Partager fichier avec l'exterieur mais sécuriser page de login

[septeven]

Bonjour,

Travailleur autonome, j'ai besoin de partager des fichiers plutôt confidentiel avec mes clients.

J'ai pensé à créer un dossier dans lequel je placerai ces fichiers puis utiliserai le service de partage de fichier du Syno, protégé par un mot de passe. 

Le service de partage de fichiers donne une URL du type https://monsyno.synology.me:PORT/sharing/... (PORT = port différent de 5001, personnalisé sur mon routeur et que j'aurais voulu garder secret)

 

Jusque là tout va bien, l'accès au fichier est opérationnel. Le seul hic, c'est que si le client veut accéder à https://monsyno.synology.me:PORT/, il peut et il arrive donc sur ma page de connexion de mon NAS.

Mon mot de passe est fort, j'ai pas de doute là dessus, et je ne pense pas que mes clients iront faire les curieux, mais voilà, je n'aime pas ça, et je voudrais savoir si il y a une solution pour uniquement donner accès au fichier, mais pas à la page de connexion du NAS par exemple....

 

J'espère que je suis clair :) Merci d'avance.

[pluton212+]

Une idée spontanée: activer la double authentification en plus du mot de passe fort.

 

[unPixel]

Et le blocage auto  de l'IP qui tenterait de se connecter avec plusieurs essais infructueux en rentrant le mot de passe. Au moins, tu saurais aussi quel petit malin essaie d'aller là ou tu ne lui as pas demandé car en général, les personnes ne s'attendent pas à se faire bannir au bout par exemple de deux faux essais en trois minutes ;)

[Fenrir]

Avec le portail des applications tu peux configurer un port spécifique pour filestation, ça limitera au moins l'accès à cette seule application.

[septeven]

Merci à tous les trois - désolé pour la réponse tardive, je n'avais pas reçu de notifications et ne pensais pas avoir de réponses :)

Je vais voir du côté du portail des applications, je pense que cela m'ira très bien de configurer un port spécifique pour filestation.

[unPixel]

Bonjour,

Je viens de faire quelques tests pour toi et ma méthode fonctionne.

Règle ton reverse proxy pour avoir un lien qui ressemble à ça (file étant pour moi le raccourcis direct vers File Station) file.ndd.fr !

 

Ensuite, quand tu demandes un partage au NAS, celui ci va quand même te donner comme lien : https://ndd.fr:5001/sharing/CAyxTdOkY à partager sauf que lors que tu fourniras le lien à la personne, il te faudra le modifier à la main comme ceci :

Avant : https://ndd.fr:5001/sharing/CAyxTdOkY

Après : https://file.ndd.fr/sharing/CAyxTdOkY

J'ai juste enlevé le port dans l'url et ajouter file. au début.

Fonctionne parfaitement et même quand Firefox télécharge et qu'on lui demande l'adresse exacte du téléchargement, celui ci ne donne pas le port ;)

J'ai aussi essayé avec un gestionnaire  de téléchargement et pareil, je n'ai pas le port qui s'affiche dans l'url directe de téléchargement.

Modifié le 23 août 2017 par InfoYANN

[septeven]

Merci à toi!

Je n'ai jamais utilisé le reverse proxy, donc c'est vraiment l'inconnu

Je suppose bien que la configuration se fait dans cette fenêtre (cf pièce jointe) mais je ne sais pas comment la paramétrer, l'un de vous aurait-il un tuto, ou pouvez vous me guider un petit peu ?

Merci d'avance!

Modifié le 25 août 2017 par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension

[Mic13710]

Source :

Protocole : HTTPS

Nom d'hôte : file.monsyno.synology.me

Port : 443

Destination :

Protocole : HTTP

Nom d'hôte : localhost

Port : 5001

[septeven]

Merci mais malheureusement ça ne fonctionne pas - j'ai essayé ta configuration (en remplaçant évidemment le nom d'hôte par le mien), j'ai coché par contre les cases HSTS et HTTP/2, est-ce que cela peut poser problème ?

Pour rappel, j'ai un numero de port personnalisé qui redirige vers 5001, si cela peut aider à éclaircir le problème.

 

EDIT. De plus j'ai un problème, à chaque fois que je modifie ma règle de proxy inversé, et que je valide le changement, il me m'indique une erreur en rouge "Certains paramètres ne sont pas valides, saisissez-les à nouveau" et, je dirais une fois sur deux, me déconnecte de DSM avec un message "Vous n'êtes pas autoriser à utiliser ce service". Malgré l'erreur en rouge, DSM a quand même sauvegardé mes modifications... 

Modifié le 25 août 2017 par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension

[Fenrir]

Il y a une coquille dans la réponse de @Mic13710, si tu choisis HTTP dans la destination du reverse proxy il faut utiliser le port correspondant (5000 par défaut, pas 5001).

Mais si tu commences à utiliser le reverse proxy, il vaut mieux le configurer pour toutes les applications que tu utilises depuis Internet, ce qui implique généralement d'avoir son propre nom de domaine pour créer des trucs type :  file.exemple.fr, video.exemple.fr, ...

=>c'est ce qui explique le problème de ton EDIT

Dans ton cas, pour ta demande, comme tu utilises un truc type synology.me, atribuer un numéro de port à filestation est le plus simple (avec ou sans le reverse proxy, mais si c'est avec le reverse proxy, il faut le faire sur un port différent de celui de DSM).

[septeven]

Je comprends, mais ça me dépasse - j'ai essayé en remplaçant le 5001 par 5000, toujours impossible d'y accéder. J'ai ensuite supprimer ce reverse proxy, essayer d'activer un domaine personnalisé pour filestation (je suppose que c'est cela dont tu parles), du type file.mondomain.synology.me, impossible d'y accéder également. Faut-il alors cocher "Activer un port personnalisé (HTTPS)" et si oui, comment dois-je procéder pour gérer la redirection avec le routeur... (et ces déconnections à chaque sauvegarde de paramètre me rendent fou :p)

Modifié le 25 août 2017 par Mic13710
inutile de répéter le message précédent si ça n'apporte rien de plus à la compréhension

[Mic13710]

 

J'ai effectivement fait une erreur. C'est le 5000 pour le HTTP et non le 5001. Merci à Fenrir de s'en être aperçu.

il y a 55 minutes, septeven a dit :

j'ai coché par contre les cases HSTS et HTTP/2, est-ce que cela peut poser problème ?

C'est effectivement un problème car incompatible avec le reverse proxy. Voir le tuto de Fenrir sur le serveur DNS.

H.S. : Prière de tenir compte des remarques que je vous fait sur vos messages : il est inutile de répéter le message précédent. Ca rempli les posts sans aucun intérêt pour la compréhension.

[Fenrir]

il y a 3 minutes, septeven a dit :

file.mondomain.synology.me

Ce domaine renvoi bien sur ton nas ?

--

Tu essayes de faire trop compliqué pour le moment.

Si tu n'as pas de nom de domaine acheté, oubli le reverse proxy

Si tu veux aller plus loin, tu peux aller faire un tour dans les tuto comme indiqué par Mic

ps : l'HTTP/2 et le HSTS ne gênent pas ici et c'est bien compatible avec le reverse proxy, c'est la redirection HTTP->HTTPS de DSM qui ne l'est pas

[Mic13710]

@FenrirJe sais pour le HTTP vers HTTPS, mais je pensais que le HSTS était aussi bloquant.

[Fenrir]

Le HSTS c'est un paramètre qui demande au navigateur de ne plus revenir sur le site en HTTP, mais uniquement en HTTPS, c'est tout

[septeven]

il y a 8 minutes, Fenrir a dit :

Ce domaine renvoi bien sur ton nas ?

Depuis l'extérieur, mondomain.synology.me renvoie vers mon NAS (c'est comme ça que je partage entre autre mes fichiers jusqu'à maintenant en ajoutant le port personnalisé), par contre en local, ça m'amène à la page de login de mon routeur (en fait toute adresse du type blablabla.mondomain.synology.me où blabla peut-être n'importe quoi dirige vers mon routeur lorsqu'entrée en local)

OK pour les tutos, je vais chercher ça - il y a un tuto qui explique comment gérer ça sans reverse proxy ?

 

[Fenrir]

il y a 23 minutes, septeven a dit :

par contre en local, ça m'amène à la page de login de mon routeur

Donc pas de loopback sur ton routeur et pas de DNS en interne => le TUTO Serveur DNS peut t'aider pour ça (juste les 2 premières partie, arrêtes toi au rouge) à la condition que ton routeur permette de configurer les serveurs DNS à utiliser.

il y a 23 minutes, septeven a dit :

il y a un tuto qui explique comment gérer ça sans reverse proxy

=> https://mondomain.synology.me:7243 renverra sur filestation et uniquement filestation sera accessible sur ce port

Les liens de partage seront du type : https://mondomain.synology.me:7243/sharing/y3Zu7ej7E

Bien sur si ton client entre http://mondomain.synology.me:XXX (avec XXX le port de DSM), il tombera toujours sur la page d'accueil de ton nas (qui ne devrait de toute manière pas être autorisée depuis Internet).

Modifié le 25 août 2017 par Fenrir