Asustor owncloud + livebox

anicet28

Nouveau membre
12 Janvier 2016
13
0
0
Bonjour,

Je galère à accèder à owncloud sur internet. Chez moi pas de problème, tout fonctionne, mais impossible d'y accèder à l'extérieur.

J'ai des symboles sens interdit sur owncloud, mais également phpmyadmin, pyload et d'autres applis encore.

J'accède par ailleurs à mon nas de l'extèrieur via ez connect qui est activé.

J'ai également activé upnp et le service ddns myasustor qui lui non plus ne fonctionne pas et ne me permet pas d'accèder à mon nas via l'url : https://xxx.myasustor.com

Dans les réglages /connexion manuelle / ez routeur : web service m'indique "connexion désactivée"

"La redirection de port n'est pas disponible. Il peut s'agir d'un problème de compatibilité du routeur. Certains ports du routeur ne sont pas disponibles pour la redirection de port en raison de limitations par le fabricant du routeur.
Pour utiliser ce service, veuillez changer le port du NAS ou le port du routeur.
P. ex.
Si vous désirez configurer la redirection de port pour le service FTP vous avez deux options :
1. Modifier le port utilisé pour le service FTP sur le NAS.
2. Modifier le port utilisé pour le service FTP sur le routeur en ajoutant un paramètre personnalisé de redirection de port."


Après avoir triffouillé dans les paramètres de ma livebox tout me semble correct et pourtant toujours aucun accès. Si quelqu'un a une solution, j'aimerai mettre en place mon cloud perso et bloque sur ce point.

Un grand merci!
 
Bonjour,

La livebox semble bloquer l’accès depuis Internet a certain port (dont le 80 ... ) en les considérant comme réservés mais avec les dernières mise à jour cela devait être résolu.
EZ-Connect semble utiliser une méthode sans redirection (comme d'autres fournisseurs de NAS) c'est un server pont (encrypté j’espère) , gateway qui reçoit une connection depuis le NAS et reçoit une connexion depuis le client , EZ-Connect assurant un pont entre les deux , la connection étant sortante du NAS ne demande PAS de redirection de port

que ce soit manuellement dans la livebox ou via Upnp (réseau pas audiovisuel) un port ne peut être utilisé qu'une fois
donc si la livebox utilise le port ou un autre serveur ou poste de travail ou le NAS un seul en profitera

le cas le plus courant est le port 80 (et 443) des serveurs Web.

listez les ports utilisés dans la Livebox, upnp dynamique et statique
listez ce que voit le NAS de Upnp dans la livebox en utilisant upnpc-shared dans une console
testez en changeant le port du serveur Web ou attribuez un autre port en listen dans apache pour owncloud ou via un virtual_host

parfois cela vient du délai nécessaire pour libérer les ports utilisés à un moment un reboot (box puis NAS) peut résoudre ceci

Fred.
 
Bonjour et Merci,

J'ai finalement réussi à configurer Nextcloud pour y accèder de l'extérieur. Mais je ne sais pas si tout ça est bien propre.

Par exemple, malgré le bon fonctionnement de nextcloud, dans réglages, ez-routeur, le web service (port 443) apparait toujours en rouge avec la mention "port désactivé". Mais je peux accèder à nexcloud en https quand même! Je ne sais pas s'il est important de faire passer web service en vert du coup?


Ce que j'ai fait, en bon débutant (donc certainement n'importe comment) :

J'ai tout d'abord crée un ddns avec no-ip.com. J'ai ensuite crée un certificat avec Let's encryt.

J'ai enfin bidouillé le fichier config.php de nextcloud pour autoriser l'accès créé sur no-ip.com (en XXX.ddns.net).

ça marche sur un navigateur externe (utilisé tor pour testé) et sur l'appli android nexcloud (connecté en 4g en désactivant la wifi)

J'ai fini par forcé le https en bidouillant le fichier .htaccess de nexcloud.

Il me reste cet avertissement de sécurité dans nextcloud:

L'en-tête HTTP "Strict-Transport-Security" n'est pas configurée à au moins "15552000" secondes. Pour renforcer la sécurité nous recommandons d'activer HSTS

Visiblement la solution est la suivante, mais je ne vopis pas où et comment acceder à la configuration Apache VirtualHosts :

"Enable HTTP Strict Transport Security

While redirecting all traffic to HTTPS is good, it may not completely prevent man-in-the-middle attacks. Thus administrators are encouraged to set the HTTP Strict Transport Security header, which instructs browsers to not allow any connection to the Nextcloud instance using HTTP, and it attempts to prevent site visitors from bypassing invalid certificate warnings.

This can be achieved by setting the following settings within the Apache VirtualHost file:

<VirtualHost *:443>
ServerName cloud.nextcloud.com
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
</IfModule>
</VirtualHost>"



Encore merci, je reste preneur de solutions pour les points de sécurité évoqués et pour arranger tout ça de manière plus orthodoxe! :)
 
En changeant le port de web service (j'ai mis arbitrairement 6005), l'état dans ez-routeur passe au vert. Donc merci, j'avance!

J'imagine qu'il faut que je fasse de même pour tous les ports qui sont désactivés et en rouge?

Quelqu'un saurait-il quels sont les services qu'il faut cocher (et décocher) dans l'option éditer de EZ-routeur? Par défaut j'ai tout coché, ce qui n'était pas le cas à la base.
 
Hi,
anicet28 a dit:
En changeant le port de web service (j'ai mis arbitrairement 6005), l'état dans ez-routeur passe au vert. Donc merci, j'avance!

J'imagine qu'il faut que je fasse de même pour tous les ports qui sont désactivés et en rouge?

Quelqu'un saurait-il quels sont les services qu'il faut cocher (et décocher) dans l'option éditer de EZ-routeur? Par défaut j'ai tout coché, ce qui n'était pas le cas à la base.

Il faut IMPÉRATIVEMENT regarder dans la livebox (upnp et NAT les ports déjà attribué à un serveur
pour upnp Internet Gateway Device l'outil le plus fiable est dans la NAS en mode console root/your_password : upnpc-shared qui va rechercher tous les routeurs avec gestion upnp et listera tous les ports directs ou mappés des routeurs vers CHAQUE hôte
... la gestion du NAS s'appuie sur le même principe mais ajoute sa propre vision des règles. donc peut donner un résultat différent.
unpnc-shared veux dire utilisant les librairies partagés unpnc-static existe aussi sur certain NAS (donc sans librairies partagées)

Après MOINS vous ouvrez de portes MOINS il y a de risque pour votre réseau
- si vous connaissez tous vos utilisateurs (ou unique) limitez-vous à SSH (port autre que 22) et OpenVPN avec les redirections de SSH tout est disponible simplement avec VPN c'est encore mieux ... surtout si vous utilisez des certificats et non un utilisateur/mot_de_passe
- les ports d'outils de synchronisation / backup des données si vos correspondants sont extérieur (Syncthing par ex.)
- laissez les ports dynamique pour les outils de type Plex, etc.

EZ_Router liste les ports coté NAS et les ports coté routeur ... car en Upnp il est possible d'utiliser un "mapping" automatique, vous gardez sur le NAS votre port MAIS le port visible externe peut être différent ... c'est au client et au serveur de savoir gérer cela

Évitez les applications legacy (anciennes) comme FTP, telnet, etc. pour les transfert favorisez SFTP qui utilise le port SSH et est sécurisé de bout en bout (Filezilla sur Windows supporte sans problème ce mode)

A vous de choisir en fonction de vos besoins MAIS moins vous en ouvrez meilleur est votre sécurité (réseau) car les failles applicatives restent que ce soit sur un lien en clair ou encrypté (même via tor ou autre).

Fred.
 
Merci pour les conseils.

J'ai fait les vérifications en installant putty et ça commence à avoir meilleure allure.

Concernant les modifications à apporter au fichier virtual host, quelqu'un peut-il m'indiquer comment acceder à ce fichier pour renseigner ces lignes, qui me permettrait de corriger le problème de sécurité remonté par nextcloud :

"VirtualHost *:443
ServerName cloud.nextcloud.com
IfModule mod_headers.c
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
/IfModule
/VirtualHost"

Merci