sûr que ce soit très rentable pour 15to.