Faille de sécurité ?

[Tulburite]

Bonjour à tous,

À mon centre de secours, nous avons un NAS DS220+ de chez Synology que nous utilisons uniquement comme serveurs de documents, je me connecte avec le protocole L2TP/IPsec en user avec comme login X.XXXXXXX (première lettre de mon prénom, un point et ensuite mon nom de famille, le tout en majuscule), et mot de passe. Ensuite, je monte mes disques avec une adresse \\192.168.1.99\ xxxx  avec une machine Windows, ou smb://192.168.1.99 avec Ubuntu ou avec mon MacBook Pro (xxxx étant les différents disques ou j'ai accès sur le réseau de ma caserne).

Chez moi, hormis le NAS Synology DS218+ que j'ai pour mon activité d'indépendant, j'ai également un autre serveur DS218+ pour tout ce qui concerne la famille et j'ai décidé enfin de le configurer avec le protocole L2TP/IPsec pour pouvoir me connecter quand je suis en extérieur soit avec mon téléphone portable ou avec mon ordinateur portable. Mon login est xxxxxxxx (première lettre de mon prénom et ensuite mon nom de famille, le tout en minuscule) et mot de passe.

Une fois l'installation terminée et tous les tests effectués avec un partage de connexion avec mon téléphone portable, je me décide de faire des tests depuis l'extérieur de chez moi pour voir si je peux me connecter. Je me dirige donc directement à mon centre de secours et je commence. Très bonne nouvelle, tout fonctionne à merveille et je suis bien entendu super content, étant une pive en réseau, j'ai réussi et je pense bien réussi à le faire tout en sécurisant mon NAS.

Cependant j'ai voulu tester une combinaison et je suis très étonné du résultat, je me suis logué sur mon NAS privé depuis mon centre de secours, je monte mes disques personnels avec l'adresse 192.168.0.239 xxx et ça marche très bien :-), mais je peux aussi monter les disques de mon centre et me connecter sur mon espace user !!! ou l'adresse de connexion est 192.168.1.99... et ça ce n'est pas possible normalement selon moi, car je suis deux réseaux séparés. Pour en avoir le cœur net, j'ai testé depuis chez moi et c'est pareil !!! enfin, c'est inversé, je me connecte sur le NAS de mon centre et je monte mes disques avec l'adresse 192.168.1.99 et je peux également monter mes disques personnels qui ont l'adresse 192.168.0.239 xxx

Ce qui il y a de commun entre les deux installations, nous avons le même FAI, nous avons une adresse synology.me (bien entendu, ce n'est pas la même). Ce qui diffère, nous n'avons pas le même modem/routeur, pas la même connexion. Je n'utilise pas QuickConnect et à mon centre, oui, il y a une adresse pour l'administrateur. Chez moi, je redirige mes ports sur mon modem/routeur manuellement et j'ai réglé le parfeu du Synology pour pouvoir communiquer avec l'extérieur. À mon centre, le modem/routeur fait plus que modem et il y a un routeur/parfeu séparé pour la communication extérieure, le parfeu du Synology n'est pas utilisé.

Y a-t-il une personne qui pourrait m'expliquer ce qui cloche ou si c'est moi qui débloque.

Merci d'avance de vos retours.

[Le PoissonClown]

Salut,

Tout dépend du masque de sous-réseau que le DHCP de ton routeur distribue à tes terminaux (pc, tablette ou mobile). S'il est en 255.255.0.0, alors chacun peut communiquer sur les deux réseaux.

Si tu veux cloisonner, il faut paramétrer un masque plus restrictif : 255.255.255.0 typiquement.

[Tulburite]

Bonsoir @Le PoissonClown,

Merci de ta réponse, sur mon modem/routeur de mon FAI, je n'ai pas cette possibilité, en fait je ne vois même pas le masque de sous-réseau.

Par contre, sur mon NAS pour avoir accès à l'extérieur, j'ai dû faire les réglages suivants sous IP sources.

10.0.0.0 - 255.0.0.0

176.16.0.0 - 255.240.0.0

192.168.0.0 - 255.255.0.0

Ces réglages, je les ai obtenus en regardant différents tutos d'explications pour pouvoir communiquer avec l'extérieur, mais ces réglages sont de façon générale un réglage basique pour tout le monde. Peux-tu me proposer un autre réglage pour justement devenir plus restrictif. Ce que je crois savoir c'est que le NAS à une plage IP pour une connexion L2TP/IPsec de 10.2.0.0 - 10.2.0.255 et que mon LAN est de 192.168.0.1 - 192.168..0.200 et que mon NAS à une adresse bloquée par mon modem en 192.168.0.239

 

 

[Le PoissonClown]

Salut !

Désolé pour la réponse tardive. 

Il y a 21 heures, Tulburite a dit :

j'ai dû faire les réglages suivants sous IP sources.

10.0.0.0 - 255.0.0.0

176.16.0.0 - 255.240.0.0

192.168.0.0 - 255.255.0.0

Oui mais lequel des deux NAS ? 

As-tu un lien vers un tuto qui préconise ces réglages ? Personnellement, je dois mal m'y prendre, je ne trouve que des tutos pour paramétrer un seul NAS.

[Tulburite]

Salut @Le PoissonClown

Il y a 5 heures, Le PoissonClown a dit :

Désolé pour la réponse tardive. 

Ne te fais surtout pas de souci pour ça, mais c'est gentil quand même

Il y a 5 heures, Le PoissonClown a dit :

Oui mais lequel des deux NAS ? 

Sur le mien, celui que j'ai à mon centre, je ne suis que "user" et je n'ai pas accès aux différents réglages.

Il y a 5 heures, Le PoissonClown a dit :

As-tu un lien vers un tuto qui préconise ces réglages ? Personnellement, je dois mal m'y prendre, je ne trouve que des tutos pour paramétrer un seul NAS.

Ici à partir de 6 minutes et 50 secondes

[rodrigue7800be]

@Tulburiteas tu un wiregard en dsm ?

[Tulburite]

Non, je n'ai pas WireGuard sur DSM, je n'ai pas installé QuickConnect, j'ai une adresse DDNS avec un nom de domaine en Synology.me, je peux me loguer simplement en VPN avec le protocole L2TP/IPsec.

Voilà, bon, j'ai réussi à resserrer les adresses IP et surtout à en supprimer, j'arrive gentiment à "sécuriser" mon NAS.

[Le PoissonClown]

Salut !

Merci @rodrigue7800be pour la précision.

 

Alors si je résume,

On a un problème de décloisonnement d'accès depuis l'extérieur, entre 2 NAS d'un réseau.

Révélation

Dans ce réseau qui est en 192.168.N.N, il y a donc :

• Un NAS professionnel en 192.168.1.99 (sur lequel on n'a pas les droit admin),
• Un NAS personnel en 192.168.0.239 (sur lequel on a les droits admin),
• Des clients (pc, tablettes, smatphones) qui sont en 192.168.1.N *
• Une box qui a pour IP de passerelle 192.168.1.1 (sur laquelle on n'a pas les droits admin) *

* Déjà, peux-tu me dire si ces deux dernières suppositions sont correctes ?

Si elles sont bien correctes, on a un problème :
Le NAS professionnel qui est sur le même sous-réseau …1.N que la box, autorise tous les sous-réseaux : ...0.N, ...1.N, ...2.N, ...3.N, etc.
Donc il autorise la communication avec le sous-réseau du NAS perso, qui lui, est sur le sous-réseau ...0.N ! Il est là le problème !

Or, vu qu'on a la main seulement sur l'administration du NAS perso, on aura beau restreindre la communication au sous-réseau de ce NAS, ça va juste isoler le NAS perso (vu que la box et les clients du réseau sont sur un sous-réseau différent).

... Je ne sais pas si je suis assez clair. 

Edit: En fait, je me casse probablement la tête pour rien. Si ça se tombe, le problème, c'est que les 2 NAS utilisent le même réseau local pour le VPN L2TP/IPSEC qui gère l'authentification.

As-tu tenté de configurer un autre réseau que 10.N.N.N pour gérer L2TP/IPSEC sur ton NAS perso ?

Re-Edit: Oui mais ça veut dire aussi configurer une autre redirection de port sur la box, du coup...
On n'en sortira pas. 

Modifié le 9 février 2023 par Le PoissonClown

[Tulburite]

Bonjour @Le PoissonClown

Il y a 16 heures, Le PoissonClown a dit :

Dans ce réseau qui est en 192.168.N.N, il y a donc :

• Un NAS professionnel en 192.168.1.99 (sur lequel on n'a pas les droit admin),
• Un NAS personnel en 192.168.0.239 (sur lequel on a les droits admin),
• Des clients (pc, tablettes, smatphones) qui sont en 192.168.1.N *
• Une box qui a pour IP de passerelle 192.168.1.1 (sur laquelle on n'a pas les droits admin) *

* Déjà, peux-tu me dire si ces deux dernières suppositions sont correctes ?

Oui, c'est correct, le NAS de mon centre de secours se trouve au centre, et mon NAS perso se trouve chez moi.

Il y a 16 heures, Le PoissonClown a dit :

Edit: En fait, je me casse probablement la tête pour rien. Si ça se tombe, le problème, c'est que les 2 NAS utilisent le même réseau local pour le VPN L2TP/IPSEC qui gère l'authentification.

Alors oui, si je me trouve à mon centre, je suis connecté sur le wifi de mon centre et je monte les disques de mon centre ainsi que les miens et si je suis chez moi, c'est l'inverse. Mon centre à une adresse xxx synology.me et moi aussi, bien entendu ce n'est pas la même.

Il y a 16 heures, Le PoissonClown a dit :

As-tu tenté de configurer un autre réseau que 10.N.N.N pour gérer L2TP/IPSEC sur ton NAS perso ?

Non, je vais même essayer de la supprimer et de passer par une 192.x.x.x, j'ai vu un tuto que je ne retrouve malheureusement pas, il semblerait que les NAS Synology acceptent ceci sans problème.

[rodrigue7800be]

tu assures bien que tu vas trouvé wireguard c bien la sécuriser :)

[Le PoissonClown]

Il y a 2 heures, Tulburite a dit :

Oui, c'est correct, le NAS de mon centre de secours se trouve au centre, et mon NAS perso se trouve chez moi.

Ah ! Mais alors je comprends mieux. Nous avons 2 réseaux privés (locaux) avec chacun un NAS, et lorsque l'on se connecte sur un NAS distant, alors on peut aussi accéder au NAS du réseau local.

C'est normal, puisque le c'est le principe du VPN : un pont entre deux réseaux privés, par Internet. Si l'on accède au réseau privé distant, on conserve toujours son accès à son réseau local.

La question est : si l'on se connecte à un NAS depuis un réseau qui ne contient aucun NAS (par exemple chez ses voisins ou via une connexion 5G/4G/3G), est-ce que le phénomène se produit aussi ?

[Tulburite]

Il y a 3 heures, Le PoissonClown a dit :

La question est : si l'on se connecte à un NAS depuis un réseau qui ne contient aucun NAS (par exemple chez ses voisins ou via une connexion 5G/4G/3G), est-ce que le phénomène se produit aussi ?

C'est justement le problème, si je suis chez moi et que je me connecte sur le NAS de mon centre, mais que je fais un partage de connexion avec mon téléphone portable, je peux monter les disques chez moi et à mon centre.

En résumer, mon téléphone portable à une IP de 128.x.x.x, je me connecte au VPN de mon centre ou j'ai une adresse IP 85.x.x.x, je peux monter les disques de mon centre, normal, mais je peux également monter mes disques de mon NAS ou je suis avec une 'adresse IP 77.x.x.x. Et inversement ça fonctionne aussi...

Bon, je pense que je vais formater mon NAS et recommencer depuis le début, je vais changer mon nom de domaine Synology, peut-être changer le L2TP/IPsec par Open VPN.

Je tiens à te remercier pour le temps consacré à m'aider, ça m'a permis de lire énormément de documentation sur le réseau, les NAS, etc. Je suis maintenant un peu moins une pive en réseau

Merci encore

Merci également à @rodrigue7800be pour WireGuard

 

[Le PoissonClown]

Il y a 11 heures, Tulburite a dit :

C'est justement le problème, si je suis chez moi et que je me connecte sur le NAS de mon centre, mais que je fais un partage de connexion avec mon téléphone portable, je peux monter les disques chez moi et à mon centre.

Alors là... Je ne vois qu'une seule possibilité : c'est la même adresse IP du VPN L2TP/IPSEC pour les deux NAS.

[Tulburite]

Bonjour,

Eh bien non justement, le NAS de mon centre est en 85.x.x.x et le mien en 77.x.x.x, de plus je n'ai pas le même "user", bien entendu, je n'ai pas non plus la même adresse Synology, pas le même mot de passe etc.

Bon, je vais refaire la configuration de A à Z avec OpenVPN et changer le nom de domaine Synology, restreindre un peu plus les adresses IP et normalement roule Simone

[Le PoissonClown]

Alors je n'y comprends rien.

Bravo pour tes recherches en tout cas, et bon courage pour ta nouvelle config.

[Tulburite]

Il y a 5 heures, Le PoissonClown a dit :

Alors je n'y comprends rien.

Même si je suis une pive en réseau... un peu moins maintenant, je n'y comprends rien non plus

Il y a 5 heures, Le PoissonClown a dit :

Bravo pour tes recherches en tout cas, et bon courage pour ta nouvelle config.

Merci pour les encouragements et merci pour ton investissement