Travail à distance

Bonjour,

comme il est possible d'accéder aux bases de données via l'application Android, serait-il envisageable d'avoir la même possibilité avec le logiciel tout court ?

Il suffirait dans le module "config.exe" d'indiquer que le serveur est distant et non local (sans utilisation d'un NAS avant que l'on me propose cette solution

Cela permettrait le télétravail pour la secrétaire (car je sens qu'aux Antilles, ils vont nous refaire le coup du confinement, la Martinque venant de réenclencher le plan Blanc, nous allons y passer sous peu !!!)

Merci
Thierry RIEMER

Bonjour
A propri oui, avec un vpn, ça peut le faire !
Denis

Un conseil pour un vpn gratuit fonctionnel ?
J'ai beau chercher, je n'en ai pas trouvé,

VPN gratuit est tjs lent. NordVPN est rapide, peu cher et bien sécurisé.

NordVPN comme les autres IMPOSENT de passer par LEURS serveurs, ce que je ne veux pas (RGPD pour rappel)
J'essaie de trouver une solution PC à PC et non PC - Serveur étranger - PC

Comme le module Android permet de se connecter via IP, pourquoi la version Windows ne le permettrait pas ?

Si tu as un serveur Synology au cab et un routeur Synology a la maison je pense que tu pourras faire ainsi. J y pense depuis un moment mais j' ai pas encore commande le routeur.

François
J'ai installé un NAS ai cabinet, configuré openvpn qui y est intégré et cela fonctionne nickel
Pas besoin de routeur Synology chez moi
Je m'en sers même depuis mon PC portable via mon GSM en 4g
J'étais contre les NAS mais j'ai changé d'avis
Seul souci, les sauvegardes qui deviennent plus compliquées à gérer

Thierry

Je ne sais pas si ce type de logiciel est ce que tu cherches

[www.radmin-vpn.com]

Merci Robby,

j'ai testé ton soft, il est génial. Je vais m'en servir pour chez moi pour accéder à mes logiciels à distance (sans NAS)
Reste à savoir combien de temps il va fonctionner "sans licence"

Bon week-end

Cane tu pourrais nous faire un tuto pour configurer ça bien ?

Il est très simple (quand on a compris
Il suffit d'installer le logiciel sur les différents PC
Il faut installer la partie "serveur" sur le serveur bien sûr
Dans le module serveur, il faut créer les utilisateurs avec leurs droits d'accès et créer un réseau
Quand le "serveur" est lancé, sur les PC "clients", il faut "rejoindre" le réseau créé
Quand Réseau join, clic droit sur le réseau et choisir "dossiers partagés"
Sélectionner le partage désiré et clic droit pour "connecter un lecteur réseau"

Et c'est fini

Seule contrainte : Avoir la fibre des deux cotés, sinon, c'est TRES LENT

@françois : au besoin,, contacte moi en MP et je te donnerai mon téléphone afin de t'aider via TeamViewer

Thierry (6h en moins de décalage, je suis en Guadeloupe)

Bonjour,

La connexion à distance est une vaste question, par contre ouvrir sur la box internet des ports sur le lan pour autoriser une connexion openVPN (port 1194 TCP/UDP)
Sur votre NAS est un véritable risque de sécurité.
Si vous avez déporté votre Base (répertoire wlogos2) votre nas est le matériel le plus important de votre réseau, donc il doit disposer d’une surface d’attaque minimum.
Cela signifie qu’il doit disposer uniquement du minimum vital en terme d’applications installé (synology ou Qnap et autre proposent une multitude d’applications qui peuvent chacune être un vecteur d’attaque si elles sont mal configurées), dans l’idéal votre nas devrait être dans un vlan dédié avec des ouvertures de flux limités au SMB/SMB2 pour le partage windows (oui effectivement cela ne protège pas contre les rançongiciels qui n’auront aucun mal à chiffrer ce répertoire) mais cela protège votre serveur contre les autres potentielles attaques.

En deux mots, si vous voulez faire de la connexion distance, utilisez une appliance dédié cet n’ouvrez jamais des accès a votre lan.

Bonne journée
FM

@fmartin
tout d'abord, bonnes fêtes de fin d'année

Votre post est presque correct, mais pas mal d'erreurs, désolé

La technologie RDP/TSE est utilisée par un maximum de sociétés, et le port d'entrée n'est pas forcément le 1194, c'est pour cela que l'on a créé les NAT
Quelques exemples d'utilisateurs : Les gros cabinets comptables, DARTY, EDF, etc
Il est donc très facile de la sécuriser
Son avantage est qu'elle n'a pas besoin de beaucoup de débit, car les données restent sur le serveur

Pour les NAS, l'utilisation est via un VPN donc SECURISE. Si vous avez déjà configuré un OPENVN de SYNOLOGY, vous confirmerez que même en ayant tous les éléments, la configuration d'un nouveau "client" est complexe et à configurer par un informaticien

En ce qui concerne les attaques de type RANSOMWARE, je vous donne deux exemples que j'ai personnellement eu de cryptage :
- Un fichier modifié sur mon ONEDRIVE de Microsoft pendant le confinement qui a crypté tous les PCs de notre cabinet (vu ma solution de sauvegarde, cela m'a fait ni chaud ni froid, juste une journée de perdue)
- Une attaque en règle via une de mes caméras de surveillance !!!

Bonjour @CANE,

Merci de votre bienveillance ;)) et bonnes fêtes de fin d'années également,

Mais si vous relisez mon post, ne parle aucunement de TSE qui est comme de nombreux produits de "VDI" est effectivement "sécurisable" de différentes façons.
Nous pourrions parler également de sur-couches Citrix etc.. mais cela n'est pas le sujet.Je parle encore moins de RDP (remote desktop protocole) qui est l'objet de très nombreuses failles se sécurité. Autoriser ce type de connexions sur votre LAN depuis internet est comme dire, venez me pirater.... les portes sont ouvertes !

Je parle moi sur le fait d'ouvrir depuis votre box via NAT sur votre NAS synology un accès qu'il soit OpenVPN ou autre (j'ai indiqué 1194(tcp/udp) car il s'agit du port utilisé par openVPN par défaut) et en général les personnes oublient de changer de port..par défaut.. chose qui indique à votre attaquant le service que vous utilisez.. reste plus qu'a trouver une faille de configuration ou une faille sur le produit pour se retrouver sur votre NAS, qui est a mon sens la pièce maitresse de votre réseau, le matériel qui "héberge" peut être vos sauvegardes et sans doute votre base patients Logosw.

Donc je confirme que les règles basiques de sécurité sont de ne pas ouvrir de services via NAT sur votre LAN, si vous devez accéder à distance à votre réseau il est vivement conseillé d'utiliser une appliance de sécurité disposant d'une solution de VPN et d'activer sur celle-ci au MINIMUM une authentification à deux facteurs via
des systèmes d'OTP (One Time Password).

Au sujet des rançongiciels, effectivement j'ai lus vos posts sur ce sujet, la sauvegarde Off Line reste à l'heure actuelle la meilleur des solutions pour des petites entreprises, l'architecture "Windows" de logosw ne permet pas de rupture "protocolaire" en terme d'OS, je veux dire par là d'héberger la base sur un système autre que windows sans le protocole SMB (samba(partage windows) ) d'activé.... car à la première exécution tout rançongiciel qui se respecte scane le réseau pour savoir dans quelle type d'infrastructure il se trouve /prends la main sur le DC pour récupérer les crédentials Administrator du domain pour un réseau fonctionnant avec un AD Microsoft / déactive les antivirus sur le LAN / chiffre les sauvegardes exfiltre les données qui peuvent être sensibles et commence le chiffrement des postes de travail, partage nas inclus .....

Et comme vous l'avez indiqué dans l'un de vos posts, passer par une maj windows update signé est une très bonne méthode pour un rancongiciel, car les mises à jours windows sont exécutées avec un utilisateur disposant de droits avancées (interaction avec l'os) donc le rançongiciel devient le roi du monde sur votre poste et en général sur votre réseau...

Donc, désolé mais il n'y a pas d'erreur dans mon précédent post =;))

L’essentiel des utilisateurs de ce forum sont des docteurs dentistes pour quelques-uns d'entre eux sont très bon en informatique clairement, mais il est important
en terme de sécurité de se référer à l'état de l'art, je vous encourage à parcourir les différents article de l'ANSSI (ssi.gouv.fr) qui regroupent les bonnes pratiques et vous pourrez y lire ce que j'indique au sujet des ouvertures de services sur le LAN.

Bien a vous.
FM

Salut @FMartin

Ce n'est pas un sujet Logos mais comme nous avons commencé à divaguer...

Le NAS QNAP (probablement Synology aussi) créé des Snapshot (copie des fichiers dans les répertoires) qui ne sont accessibles que par GUI du NAS et un utilisateur avec droits admin et ne sont pas visibles sur le reseau. Je fais aussi une copie sur un boîtier RAID externe. Idem, répertoire pas visible sur le réseau et uniquement accessible via user avec droits admin.

En cas de verrouillage des fichiers, est-ce que ces répertoires peuvent échapper au massacre ?

[www.qnap.com]

N.B. Il y a aussi des sauvegardes sur DD externe et sur un NAS ailleurs bien sûr.

Robby



1 modification(s), le 26/12/22 14:17 par robrub.

Bonjour Robby,

Sur Synology pour disposer des Snapshots réplications, il faut créer un LUN et accéder au nas via un connecteur ISCSI je ne sais pas si cela est pareil sur Qnap, après sur cet espace iscsi il est possible de le formater en fat32 ou autre fs compatible Windows (pour la cible ici) et pourquoi pas en faire un partage (fat/ntsc pour qu’il soit compatible Windows) .. en fait j’avais pas pensé à cette solution ..qui est très bonne.
Par contre cela ne protège pas contre le rancongiciel car cet espace iscsi formate compatible Windows sera chiffe mais effectivement le retour en nominal est facile avec la restauration d’un snapshot … (cela n’empêche pas les sauvegardes sur disques externes (mis hors connexions) qui restent pour moi la seule solution 100% sécurisé si le nas ou autre serait chiffré ..(même la partie Linux )
Pour ma part j’ai expérimenté la solution suivante, le partage du nas Synology en deux storage unit l’une est utilisée pour logosw via un dossier partagé Windows et l’autre pour la sauvegarde du dossier partagé… cela ressemble à la méthode « snapshot réplication « mais sans devoir configurer sur l’ensemble des postes clients un initiateur iscsi.. bref les deux solutions se valent..
un inconvénient à mon expérimentation est que le fait de » diviser en deux le nas » cela limite le type de raid et le nombre de disques en cas de défaillances matériels..
je vais maquetter ta solution des snapshots sur mon Synology pour creuser en profondeur le sujet.. merci pour cette bonne idée

Bien à vous
FM



1 modification(s), le 26/12/22 15:34 par Fmartin.

C'est beacoup plus simple sur le NAS. L automatique

C'est beaucoup plus simple sur le QANP. Il y a des options sur le GUI pour les Snapshots et la création et gestion des Snapshots sont automatiques, donc pas besoin de savoir informatique profond pour l'utilisateur ;) Les Snapshots restent hors d'accès SAUF via le GUI du NAS et un compte avec droits admin.

De plus, on a la possibilité de les copier dans une coffre fort et/ou sur un autre QNAP pour pouvoir les importer en cas d'attaque :)



1 modification(s), le 26/12/22 17:20 par robrub.

Merci effectivement ça semble se gérer d’une façon différente de Synology.. je vais creuser voir si j’aurai pas loupé quelque chose sur le point des snapshots car ça semble vraiment surprenant cette différence de gestion entre Qnap et Synology car en général les fonctionnalités sont sensiblement identiques entre ces deux marques.

Bien à vous
FM

Re, je viens de vérifier sur Synology
Deux options pour les snapshots réplication entre autre..mais en rapport avec notre sujet.

1 disposer d’un 2eme nas en destination (« back up réseau »)
2 disposer d’un 2eme volume sur le même nas comme destination de la sauvegarde du snapshot. (A prévoir à l’initialisât ion du nas car plus difficile et peut être risqué sur un nas né production)

L’option LUN est également possible mais dans ce cas, la réplication est « limitée «  à 15 minutes quand elle est au minimum de 5 en standard hors LUN … par contre un point devient important dans le cas d’un rancongiciel est le nombre de sauvegardes avant écrasement pour avoir au moins une sauvegarde exploitable..

Dans tous les cas encore merci pour cette option que je n’avais pas envisagé je vais maquetter cela.

Bien à vous
FM

@FM

Ta solution de réplication ne fonctionne que pour les sites avec ce la FIBRE !!!

RIP aux Antilles et dans les zones non pourvues

Bonnes fêtes

@Cane Ça marche très bien en 4G

Bonjour @Cane,

La solution de réplication énoncée ici se passe en local sur le même NAS avec deux Volumes BRTFS (un disposant du SMB activé et l'autre sans), on ne parle pas ici de réplication entre NAS distant, quoi que cela peut être également envisageable dans le cas d'un 2eme NAS sur le même LAN.

Bonne fêtes.

Bien a vous
FM

@FM
Cela fait plaisir de voir quelqu'un de compétent, cela devient rare

Perso, je préfère les solutions de sauvegardes "distantes" pour plusieurs raisons inhérentes aux Antilles :
- Les "destructions" de cabinets proviennent ici de : Cyclones, Grosses tempêtes avec inondation, etc
- Autre cas de figure très répétitif en ce moment : les grèves EDF qui balancent du 300 V à la remise en route. Nous, même en étant derrière des onduleurs ONLINE, nous avons perdu depuis 2019 : aspiration - 4 clims - 1 fauteuil - 1 radio rétroalvéolaire - 1 compresseur et je ne parle pas des ordinateurs
D'où l'intéret de sauvegardes sur des disques EXTERNES qui sortent du cabinet

Par contre, vu que nous sommes dans le travail à distance, j'ai un GROS souci que je n'ai pas réussi à résoudre en utilisant du VPN.
Logos fonctionne nickel en VPN mais pas son module Agenda !!!! Il est dans les tâches mais n'affiche qu'une seule ligne (celle du titre) et c'est tout

Bonjour @CANE

Effectivement, en "Métropole" nous n'avons pas les mêmes contraintes..je comprends mieux l’intérêt des sauvegardes distantes.
dommage que le "régulateur" l'interdise pour le moment, mais un Cloud souverain de santé disposant de sécurité Ad Hoc serait pour vous peut être
une solution.

Au sujet du problème d'agenda et de VPN, on parle du module "AGENDUM" Agenda LOGOS_w ?
ou du module Rdv internet ?
Il y a t'il un synchro Google d'activé pour cet agenda ?

Au sujet du VPN, il s'agit bien du module Open VPN de synology ?
Si oui l'option "autoriser aux client l'accès au serveur lan" est elle coché ?

J'imagine que le "partage" logos2w est bien accessible depuis le poste connecté au VPN ?

Pour éliminer tout problème "réseau en VPN" il faut vérifier que les ports suivants sont ouverts depuis la machine qui se connecte au VPN
Via les commandes suivantes :

Doc de portqry si besoin :
[learn.microsoft.com]
Lien de téléchargement microsoft :
[www.microsoft.com]

portqry.exe -n <@du nas> -p udp -e 4690
portqry.exe -n <@du nas> -p udp -e 4691
portqry.exe -n <@du nas> -p tcp -e 445
portqry.exe -n <@du nas> -p udp -e 137
portqry.exe -n <@du nas> -p udp -e 138
portqry.exe -n <@du nas> -p tcp -e 137
portqry.exe -n <@du nas> -p tcp -e 139

coté configuration du client qui se connecte au VPN (utilitaire config du répertoire c:\logosw1\CONFIG.exe)
est configuré comment ?
remplacer NAS par le nom netbui de votre NAS.
du style : \\NAS\logosw\wlogos2\Patients\ster ??

Si oui depuis le VPN la commande :
ping NAS réponds bien ?

Bref quelques pistes de recherches..

J'ai lu dans une documentation que l'éditeur logosw recommande l'usage d'adresse ip fixe sur le LAN et pas de DHCP, dans le cas d'un VPN forcément on ne respecte pas cela, mais je n'ai aucune idée si cela est réellement impactant sur l'usage du logiciel.

J’espère que cela vous aidera a avancer sur ce problème fort intéressant, n'hésitez pas a indiquer les différents résultats pour avancer.

Bonnes fêtes
Bien a vous
FM

Merci François,

J'utilise bien OPENVPN et je n'utilise pas le module Internet, pas utile pour moi, et j'ai ma solution pour les confirmations de RDVs. Je ne peux pas en parler ici vis à vis de Logosw, désolé

Mais c'est pour cela que j'ai besoin, même en congés, de confirmer les RDVs des patients qui ont répondu par SMS & Email et de maintenir mes clients sous contrat de maintenance (pas forcément des dentistes, mais aussi des cabinets d'avocats, des boutiques y compris en Métropole et à la Réunion). Des vacances d'informaticiens quoi

je testerai cela après le réveillon, car aujourd'hui, c'est farniente et prise de l'apéro dans le spa du bungalow à l'extérieur avec vue sur la baie de Ste-Rose et les iles environnantes comme la Désirade.

Je prendrai un ti-punch à votre santé

Thierry RIEMER

Bonjour Thierry,

J'espère que je ti-punch était bon
Avez vous eu l'occasion de tester les commandes ? votre problème de VPN est il toujours d'actualité ?

Bonne journée
Bien a vous
FM

Bonjour et bonne année, le souci de l'agenda a disparu tout seul !!!

Je me connecte en VPN depuis deux PCs, mon portable (DELL iCore9) aucun souci et mon PC de développement (MSI très puissant avec 5 écrans 32 pouces), et le problème y est toujours.

Je suis rentré hier de congés, je testerai les commandes demain et je vous tiens au courant

Merci encore.

Si cela vous intéresse, je peux vous faire une démo de mon logiciel via TeamViewer