Cloud privé

[MLill]

Par "cloud privé" j'entends les fonctions qui ont été vulgarisées par Dropbox, GoogleDrive et OneDrive pour ne citer qu'eux.

Trois exemples.

Quand j'ai envie de partager un dossier je met ces informations dans un dossier Dropbox.
Je peux donner accès à ce dossiers à mes correspondants qui pourront le synchroniser avec un dossier sur leur PC local.
Je peux aussi leur envoyer un lien qui leur permettra de consulter ce dossier à distance et télécharger sur leur PC les documents qui les intéressent.

Quand je prends des photos avec mon téléphone portable je peux certes les partager, par messagerie, Facebook, Whatsapp, Skype ou dix autres manières.
Ou les récupérer dans Google Photo et dans un dossier Google Drive sur mon ordinateur.
C'est pratique Google date et localise la photo .

L'approche a aussi ses limites.
A moins que ce ne soient les miennes.

Par exemple Google me convertit les DNG en JPG compressés et met plusieurs heures à télécharger les photos lorsque que je ne dispose que d'un ADSL à 2Mbps.

Enfin j'utilise couramment trois ordinateurs
C'est pratique d'avoir leurs bibliothèques synchronisées.
OK on peut utiliser OneDrive.

Mais bon, avant tout, se pose problème des droits sur nos documents (gandalflux)


Les solutions (?) :

Synology Drive (CloudStation)

MyQNAP Cloud

Western Digital - My Cloud Home

OwnCloud et NextCloud - Docker sous UnRaid :
* Configuration du nom de domaine
* Nextcloud
* Nginx

Accéder à son NAS depuis l'extérieur

IP Fixe et nom de domaine (alan.dub)

Synology Quick Connect (en anglais)
* présentation Youtube (en anglais)
* White Paper (en anglais)

QNAP QID
* certificats (let's encrypt)

Autres services que peut rendre le NAS, depuis le domicile

Messagerie (alan.dub)
Mails, notes, contacts, calendrier, rappel, VPN, DNS ... (alan.dub)

Un peu de technique

Reverse Proxy(alan.dub)

Michel

[Danam]

Merci Mlill pour ce topic, j'ai suivi les échanges sur le topic "NAS" et je suis intéressé en effet de mettre en place un max de services depuis mon NAS Synology maintenant que j'ai la fibre je n'ai quasiment plus de contrainte de débit !
Je suis plutôt novice dans tout ce qui est serveur de messagerie, protocoles de communications, reverse proxy, etc etc ...
Idéalement j'aimerai bien depuis mon NAS SYNO :
- héberger une messagerie sécurisée (problématique de nom de domaine à gérer)
- partager des fichiers et des photos en interne (local) mais aussi avec l'extérieur mais de manière sécurisée et seulement avec les personnes que je souhaite
- protéger bien entendu l'accès à ces données

[Gandalflux]

pour moi le plus gros pb c'est le cotre pertes des droits sur les fichiers que tu déposes dans les cloud Grand public qui me dérange le plus

[Danam]

Je viens d'aller voir les apps email dispos sur Synology et il y a Mail Station et Mail Server (Plus), vous préconisez quoi ?

[alan.dub]

Petit hors sujet... ça commence

Tout d'abords, je préconise une iP fixe public[/color][/b]
Pas la peine de cherche midi à 14 heures, il n'a que free.

En plus de propose une IP fixe, free est le seul FAI à proposer :
- l'ouverture du port 25.
- le reverse DNS pour la gestion d'un server mail.

Après cela, il faudra acheter un nom de domaine (chez ovh par exemple).
De 2 à 5 euros par an... rien de bien dérangeant.
Pour info, IP fixe et nom de domaine permettent ainsi le reverse proxy utilisable sur les app comme Drive, DS File, DS Audio and Co (même chose pour la partie desktop).

Attention, gérer un server mail c'est vraiment cool, mais c'est aussi super chiant à mettre en place.
Mais c'est faisable !

Sinon, si pas d'IP fixe, le DDNS reste possible mais ne rendra pas possible l'utilisation d'un server mail (IP blacklistée et j'en passe...).

PS :
Orange pour pro propose aussi des IP fixe mais je ne sais pas s'il propose l'ouverture du port 25 et le reverse DNS.
Orange pour particulier propose aussi l'IP fixe... mais pour 25€ de plus... par mois

Attention, certaines parties comme le reverse proxy sont aussi valables pour accéder aux services depuis l'extérieur en passant une adresse web.
Pour info, webdav permettra aussi de force le https lorsqu'une adresse sera indiquée en http

[alan.dub]

Petit hors sujet... deuxième partie

Pour les app mail de chez Synology :

"serveur de messagerie" + "mail station" :
Anciennes app qui fonctionnent parfaitement (c'est ce que j'utilise à la maison)
Pas de limitation d'adresse mail (1 compte mail par compte DSM)

"Mail plus server" + "Mail plus" :
Nouvelles app qui fonctionnent parfaitement (mais qui demande docker, donc un NAS compatible)
Attention, limite à 5 comptes (les autres demande une licence supplémentaire).

Et oui... mais DS418 de 2018 n'est pas compatible docker
Sinon attention aussi, un mail server bouffe pas mal de ressource.
Pour info aujourd'hui mon NAS tourne à +/- 75% sur ses 2 Go de RAM (avec tout ses services).

Dernière info, si coupure de courant... il y a coupure du serveur

[MLill]

Merci Alan
Très intéressant.
J'ai complété l'entame du topic avec tes deux interventions.
Peux tu en préciser les sujets - pas si hors sujet que cela - et éventuellement enlever les spoiler.

J'ai précisé les différentes manières que l'on a d'accéder à son NAS depuis l'extérieur.
Ta solution.
Mais aussi celles proposées par QNAP et Synology.
Que penses-tu de ces deux dernières possibilités ?

Michel

[MLill]

pour moi le plus gros pb c'est le cotre pertes des droits sur les fichiers que tu déposes dans les cloud Grand public qui me dérange le plus

Même accorder au fournisseur un simple droit d'usage n'est pas toujours acceptable.

J'ai du malheureusement utiliser ces services faute d'autres solutions.

Mais je suis extrêmement motivé pour aller voir ailleurs.

La bonne nouvelle étant, qu'au stade où j'en suis de mes expériences, c'est possible.

Michel

[MLill]

Merci Mlill pour ce topic, j'ai suivi les échanges sur le topic "NAS" et je suis intéressé en effet de mettre en place un max de services depuis mon NAS Synology maintenant que j'ai la fibre je n'ai quasiment plus de contrainte de débit !
Je suis plutôt novice dans tout ce qui est serveur de messagerie, protocoles de communications, reverse proxy, etc etc ...
Idéalement j'aimerai bien depuis mon NAS SYNO :
- héberger une messagerie sécurisée (problématique de nom de domaine à gérer)
- partager des fichiers et des photos en interne (local) mais aussi avec l'extérieur mais de manière sécurisée et seulement avec les personnes que je souhaite
- protéger bien entendu l'accès à ces données

L'arrivée de la fibre change effectivement tout !

Alan a répondu pour la messagerie et pourra, si il le désire, compléter sa réponse.
Ce n'est pas une de mes préoccupations.

Pour les fichiers il y a plusieurs approches :
- accès via le gestionnaire de fichiers du NAS
- synchronisation de certains dossiers du NAS avec des dossiers locaux (ou d'un NAS maître avec un NAS client)
- communication d'un lien vers le dossier.

A mon avis seule la synchronisation permet un travail en équipe.
On travaille sur les documents directement sur son PC, quelque soit leur nombre et leur volume.
On dispose des différentes versions des documents partagés (et qui les a modifié/supprimé).
...

La protection de l'accès aux données est un de mes soucis majeurs.
Dans ce contexte je ne souhaite pas, par exemple, avoir accès depuis l'extérieur à l'interface de gestion du NAS.

Michel

[alan.dub]

Concernant les autres solution (QNAP, WD et autres), je ne pourrais pas me prononcer.
Je ne connais n’y leur matériel, ni leur application, ni leur service
Mais juste entre nous, je ferais bien confiance à QNAP… mais pas forcement à WD.

C’est comme tout, chacun son boulot ^^

Pour ce qui est de l’utilisation de nos NAS, voici ce que je demande au mien (pour l’instant).

Mes clients sont :
iMac / iPhones (x2) / iPad / Apple TV 4K / Sonos Connect.

Gestion des mails :
Sur le NAS : Serveur de messagerie + Mail Station.
Sur les clients : Mail (app native).

Gestion des notes :
Sur le NAS : Serveur de messagerie + Mail Station.
Sur les clients : Notes (app native).

Gestion des contacts :
Sur le NAS : CardDAV server.
Sur les clients : Contacts (app native).

Gestion des calendriers :
Sur le NAS : WebDAV server qui gère CalDAV.
Sur les clients : Calendrier (app native).

Gestion des rappels :
Sur le NAS : WebDAV server qui gère CalDAV.
Sur les clients : Rappels (app native).

Gestion cloud avec synchro : (utilisable uniquement pour le comptes DSM du NAS).
Sur le NAS : Drive (+ Office), Moments, Chat.
Sur les clients : Drive, Moments, Chat (app Synology).

Gestion cloud sans synchro : (lien et mots de passe des dossiers partagés envoyés par mails).
Sur le NAS : File Station.
Sur les clients : Web browser quelconque (affichage d’une page toute simple).

Gestion du VPN : (pour une connexion de l’extérieur vers la maison en toute sécurité)
Sur le NAS : VPN server
Sur les clients : Paramétrage du VPN sur les clients (très simple via iOS / macOS / Linux)

Gestion de l’anti pub maison : (connexion SSH demandé pour la mise en place)
Sur le NAS : Proxy Server + Editeur de texte (pour paramétrage)
Sur les clients : Activer le proxy via IP locale fixe du NAS + port 3128

Gestion du bloqueur de site :
Sur le NAS : Proxy Server
Sur les clients : Activer le proxy via IP locale fixe du NAS + port 3128

Gestion des DNS : obligatoire pour la gestion des mails et des reverse proxy (via port 443)
Sur le NAS : DNS Server
Sur les clients : Rien

Gestions des téléchargements :
Sur le NAS : Download Station
Ce dernier est compatible avec le VPN (présent dans les options de connexion du NAS).
Attention, l’activation de ce VPN de connexion rend inopérant tous les accès extérieurs des autres services (logique puisque le NAS ne possède plus l’IP fixe du FAI).

Gestion des média audio et video :
Sur le NAS : Audio Station et Video Station
Sur les clients : DS Audio et DS Video
Perso, je n’utilise pas Video Station, mais plutôt Infuse
Infuse est compatible en LAN et WAN (via WebDAV par exemple) et sait tout lire.
Pour la hifi, c'est le Sonos Connect (relié au SMSL AD18) qui prends les info du NAS via SMB.

Gestions des sauvegardes : (synchronisation des données sur disque externe USB)
Sur le NAS : Hyper Backup
La synchronisation ne modifie que ce qui a été modifié entre deux sauvegardes (gain de temps).
Il est aussi possible de garder X sauvegardes pour garder un certain historique.

Gestion du forçage en https depuis l’extérieur :
Sur le NAS : WebDAV + Editeur de texte (pour paramétrage)
Sur les clients : RAS (si connexion via http, https sera inséré automatiquement dans l’adresse)

Pour l’utilisation des services via des pages HTTPS (donc depuis l’extérieur), Synology propose Let’s Encrypt pour la gestion des certificats web (à actualiser tous les trois mois).

Pourquoi mettre tout ça en place ?
1) Pour supprimer toutes mes données perso des services tiers comme Google, Apple and Co.
2) Me protéger de toute utilisation non désirée de mes données.
3) Parce que c’est fun !
4) Parce que je ne supporte pas les gens qui disent « moi je n’ai rien à cacher » !

Vais-je mettre en place d’autres services ? Oui !
1) Gestion des mots de passe.
2) Gestion de caméra IP (quoique…)
3) Finaliser mon installation (baie de brassage) pour accéder plus facilement au VPN.

Ce dernier point a déjà été tenté avec un certain succès (accéder à Netflix canada) mais pas totalement.
OK depuis les app iOS et depuis macOS, mais bloqué depuis tvOS (utilisation d’une passerelle de l’ATV vers NAS avec VPN activé).
Chronologie des médias française... bienvenue

[SCUDERIA]

Tu viens quand à la maison, pour tous configurer

[alan.dub]

Franchement, à faire ce n'est pas dure, vraiment pas.
Ce qui l'est par contre, c'est de trouver les info.
Quoi mettre et où.

Après si ça peut aider je peux prendre un temps (certain) pour faire des tutos.
Mais il seront dédiés à ceux possédant IP Fixe (free donc) et domaine perso (ovh par exemple).

Bref, de simples captures d'écran en masquant mes info en hop, c'est parti

Mais je crois qu'en me creusant la tête, je pourrais voir via DDNS (option dispo sur Synology).
C'est une solution qui permet de vérifier en continu l'adresse publique, et si elle change le DDNS fait le reste.
Très pratique pour tout, sauf les serveurs mail (à voir si c'est compatible reverse proxy mais je ne pense pas).

Pour ce qui est de quickconnect, je déconseille.
Pourquoi ? Parce qu'on fait encore appelle à un service tiers de Synology (qui travail avec Google et Amazon).

[MLill]

...
Pour ce qui est de quickconnect, je déconseille.
Pourquoi ? Parce qu'on fait encore appelle à un service tiers de Synology (qui travail avec Google et Amazon).

Suivant la configuration du routeur l'information peut ou pas transiter par les serveurs utilisés par Synology.
Il faut choisir le moindre mal entre ouvrir un port et transiter par leurs serveurs.

Mais, même dans le cas où elle transite par leurs serveurs, l'information me parait difficilement exploitable et on ne leur confère pas un droit d'usage.

Michel

[alan.dub]

On est bien d'accords !
Mais le font-ils réellement ?
Si oui, le feront-ils encore longtemps ?

Je sais que ça peut paraitre paranoïaque, mais nos ne sommes pas loin de ça (de 1984 ?).
Souvenir des données utilisateurs de Facebook... des collectes de données de Google pour nous offrir de la publicité "utiles".



Aprait il suffit de reprendre le carnet et le crayon... mais ça fait tout de suite moi fun

[MLill]

Le cas de QNAP est plus compliqué sachant qu'ils offrent un nom de domaine avec gestion d'un certificat et possibilité de sauvegarde des données dans leur cloud.
Mais un message d'avertissement, que l'on ne peut pas louper, prévient que, lorsque l'on utilise cette possibilité, les données ne sont plus privées.

Il y a quelques années mon routeur tombait régulièrement en panne.
Trop ancien, il n'arrivait plus à tracer toutes les requêtes qui lui parvenaient sur internet.
Si certaines tentatives d'intrusion étaient banales d'autres m'ont laissé dans l'expectative.
Mais que ces internautes, de toutes origines géographiques, cherchaient ?

Synology et QNAP font extrêmement attention à ces agressions.
C'est vital pour eux.
Malgré tout il me reste une petite appréhension quand je dois laisser un port ouvert, fut-il tiré au hasard (cas de quick connect).

Michel