Synology Problème de connexion ftp depuis l’extérieur

[willy95]

Bonsoir,
Je posséde un Nas synology 224+ et j'ai un petit problème de connection via mon logiciel ftp depuis mon travail, en local tout marche bien.
j'ai aussi la freebox ultra j'avais fait la redirection des port de ftp en tcp et udp, mais j'ai essayé au travail et il ne connecte pas.
Si quelqu'un pouvait m'aider, je précise également que je n'y connais pas grand chose en réseau.

 

[gva]

Bonsoir,

Je suppose qu'il s'agit du FTP standard (sans chiffrement)

D'abord, vérifier si depuis ton travail le FTP sortant n'est pas bloqué par un pare-feu. Voir avec l'administrateur.

Ensuite, tester le fonctionnement en FTP "passif"

Concernant les ports pour du FTP, il suffit en général d'autoriser le port 21/TCP entrant côté serveur, donc ta BOX.
Pour du FTP en mode passif, il faut également autoriser le port 20/TCP entrant.
Aucun besoin d'ouvrir des ports UDP.

Si tu utilises SFTP, le trafic est encapsulé dans du SSH avec le port 22/TCP.
S'il n'y a pas de restriction sur le trafic sortant côté client, il suffit d'ouvrir le port 22/TCP côté serveur (ta BOX)

SLT

 

[bliz]

vérifié aussi, si le parefeu du nas est en fonction, d'autoriser ce port en cochant la case

 

[gva]

Bonsoir,
Je posséde un Nas synology 224+ et j'ai un petit problème de connection via mon logiciel ftp depuis mon travail, en local tout marche bien.
j'ai aussi la freebox ultra j'avais fait la redirection des port de ftp en tcp et udp, mais j'ai essayé au travail et il ne connecte pas.
Si quelqu'un pouvait m'aider, je précise également que je n'y connais pas grand chose en réseau.

Et, bien sûr, full stack sur ton accès Free et IP fixe ou DNS dynamique

Cordiales salutations

 

[willy95]

Bonjour a vous 2, je vais regarder ce soir et vous tiens au courant,

Par contre, pour ip full Stack il faut que j'aille sur le site de free pour en faire la demande c'est ça ?

D'abord, vérifier si depuis ton travail le FTP sortant n'est pas bloqué par un pare-feu. Voir avec l'administrateur.

oui c'est la première chose que j'ai demandé et non ce n'est pas bloqué.

 

[willy95]

j'ai fais la demande de ip full Stack à Free, j'espere que ça va pas tout planté ?

 

[gva]

j'ai fais la demande de ip full Stack à Free, j'espere que ça va pas tout planté ?

Ca ne plantera rien du tout; c'est juste que tous les ports correspondant à ton IP arriveront chez toi. Sans cela, tu n'as qu'une partie des ports, les autres étant partagés avec d'autres utilisateurs et ça ne peut pas fonctionner pour des accès entrants.

Ton IP publique va changer. Tu seras en IP fixe. Si tu veux accéder par un nom, plutôt qu'une adresse, soit tu renseignes dans le DNS si tu en as un, soit tu configures un DNS dynamique (Synology ou autre), même si l'IP est fixe.

Comme tu indiques que les accès sortants ne sont pas bloqués chez ton employeur, tu as des chances que le FTP fonctionne en mode actif, sous réserve que leur pare-feu sache gérer le protocole FTP. Sinon, essaie en mode passif.

Point important : FTP de base ne chiffre pas le trafic. Les mots de passe pour l'authentification transitent en clair ainsi que les données transférées.
Alternatives : FTPS qui nécessite de gérer des certificats, ou SFTP, basé sur SSH, donc port 22/TCP. A voir ce qui est supporté par ton NAS.

 

[willy95]

Bon ip full Stack c'est fait,
Par contre j'ai voulu me connecter sur mon téléphone en 4g avec le log "andftp" et ça ne marche ni en passif ni en actif.
J'ai fait les manips décrite plus haut pour le pare feu
je ne sais si il faut mettre ma nouvelle adresse IP en quelques part ?

 

[gva]

Bon ip full Stack c'est fait,
Par contre j'ai voulu me connecter sur mon téléphone en 4g avec le log "andftp" et ça ne marche ni en passif ni en actif.
J'ai fait les manips décrite plus haut pour le pare feu
je ne sais si il faut mettre ma nouvelle adresse IP en quelques part ?

Depuis un accès externe (4G ou depuis ton travail, ...), il faut configurer le client pour qu'il se connecte soit sur la nouvelle IP publique, soit sur un nom DNS pointant vers la nouvelle IP publique.

Ca ne marche ni en passif, ni en actif, c'est un peu vague; as-tu un message d'erreur ?

Il te faudrait voir s'il y aurait quelque chose dans les logs du NAS.
Activer la journalisation si nécessaire : paramètres avancés en bas de la page de configuration du FTP

S'il n'y a rien dans les logs, c'est peut-être que le trafic n'arrive pas jusqu'au NAS

Et, j'ai oublié, tu as redémarré ta box après la demande de full stack ?

Question annexe : tu utilises quoi sur ton téléphone comme client FTP ?

 

[willy95]

Depuis un accès externe (4G ou depuis ton travail, ...), il faut configurer le client pour qu'il se connecte soit sur la nouvelle IP publique, soit sur un nom DNS pointant vers la nouvelle IP publique.

J'ai essayer de connecter via mon tel portable en 4g

Ca ne marche ni en passif, ni en actif, c'est un peu vague; as-tu un message d'erreur ?

Bah dans le logiciel que j'ai télécharger sur mon tel
en Adresse IP j'ai mis 192.168.xxx.xxx (mais je pense pas que celle ci car ma nouvelle adresse commence par 8)
en port 21 actif
en port 20 passif
J'ai fait une redirection aussi dans la box

Je viens de réessayer avec la nouvelle adresse IP et ça marche sur mon tel portable
j’essaierai demain au travail je vous tiendrais au courant

 

[gva]

J'ai essayer de connecter via mon tel portable en 4g



Bah dans le logiciel que j'ai télécharger sur mon tel
en Adresse IP j'ai mis 192.168.xxx.xxx (mais je pense pas que celle ci car ma nouvelle adresse commence par 8)
en port 21 actif
en port 20 passif
J'ai fait une redirection aussi dans la box

Je viens de réessayer avec la nouvelle adresse IP et ça marche sur mon tel portable
j’essaierai demain au travail je vous tiendrais au courant

Merci du feedback.

Quel que soit le mode (actif ou passif), tu dois te connecter sur le port 21/TCP. Le port 20, c'est géré en interne par le protocole FTP. Il faut juste l'autoriser sur ta BOX et le rediriger vers le serveur.
Donc configurer le client (ton téléphone en 4G ou ton ordinateur au travail) avec le port 21.
Les adresses en 192.168.xxx.xxx sont des adresses privées. C'est l'adresse que tu utilises depuis chez toi.

Ca devrait marcher depuis ton travail, éventuellement en mode passif si le mode actif ne passe pas.
Bonne soirée.

 

[willy95]

Bonjour,
Je viens d'essayer au boulot et ça marche nickel.
Merci beaucoup

 

[Igman]

Bonjour à tous.

J'ai paramétré mon pare-feu sur le nas
J'ai ouvert le ports 21 sur ma livebox pour les rediriger vers le NAS
et j'ai le même pb qu'avait @willy95 : ok pour acceder en interne, mais depuis l'exterieur, j'ai ça :

Statut : Connexion à XX.XXX.XX.XXX:21…
Statut : Connexion établie, attente du message d’accueil…
Statut : Initialisation de TLS…
Statut : Connexion TLS établie.
Statut : Connecté
Statut : Récupération du contenu du dossier…
Statut : Le serveur a envoyé une réponse passive avec une adresse non routable. Adresse remplacée par celle du serveur.
Commande : MLSD
Erreur : Connection interrompue après 20 secondes d’inactivité
Erreur : Impossible de récupérer le contenu du dossier

Si quelqu'un à une idée, je suis preneur.

J'utilise FileZila

Par avance.... MERCI !!

 

[bliz]

il me semble que le port 21 est pour la connexion ftp et les data est en port 20

après vérification : https://kb.synology.com/fr-fr/DSM/tutorial/What_network_ports_are_used_by_Synology_services

 

[gva]

Bonsoir,

Ce n'est pas le même cas que celui de @willy95 : tu n'utilises pas FTP mais FTPS (FTP encapsulé dans SSL)
Avec FTP, le trafic est en clair et la négociation des ports dynamiques pour le canal DATA est visible par les pare-feux qui peuvent ouvrir les ports nécessaires.
Avec FTPS, le trafic est chiffré et l'ouverture dynamique ne peut pas fonctionner sur le pare-feu (ou la BOX) qui ne connait pas le port dynamique à autoriser.

Tu peux faire un test en FTP standard qui devrait fonctionner, bien sûr, pas idéal en termes de sécurité car le trafic est en clair, y compris le mot de passe.

Une alternative est d'utiliser SFTP (FTP encapsulé dans SSH). Dans ce cas, tout le trafic transite dans une seule session sur le port 22/TCP. Il faut autoriser ce port sur le routeur (ou la BOX) et rediriger le trafic vers le NAS et, évidemment, autoriser côté NAS; si tu choisis un port autre que 22 pour SSH sur le NAS, des adaptations seront nécessaires, notamment sur la redirection de ports.

 

[gva]

il me semble que le port 21 est pour la connexion ftp et les data est en port 20

après vérification : https://kb.synology.com/fr-fr/DSM/tutorial/What_network_ports_are_used_by_Synology_services

C'est malheureusement plus compliqué que cela. Le trafic sur le canal CMD est bien sur le port 21/TCP mais, pour le trafic sur le canal DATA, il y a négociation et le mécanisme est différent selon qu'on est en mode ACTIF ou PASSIF.
Les pare-feux modernes savent ouvrir dynamiquement les ports pour FTP en observant le trafic dans le canal CMD, mais, pour FTPS, le trafic est chiffré et ce n'est pas possible.
Dans le cas de @Igman, il faudrait une capture réseau pour tenter d'y voir plus clair et de savoir si FTPS pourra fonctionner ou pas.
Mais, par expérience, il est préférable d'utiliser SFTP lorsque c'est possible côté client (FileZilla) et côté serveur (NAS Synology) lorsqu'on doit traverser des routeurs/pare-feux/Box.

Pour plus de détails :https://geekflare.com/fr/sftp-vs-ftps
Voir la remarque suivante :

SFTP est préféré à FTPS pour la prise en charge des pare-feux

 

[zypos]

SFTP est préféré à FTPS pour la prise en charge des pare-feux

J'avais utilisé le SFTP sur un NAS Synology ( en modifiant le port ) avec un client Filezilla et cela fonctionne très bien . Je ne l'utilise plus mais de mémoire je l'utilisait avec un nom de domaine paramétrer dans le client Filezilla . Je peux peut-être retrouver la config .
Note : J'utilise également un routeur Ubiquiti en DMZ derrière la BOX

 

[Igman]

Hello

Merci pour vos réponses, c'est un peu plus clair pour moi. Ceci dit :

1. La solution FTP "simple" ne chiffre rien sur le réseau (ni même le login/mdp)... c'est plutot moyen non ?

Une alternative est d'utiliser SFTP (FTP encapsulé dans SSH). Dans ce cas, tout le trafic transite dans une seule session sur le port 22/TCP. Il faut autoriser ce port sur le routeur (ou la BOX) et rediriger le trafic vers le NAS et, évidemment, autoriser côté NAS; si tu choisis un port autre que 22 pour SSH sur le NAS, des adaptations seront nécessaires, notamment sur la redirection de ports.

2. Cela veut dire activer le service SSH en permanence ? Quel est le risque ? (c'est clairement dit partout que c'est à déconseiller pour la sécu)

3. Il y a t il vraiment un gain en terme de débit de transfert ? (je pense surtout à des fichiers/Photo en RAW qui font 80 Mo la photo, et qd il y en a 200 et que je suis à l'étranger....)... (et que ca les indexe en même temps parce que je les mets dans un fichier partagé....) De mon ordi par WEBDAV et d'Espagne ça a mis 3 heures...

 

[Igman]

Dans le cas de @Igman, il faudrait une capture réseau pour tenter d'y voir plus clair et de savoir si FTPS pourra fonctionner ou pas.

Ok comment ?

Et j'avoue, j hésite un peu en FTP

 

[gva]

Hello

Merci pour vos réponses, c'est un peu plus clair pour moi. Ceci dit :

1. La solution FTP "simple" ne chiffre rien sur le réseau (ni même le login/mdp)... c'est plutot moyen non ?

C'est même pas moyen, c'est nul en termes de sécurité, sauf pour accéder à des données publiques, avec un compte anonyme

2. Cela veut dire activer le service SSH en permanence ? Quel est le risque ? (c'est clairement dit partout que c'est à déconseiller pour la sécu)

Absolument pas. En tous cas, pas pire que d'autres solutions.
Puisque c'est dit "partout", donne moi un exemple et j'irai voir pour me marrer.
C'est fou le nombre de gens qui répètent bêtement ce que quelqu'un a dit intelligemment sans comprendre le contexte.

Bien sûr, dans la mesure où c'est correctement configuré.
Concernant l'authentification, tu peux utiliser une méthode par clés et, si la clé privée est correctement protégée, le risque n'est pas très important.
Pour les transferts, utiliser un compte sans droit d'administration du serveur (du NAS en l'occurrence).

3. Il y a t il vraiment un gain en terme de débit de transfert ? (je pense surtout à des fichiers/Photo en RAW qui font 80 Mo la photo, et qd il y en a 200 et que je suis à l'étranger....)... (et que ca les indexe en même temps parce que je les mets dans un fichier partagé....) De mon ordi par WEBDAV et d'Espagne ça a mis 3 heures...

Il faudrait savoir ce qui prend du temps. Est-ce le transfert ou l'indexation ? A toi de faire des tests et de comparer.

De toutes façons avec FTP encapsulé dans SSL, la seule façon de s'en sortir, c'est de figer une plage de ports dynamiques côté serveur et d'autoriser cette plage de ports sur la Box, ce qui est loin d'être l'idéal.

Si tu recherches une solution vraiment sécurisée pour des accès à distance, pas d'autre solution qu'un serveur VPN chez toi, ou sur la Box ou sur un équipement sur ton réseau. Par contre les transferts peuvent se trouver ralentis.