Topic unique Caméras Réseau IP Hikvision

[MAM78]

@Sakkhho tu ne voudrais pas faire un petit TUTO de ta configuration de ton reverse proxy sur ton Syno. Je serais bien intéressé pour sécuriser mes accès à mes environnements.

[Sakkhho]

Il y a 2 heures, Lazer a dit :

 

D'ailleurs @Sakkhho dans la config de ton reverse proxy, il faut absolument que tu vérifie quelle est l'action pas défaut. Chez moi mon HAProxy balance un 403 Error. Il faut faire attention, sinon par défaut il risque d'envoyer sur l'un des services, par exemple DSM lui-même.

@Lazer; tu veux dire si je fais une mondomaine.com:portnas - ca doit pointer sur rien ? 

car effectivement il pointe DSM 

c'est pour  l'accès externe - comme le Quickconnect.

 

@MAM78

un tuto parmis d'autres

http://sarakha63-domotique.fr/reverse-proxy-sur-nas-synology-ssl/

 

 

 

 

 

Modifié le 4 mars 2018 par Sakkhho

[Lazer]

Oui c'est ça, donc du coup ton DSM n'est pas "protégé" derrière le reverse proxy, et donc un simple scan de port (sans connaitre le DDNS) tombe sur DSM.

Tant qu'il est à jour, ce n'est pas très grave, mais bon, ce n'est pas idéal. Tant qu'à avoir un reverse proxy, autant pousser la logique jusqu'au bout et ne rien laisser trainer dans la config par défaut.

Je ne sais pas si c'est faisable avec ta méthode par conte.

 

Quickconnect n'a besoin d'aucune ouverture de port, puisque le principe, c'est justement que DSM initie la connexion vers le cloud de Synology.

 

 

[Sakkhho]

voila, plus rien n'est accessible. seul les règles crées pour le reverse proxy sont actives.

du coup je garde le quickconnect pour accès aux apps DSCAM et au DSM si besoin.

 

d'ailleurs j'ai plus aucune redirection de port dans mon interface freebox, sauf pour le NAS mais il pointe effectivement sur rien.

 

Modifié le 4 mars 2018 par Sakkhho

[Lazer]

Nickel ça

 

[Sakkhho]

Oui c est top.
Merci pour ton support

[djksage]

Bonsoir,

petite question, comment faire vous pour vous connectez avec les applications sur mobile avec le reverse proxy sans redirection de certains ports?

Vous tapez pour dscam camsecu.mondns.com ?

Je vais devoir bouger mes fesses et mettre mon n54l à jours rapidement pour pouvoir utiliser le reverse proxy ( pas compatible avec les vielles versions de dsm 5.2.XX)

Perso +1 pour un tuto complet

Envoyé de mon SM-G950F en utilisant Tapatalk

[Lazer]

Le tuto complet sous DSM 5.x existe déjà sur le forum.

[djksage]

Le tuto complet sous DSM 5.x existe déjà sur le forum.

Pas celui pour le nouveau dsm (j'ai attendu que ma carte raid HP soit pris en compte mais c'est peine perdue, je vais devoir changer de contrôleur raid pour que mes 4 hdd 2.5 soit pris en compte),

Celui pour le reverse proxy que beaucoup de monde attend avec impatience

Envoyé de mon SM-G950F en utilisant Tapatalk

[Lazer]

Ok bien comme je disais, si vieille version de DSM, voir mon tuto précédent.

Mon futur hypothétique tuto sera sous Debian.

Pour DSM 6, voir les nombreux tutos déjà existants.

[i-magin]

Le 14/01/2018 à 22:35, Lazer a dit :

Pour info, pour reconnaitre un modèle chinois, outre que le vendeur nous le précisait sur sa boutique en ligne en indiquant que le firmware ne pouvait pas être mis à jour, il faut regarder si le numéro de série contient les lettres "CH".

Je viens de me connecter à mon HIKVISION pour vérifier son numéro de série et il n'y a pas les lettres "CH"

Je l'avais achetée peu après avoir mis le post suivant

Le 21/09/2016 à 23:51, i-magin a dit :

Sauf à  vouloir du 5 Mégapixels, il y a celle-ci (dont le vendeur ne me semble pas inconnu de @Lazer), mais en 4 Mégapixels 

Déjà à l'époque, l’annonce précisait : "Hikvision English Version"

Mais je n'avais pas pris de screenshot du détail de l'annonce

 

Car actuellement sur l'annonce on peut lire

Citation

This is Original English version, Support Upgrade !!! this isn't chinese version update software to Multi-international language, so, it only have English language, hope your understand.！

 

Du coup, j'ai un doute car l'interface de mon HIKVISION est en français !

 

PS : je n'ai aucune redirection de port sur mon routeur

 

 

 

 

[BenjyNet]

Hey les gars ! C'est possible de créer un reverse proxy avec un dns fournit par Free ? Moi j'ai un truc toto.hd.free.fr et j'aurai voulu que le audio.toto.hd.free.fr pointe vers mon ds audio. Putain, j'y pite rien à ces histoires de reverse proxy.

[Domodial]

Le reverse c'est un truc d'origine du Syno, tu peux le faire.

[BenjyNet]

Bah ouais mais ça marche pas  J'ai redirigé mon port 443 vers le port interne du DSM (5001) sur ma freeboite puis j'ai créé mes règles de reverse proxy genre https://audio.toto.hd.free.fr vers http://localhost:8080 (port local de ds audio) sur le syno. Et quand je tape dans le navigateur https://audio.toto.hd.free.fr j'ai rien  J'ai testé avec mon FHEM ou ma HC2, pareil. Il doit y avoir un autre truc à configurer quelque part.

[Domodial]

Il te faut obligatoirement créer un certificat pour chaque sous domaine. Contrairement à ce qui se dit sur les tutos. Par exemple j'ai fibaro.domodial.fr camera.domodial.fr etc...

 

Pour ce faire je créer les sous domaines chez OVH, et sous le syno les certificats pour ces sous domaines. Puis le redirections de ports et ça fonctionne. Mais a l'époque c'était une grosse galère en suivant les tutos. 

[Invité chris6783]

 

 

 

 

Apres en parlant réseau, je medemande si je switche le routeur de la freebox avec le syno, mais pas sur de reussir lol

 

Tu peux utiliser le routeur syno de deux façons

Soit en mettant la freebox en bridge mais pour conserver le freebox player il faudra un switch supportant les vlan et jouer avec le vlan 100. J avais cette conf jusqu a une panne du dslam free qui a entrainé une mise à jour de la box et une destruction temporaire du mode bridge.

 

J ai depuis cet incident laissé la freebox en routeur et remis le player en direct dessus. Il faut ensuite ajouter ton routeur syno dans la dmz de la freebox donc le syno fait routeur et recoit tout le traffic internet. La seule différence c que la passerelle par defaut du routeur syno devient la freebox et plus l IP publique via le port wan du routeur. Cote freebox tu peux garder un dhcp si tu branches qqe chose en direct dessus mais sinon tout se gere sur le syno qui est bien plus pratique que la box a gerer et supporte les sauvegardes.

 

Envoyé de mon SM-G930F en utilisant Tapatalk

 

 

 

 

 

[Domodial]

C'est vrai que perso je suis en Bridge, mais je ne pense pas que ça change grand chose concernant le reverse proxy.

 

1 - faire autant de  https://audio.toto.hd.free.fr  https://audio1.toto.hd.free.fr  https://audio2.toto.hd.free.fr

2 - Dans "Certificat" du syno faire une demande Let's Encrypt sur https://audio.toto.hd.free.fr puis sur https://audio1.toto.hd.free.fr ect (ne pas faire comme les tutos qui disent de tout faire sur une même ligne séparé par des points virgule). Si Let's encypt te sort une erreur c'est qu'il n'a pas pu trouver ton sous domaine, du coup il faut revoir les reglages.. Il faut aussi rediriger le port 80 du syno sur l'ip du syno, sinon let's encrypt ne pourra pas faire la mise à jour des certificats, et même te les établir à la première demande.

3 - Dans Proxy inversé du Syno déclarer tout ça sur les bons ports.

4 - Ne pas oublier (dans certificats) de faire "Configurer" pour que chaque certificats pointe sur le bon sous domaine !! car par défaut il te met tout sur ton DDNS Syno (le truc ou beaucoup passe à coté).

 

J'ai bien faillit devenir fou avec cette histoire, c'est @Cmoi20 qui m'a sortit de la misère !

Modifié le 5 mars 2018 par Domodial

[BenjyNet]

Ah oui ? Donc l'astuce d'un seul certificat pour l'ensemble des sous-demaines ne fonctionne pas ?

[ADN182]

Si ça fonctionne, mais c'est limite et je pense que la manip a changé depuis le tuto poste plus haut

Envoyé de mon Nexus 5X en utilisant Tapatalk

[Domodial]

il y a 7 minutes, BenjyNet a dit :

Ah oui ? Donc l'astuce d'un seul certificat pour l'ensemble des sous-demaines ne fonctionne pas ?

non, plus maintenant.

Comme dit ADN182 quelque chose à changé.

Je me bornait à suivre les tutos qui se ressemblent tous et j'étais dans les choux.

[Lazer]

@i-magin franchement surprenant ta caméra, je suis comme toi, je ne sais pas quoi en penser.

 

@BenjyNet mais est-ce que Free te permet de configurer autant de sous-domaines que tu veux ? C'est là la vraie question pour savoir si tu peux faire du reverse proxy.

La question des certificats Let's Encrypt est secondaire, cela ne sert qu'à sécuriser (chiffrer et authentifier) la connexion.
Mais déjà il faut que tu arrives à faire des sous-domaines.
Si Free ne le permet pas, alors pas le choix, il faut prendre un domaine (chez OVH ou autre)

[BenjyNet]

Voilà ! Je me doutais bien qu'il y avait un problème quelque part ! Non free ne permet pas les sous domaines, uniquement d'avoir un domaine xxx.hd.free.fr lié à ton ip... et donc oui les sous-domaines sont inexistants ! Ou en tout cas, j'ai pas trouvé où les déclarer si ça existe !

[Domodial]

Free ne permet que d'en faire 1 seul.

Ensuite si on regarde, le sous domaine à un cerfificat et il est généré par Let's encrypt, par free.

[BenjyNet]

Bon voilou, j'ai acheté un nom de domaine chez ovh. Vous savez si c'est rapide la création ? Parce que j'y pite rien à leur interface pourrie

[Lazer]

Quelques minutes je crois.