Synology Problème avec le FTPS (TLS?) selon la connexion...

S

Strenght

Apprenti
9 Juin 2017
31
0
0
Bonjour,



J'ai désormais un DS216j et j'en suis plutôt satisfait.

J'utilisais jusqu'alors le protocole FTP (marchait sans problème) pour accéder à mes fichiers à distance. Mais pour des raisons de sécurité évidentes, je préfère utiliser le FTPS désormais.

Le hic, c'est que je rencontre des difficultés pour me connecter en FTPS depuis une connexion extérieure.



Mon DS216j est derrière une Livebox Play 3 (Fibre) qui ne supporte pas le looping back, donc pour faire des tests, j'utilise obligatoirement le partage de connexion de l'un de mes téléphones ou un modem 4G.

Tout est correctement configuré dans DSM (plage de ports passifs), renvoi ip externe en mode PASV (j'ai testé avec et sans), les différents ports sont ouverts dans ma Livebox (port 21 et plage de ports passifs).

Le certificat TLS est valide et j'ai choisi le niveau de compatibilité intermédiaire (mais aussi moderne mais cela n'a rien changé).

J'utilise Filezilla pour me connecter depuis un PC sous Windows. À noter que les mêmes problèmes se présentent avec Es Explorer sous Android 6.0.1



Si je tente de me connecter (depuis Filezilla sur Windows) en utilisant la connexion Free Mobile depuis mon smartphone, j'ai les messages suivants et tout marche impeccablement (les répertoires distants s'affichent):

Statut : Connexion à XX.XX.XX.XX:21...
Statut : Connexion établie, attente du message d'accueil...
Statut : Initialisation de TLS...
Statut : Vérification du certificat...
Statut : Connexion TLS établie.
Statut : Connecté
Statut : Récupération du contenu du dossier...
Statut : Contenu du dossier "/" affiché avec succès



Par contre, si je tente de me connecter (depuis Filezilla sur Windows) en utilisant la connexion SFR Mobile ou Orange Mobile depuis mon smartphone, j'ai les messages suivants et les répertoires distants ne s'affichent pas:

Statut : Résolution de l'adresse de XXXX.XXXX.net
Statut : Connexion à XX.XX.XX.XX:21...
Statut : Connexion établie, attente du message d'accueil...
Statut : Initialisation de TLS...
Erreur : Connection interrompue après 35 secondes d'inactivité
Erreur : Impossible d'établir une connexion au serveur
Statut : Attente avant nouvel essai...
Statut : Résolution de l'adresse de XXXX.XXXX.net
Statut : Connexion à XX.XX.XX.XX:21...
Statut : Connexion établie, attente du message d'accueil...
Réponse : 220 XXXXX FTP server ready.
Commande : AUTH TLS
Réponse : 234 AUTH SSL command successful.
Statut : Initialisation de TLS...
Erreur : Connection interrompue après 35 secondes d'inactivité
Erreur : Impossible d'établir une connexion au serveur




C'est quand même très étrange comme problème, non?

On dirait que quelque chose cloche avec le certificat TLS sur les connexion SFR et Orange...

Quelqu'un aurait une idée d'où vient le problème car j'ai tout essayé et je désespère...

Merci d'avance pour votre aide :)
 
C'est effectivement très étrange... d'un autre côté, je n'ai jamais fait ce genre de test. J'aurai bien testé pour ma part avec une application mobile (sur le smartphone par exemple) ou avec un PC depuis une autre connexion Box par exemple. Je pense à un truc... mais je ne voudrai pas dire de connerie :p
 
Salut,

Il faudrait que tu regarde le fichier Log du serveur FTP ou le pourquoi est surement afficher sous forme de code erreur avec une possible solution
Par contre je suis incapable de te dire ou ce fichier ce trouve et si synology propose une option pour le générer...
 
Salut,

@FX Cahchem: Tu penses à quoi?

@Celena-007: Non, pas de log malheureusement...

Pas d'autres idées? Je bloque totalement...

Sinon, en dehors d'une réinitialisation usine, comment remettre le certificat SSL de Synology?
 
Salut
Si tu fais du ftps directement sur ton téléphone avec ES Explorer par exemple, tu y arrives ?
 
Salut,

@Mikiya:

Avec ES Explorer sur mobile, même problème que sur PC : Avec Free ça marche, avec connexion Orange et SFR non...
 
Aie ... Je dirais d'essayer par hasard de changer les ports, au cas ou Orange/SFR en bloquent certains (genre au lieu de 21 sur le 9921 au pif, idem les passifs), voir carrément recycler des ports "standards" <1024 mais que tu n'utilises pas (c'est crade oui pas taper mais au moins c'est surement ouvert). J'ai déjà eu le cas avec le 5001 bloqué chez je sais plus quel opérateur mobile pendant un certain temps.
 
Salut,

Problème résolu, il s'agissait bien d'un problème de port! J'ai ouvert le port 92 au lieu du port 21 et ça passe nickel pour tous les opérateurs mobile. Bizarre que certains aient bloqué le port 21...
Merci à vous pour vos réponses et votre aide :)

Mais est-il raisonnable d'ouvrir le port 92? Il me semble qu'il y a certains ports qui ne doivent pas être ouverts, non?


Sinon autre question: Comment rétablir le certificat TLS de Synology? Je l'ai supprimé par mégarde...J'utilise celui de Let's Encrypt actuellement...
 
Salut
En général les ports < 1024 sont standardisés, donc ils sont censés être utilisé pour une fonction précise. La liste se trouve la : https://fr.wikipedia.org/wiki/Liste_de_ports_logiciels
Maintenant ... dans les faits personne t'y oblige, tu t'arranges avec toi même. Le 92 est censé être du "npp - Network Printing Protocol", si tu veux en faire à travers ta box depuis le net, tu auras un soucis. Si par contre tu t'en fiches et que rien ne tourne sur ce port la, et bien le ftps marchera bien ;)
Le mieux quand même c'est de se servir de la box :
Internet -> port 92 (pour passer ton opérateur) -> BOX -> port 9292 (par exemple) -> NAS
Tu règles le NAS en FTPS sur le 9292, en réseau local tu utilises le 9292 sur FileZilla et depuis l'extérieur tu utilises le port 92 mais en fait ta box convertit en 9292 et ton NAS écoute que sur le 9292 qui lui est pas standard, ça évite les éventuels soucis si ton NAS veux justement faire du npp par exemple.
Pour le certif, tu dois pouvoir remettre par défaut mais celui de Let's Encrypt est mieux, plus reconnu, pourquoi changer ?
 
@Mikiya:

Merci mais tu peux me réexpliquer étape par étape cette partie? Que je puisse faire la configuration sur ma Livebox et DSM?

Le mieux quand même c'est de se servir de la box :
Internet -> port 92 (pour passer ton opérateur) -> BOX -> port 9292 (par exemple) -> NAS
Tu règles le NAS en FTPS sur le 9292, en réseau local tu utilises le 9292 sur FileZilla et depuis l'extérieur tu utilises le port 92 mais en fait ta box convertit en 9292 et ton NAS écoute que sur le 9292 qui lui est pas standard, ça évite les éventuels soucis si ton NAS veux justement faire du npp par exemple.
Cliquez pour agrandir...

Merci.
 
Actuellement, pour ouvrir ton port 92 depuis internet vers ton NAS, dans ta box, tu as ouvert le port 92 externe, redirigé vers ton ip du nas sur le port 92 aussi on est d'accord ?
  • Etape 1 : et bien dans cette même vue, au lieu d'ouvrir le 92 externe vers le port 92 de l'ip nas, tu ouvres le port externe 92 vers le port 9292 du nas. Si tu fais ça sans rien toucher au réglage du ftps (ni du NAS ni de ton filezilla, tout le monde encore en port 92) ça ne marchera pas depuis l'extérieur (déjà vérifie que ça marche pas :twisted: ).
  • Etape 2 c'est de régler ton FTPS du nas (uniquement) sur le 9292. Du coup la de l'extérieur ça va marcher. Ton filezilla vers chercher l'ip de ta maison, arriver sur ta box sur le port 92. La box (après l'étape 1), renvoit les messages du port 92 vers le port 9292 du NAS. Le nas après l'étape 2 écoute justement en FTPS sur ce port donc ça va marcher. Du coup on est bon, ton NAS n'utilise plus de port "interdits" < à 1024 mais continue de marcher avec ton opérateur mobile :)
  • Etape 3 : Mais la en local chez toi ton filezilla n'y arrivera plus ... Le truc c'est donc de lui créer un 2ème accès : en plus de l'externe qui cherche le port 92 de ta box, crées le même pour quand t'es chez toi qui lui accèdes directement à ton NAS sur le port 9292.
La t'es bon, ça passe sur tes opérateurs mobile en 92, ton NAS respecte les règles classiques des ports en 9292 et ton filezilla lui marche en utilisant le bon accès selon où tu es.

PS : pour les ports passifs, si t'as pas de soucis avec, changes rien pour eux ;)
 
@Mikiya:

Salut. Merci à toi pour toutes tes explications. Cela marche :D

Pour l'étape 1 et 2 j'ai fait comme tu m'as dit.

Pour l'étape 3, aucune manip sur ma Livebox, j'ai juste créé un nouveau profil sur Filezilla pour l'accès en local en mettant directement le port 9292. Est-ce bien cela?

Mais dis moi, il n'aurait pas été plus simple d'utiliser directement le port 9292 au lieu de faire toutes ces manips (même si cela m'a appris quelque chose)? :p
 
Oui étape 3 ça ne concerne que Filezilla ;)
Pour le 9292 uniquement si bien sur mais encore faut-il qu'il passe sur ton opérateur mobile :D si c'est le cas vas y ! la ma manip ça permet de t'adapter si l'opérateur est trop embêtant.
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour