Synology Soucis d'accès externe

NiKoLaKo

Apprenti
20 Mars 2016
54
0
0
Bonjour à tous,

J'ai suivi cet excellent tuto (https://www.nas-forum.com/forum/topic/54453-tuto-s%C3%A9curiser-les-acc%C3%A8s-%C3%A0-son-nas/) pour la sécurisation de mon NAS.

ça marche pas mal, sauf 2 choses :

1 - Via l'application mobile DS File, je souhaite partager un dossier avec quelqu'un qui n'a pas de compte sur mon Syno.
Donc je fais partager, je choisi une date d'effet, et d'expiration, et un mot de passe. J'envoi le lien, mais la personne n'arrive pas à accéder au dossier.
Visiblement, le lien cherche à passer par le port 5001, qui n'est pas ouvert ni dans ma box ni dans le pare-feu syno (comme conseillé dans le tuto)
Comment faire pour pouvoir partager un dossier mommentanément avec quelqu'un sans avoir à ouvrir le port 5001 ?

2 - Toujours dans l'optique de partager des dossiers avec des personnes (cette fois de ma famille, qui eux, auront un compte) je comptai leur donner l'adresse https://dsfile.XXXX.synology.me:443
Seulement j'ai un message de sécurité qui me dit que ma connexion n'est pas privé (impossible de vérifier sur le serveur qu'il s'agit bien du domaine dsfile.XXXX.Synology.me car son certificat provient du domaine XXXX.synology.me.
Pourtant dans le certificat, ça comprend bien dsfile.XXXX.synology.me....
D'où peux venir ce soucis ?

Pour info les adresses suivantes ne fonctionnent pas :
https://XXXX.synology.me
https://XXXX.synology.me:443
 
Si je comprends, tu as changé le port 5001 par un autre. C'est bien ça. Exemple : Si tu as mis 7501 à la place de 5001, il faut ouvrir et rediriger le port 7501 de ta Box vers le NAS. Il faudra alors qu'il utilise le lien du type https://XXXX.synology.me:7501

Le port 443 est le port par défaut du https... La première question : si les utilisateurs sont à l'extérieur, pourquoi ne pas garder le port 7501 (comme vu ci-dessus) ? Aussi, si tu souhaites utiliser le 443, est-il ouvert sur ta Box ? (personnellement, je te déconseille sauf si tu as en objectif d'héberger un site Web)
 
Salut FX,

Non non je n'ai pas changé le port 5001.
Les ports 5000 et 5001 ne sont pas ouvert, ni dans ma box, ni dans le pare-feu du NAS.
Par contre oui le port 443 est bien ouvert (box + pare-feu)

Tu aura plus vite fait de jeter un oeil au tuto que j'ai suivi plutôt que d'essayer de comprendre via mes explications :D

En gros, on n'ouvre pas les ports 5000 et 5001 et on se sert du portail des applications pour limiter les accès aux seules applications nécessaires.
 
NiKoLaKo a dit:
Bonjour à tous,

J'ai suivi cet excellent tuto (https://www.nas-forum.com/forum/topic/54453-tuto-s%C3%A9curiser-les-acc%C3%A8s-%C3%A0-son-nas/) pour la sécurisation de mon NAS.

ça marche pas mal, sauf 2 choses :

1 - Via l'application mobile DS File, je souhaite partager un dossier avec quelqu'un qui n'a pas de compte sur mon Syno.
Donc je fais partager, je choisi une date d'effet, et d'expiration, et un mot de passe. J'envoi le lien, mais la personne n'arrive pas à accéder au dossier.
Visiblement, le lien cherche à passer par le port 5001, qui n'est pas ouvert ni dans ma box ni dans le pare-feu syno (comme conseillé dans le tuto)
Comment faire pour pouvoir partager un dossier mommentanément avec quelqu'un sans avoir à ouvrir le port 5001 ?

ouvre le port 80, cela devrait fonctionner, mais cela me semble bizarre quand même.

NiKoLaKo a dit:
2 - Toujours dans l'optique de partager des dossiers avec des personnes (cette fois de ma famille, qui eux, auront un compte) je comptai leur donner l'adresse https://dsfile.XXXX.synology.me:443
Seulement j'ai un message de sécurité qui me dit que ma connexion n'est pas privé (impossible de vérifier sur le serveur qu'il s'agit bien du domaine dsfile.XXXX.Synology.me car son certificat provient du domaine XXXX.synology.me.
Pourtant dans le certificat, ça comprend bien dsfile.XXXX.synology.me....
D'où peux venir ce soucis ?

Pour info les adresses suivantes ne fonctionnent pas :
https://XXXX.synology.me
https://XXXX.synology.me:443

évite les ports qui sont réservées et prend un autre port et ouvre le port nouceau et le port 443 pour le https, car pour le https, il y a besoin de 2 ports d'ouverts
 
Le port 80 est ouvert et redirigé vers mon Nas.
Est-ce qu'il ne faut pas activer le FTP à tout hasard, pour pouvoir utiliser cette fonction ?

Pour rappel, j'ai ouvert
- le port 80 uniquement pour le renouvellement du certificat LE.
- le port 443, et j'utilise le portail des applications et le reverse proxy pour autoriser seulement les app que j'ai choisi à utiliser ce port.

Je vais entamer la lecture des 25 pages du forum du tuto voir si quelqu'un a eu le même problème que moi.
Ça sent le petit détail qui bloque tout ?
 
NiKoLaKo a dit:
Est-ce qu'il ne faut pas activer le FTP à tout hasard, pour pouvoir utiliser cette fonction ?
Le FTP n'a rien à voir c'est un service bien à part qui s'utilise avec un client type Filezilla
A mon avis ouvrir le port 80 ne donnera rien : c'est le service web non sécurisé . Si tu veux vraiment blinder la connexion le mieux est de modifier le port par défaut 5001 comme l'indique Fx plus haut . Il faudra ouvrir ces ports sur la box , le NAS et modifier l'URL en conséquence
 
le port 80 est ouvert ou pas, il n'est pas specifique à une application mais à un periférique.

pour le partage avec mot de passe, le lien est bien sous le forme http://gofile.me/XXXXXXXX
comme c'est un http, c'est pour cela que j'ai dit d'ouvrir le port 80
si c'est le cas, pas besoin d'ouverture de port, je vien de faire le test et non, pas besoin d'activer le ftp

Par contre, je ne suis pas sûr que le reverse proxy fonctionne sur un ddns comme synology.me
as tu essayé sans le reverse proxy
 
Sur la doc de Syno : Ports réseaux utilisé par les services Synology : DS file par défaut 5000 et 5001 (https) Donc il te faudra changer ce n° de port
DSM : Panneau de configuration / réseau / Paramètre de DSM /
 
zypos a dit:
Sur la doc de Syno : Ports réseaux utilisé par les services Synology : DS file par défaut 5000 et 5001 (https) Donc il te faudra changer ce n° de port :
DSM : Panneau de configuration / réseau / Paramètre de DSM /

pour l'acces à dsfile, il a déjà changé le port par le portail des application, pas besoin de toucher au port d'acces au nas. par contre, il a pris un port qu'il ne doit pas utilisé car réservé par le system
 
Invité a dit:
le port 80 est ouvert ou pas, il n'est pas specifique à une application mais à un periférique.
Pour moi le port 80 est spécifique à des services HTTP comme Web station ; Photo Station ; mail station
 
ce que je veux dire, c'est quand tu redirige un port sur le routeur, tu ne spécifie pas un logiciel comme sur le parefeu de windows mais un périférique. Sinon, oui, il y a des normes de ports (voir https://fr.wikipedia.org/wiki/Liste_de_ports_logiciels). Mais si tu n'utilise pas de host web, tu peut utiliser le port 80 pour autre chose.
 
Invité a dit:
pour le partage avec mot de passe, le lien est bien sous le forme http://gofile.me/XXXXXXXX
Le lien est sous forme https://XXXX.synology.me/sharing/hdyjfkfu

Invité a dit:
Par contre, je ne suis pas sûr que le reverse proxy fonctionne sur un ddns comme synology.me
as tu essayé sans le reverse proxy
Non pas essayé. Je peux essayer de virer le DDNS, et utiliser mon ip fixe à la place.

Je testerai ce soir et si ça ne fonctionne tjs pas, j'essaierai de modifier le 5001 et d'ouvrir ce port dans la box.
 
Invité a dit:
ce que je veux dire, c'est quand tu redirige un port sur le routeur, tu ne spécifie pas un logiciel comme sur le parefeu de windows mais un périférique. Sinon, oui, il y a des normes de ports (voir https://fr.wikipedia.org/wiki/Liste_de_ports_logiciels). Mais si tu n'utilise pas de host web, tu peut utiliser le port 80 pour autre chose.
Effectivement dans les Box tu redirige un service (ou application) sur l'adresse IP du NAS . Maintenant je pense que c'est une très mauvaise idée d'utiliser les ports par défaut pour autre chose . De mémoire si tu veux utiliser des ports exotique cela doit être compris entre 5000 et 65535. Sauf que Syno utilise déjà le 5000 et 5001.
 
NiKoLaKo a dit:
Invité a dit:
pour le partage avec mot de passe, le lien est bien sous le forme http://gofile.me/XXXXXXXX
Le lien est sous forme https://XXXX.synology.me/sharing/hdyjfkfu

Invité a dit:
Par contre, je ne suis pas sûr que le reverse proxy fonctionne sur un ddns comme synology.me
as tu essayé sans le reverse proxy
Non pas essayé. Je peux essayer de virer le DDNS, et utiliser mon ip fixe à la place.

Je testerai ce soir et si ça ne fonctionne tjs pas, j'essaierai de modifier le 5001 et d'ouvrir ce port dans la box.

je ne parle pas de virrer le ddns, mais le reverse proxy ;)
 
Alors si je vire le reverse proxy, plus rien ne fonctionne :
-Je suis incapable de me connecter avec DS File
- Incapable de me connecter depuis l'extérieur
 
pouir dsfile, comme je l'ai indiqué plusieur fois un peut plus haut, as tu pris un autre port que le 443
 
ah oui voilà...que je suis tête en l'air.

Donc là sans le reverse proxy, le DS file écoute sur le port 7243 (https) donc j'ouvre ce port dans mon NAS et le pare-feu.
Je viens de test un partage et ça fonctionne :) :)
le lien est de forme : https://XXXX.synology.me:7243/sharing/hdyjfkfu (y a le port maintenant)

C'est bien le reverse proxy et le XXXX.synology.me qui ne font pas bons ménage ?

Du coup, je me questionne sur l'intérêt du reverse proxy.
Je comprend que ça permet d'attribuer une adresse que je défini pour une ou plusieurs applications, et que ça permet de faire transiter tout ça vers un seul port (le 443)

C'est juste une question de confort alors ?
Ou alors niveau sécurité, c'est mieux de n'avoir qu'un seul port ouvert plutôt que plusieurs ? (car là si je veux accéder à DS Video ou DS audio, va falloir que j'ouvre leur port respectif)

Si j'ai bien compris, si je souhaite conserver le reverse proxy, je dois me prendre un nom de domaine. vrai ?
 
pour comprendre comment fonctionne un reverse proxy, sur internet, il y a des serveurs qui, quand tu rentre par exemple www.google.fr ou bien xxxxxx.synology.me, vont les transformer en ip, pour cela, il faut renseigner ces serveurs des ip et des domaines enregistré.
le nas dit à synology, lorsqu'un lien de type xxxxx.synology.me est saisie, il doit être renvoyé à l'adresse ip xxx.xxx.xxx.xxx, hors, je ne suis pas sûr que quand tu rentre dsfile.xxxx.synology.me, synology ne fasse pas le lien de "dsfile" + "xxxxx.synology.me", donc si il ne fait pas le lien de corrélation, pour lui le serveur est dsfile.xxxxxx qui en faite ne correspond pas à xxxxxx, donc pour lui, dsfile.xxxxxx n'existe pas et le nas ne recoie rien de synology.
Pour que cela fonctionne à coup sûr, on prend un nom de domaine type ovh ou l'on peut enregistrer monnas.fr et ou l'on peut ajouter dsfile.monnas.de ect..., et ovh se charge de dire à tous les serveurs d'internet que monnas.fr et dsfile.monnas.fr appartien à la même adresse ip et qu'il faut la renvoyer à cette adresse ip.

le reverse proxy est plutot fait changer l'adresse par défaut du lien, par exemple, si l'adresse du lien est du type monnas.fr:7777 ou monnas.fr/dsfile, pour la transformer en dsfile.monnas.fr. c'est purement estétique pour le client.

et non, encore une fois, cela ne permet pas de transiter tout vers le port 443, ce qui circule sur le port 443 est le cryptage du "s" de http, dit le https, pour faire une métaphore, dans https, il y a http et le s, donc le http dans ton cas prend le port 7243 et le s de https prend le port 443, donc 2 port utilisés.

si tu utilise le https sur toutes les application externe, il faut ouvrir le port 443 pour toutes les applications, puis un port différent pour chaque application.

exemple :
dsfile en https, ouvre port 7243 et port 443
dsvideo en https, ouvre port 7244 et port 443 par contre si le port 443 est déjà ouvert avec dsfile, plus besoin de refaire une redirection, puisque déjà fait
video station en https, ouvre port 7245 et port 443 par contre si le port 443 est déjà ouvert avec dsfile ou video station, plus besoin de refaire une redirection, puisque déjà fait

par contre, si on utilise seulement le http et pas le https, les port à ouvrir sont seulement les même sans le port 443, exemple :
dsfile en http, ouvre port 7243
dsvideo en http, ouvre port 7244
video station en http, ouvre port 7245

par contre, si on utilise le https, le nom du certificat doit correspondre au nom de ton site pour qu'il fonctionne correctement
 
Invité a dit:
et non, encore une fois, cela ne permet pas de transiter tout vers le port 443, ce qui circule sur le port 443 est le cryptage du "s" de http, dit le https, pour faire une métaphore, dans https, il y a http et le s, donc le http dans ton cas prend le port 7243 et le s de https prend le port 443, donc 2 port utilisés.

C'est ça qui m'échappe :s
Quand j'utilisai le reverse proxy, je n'avais que le port 443 d'ouvert, et DSfile, DSAudio et DSVideo fonctionnaient.

Invité a dit:
si tu utilise le https sur toutes les application externe, il faut ouvrir le port 443 pour toutes les applications, puis un port différent pour chaque application.
Oui je n'utilise que le https et en ce moment, je n'utilise plus reverse proxy, j'ai donc ouvert les ports 7243, 7244 et 7245 (le 443 est fermé) et ça fonctionne quand même. Est-ce que ça veux dire que je ne suis pas véritablement en https ?

En fait dans le portail des applications, on peux choisir 2 ports, 1 http et 1 en https, et je n'ai ouvert que les ports en https que j'ai défini.

PS: ne perd pas patience, je vais bien finir par comprendre :)
 
Invité a dit:
je ne suis pas sûr que quand tu rentre dsfile.xxxx.synology.me, synology ne fasse pas le lien de "dsfile" + "xxxxx.synology.me", donc si il ne fait pas le lien de corrélation, pour lui le serveur est dsfile.xxxxxx qui en faite ne correspond pas à xxxxxx, donc pour lui, dsfile.xxxxxx n'existe pas et le nas ne recoie rien de synology.

Quand j'utilisai le reverse proxy, dsfile.xxxx.synology.me:443, depuis un navigateur ou l'appli mobile, m'amenai bien directement à mon DSFile
Le soucis c'était les liens de partage qui ne fonctionnaient pas.
Il y avait aussi le soucis de certificat, mais c'est résolu ça en fait, comme tu le dit, il faut que l'adresse dsfile.XXXX.synology.me soit prise en compte dans le certificat, ce qui ne l'était pas...d'ou les messages d'alerte.