Ds photo en https

[Chrisyno]

Hello ,

J'ai un petit stress au niveau de la sécurité de mon nas :s

J'ai enfin réussi a utiliser mon nas en https a l'aide de mes certificats valide. Malheureusement je n'arrive juste pas a utiliser le https avec l'application Ds photo. En effet à l’extérieur je peux me connecter à l'aide de  l'application mais si j'active le https il me donne une erreur du genre : echec de la connexion. Verifiez si l'adresse ip est correcte ou si photo station a été correctement installé :s

Avez-vous une idée?

J'ai redirigé le port 443 de ma box vers le port 5001 , et le 80 vers le 80

 

Merci d'avance

[pluton212+]

Salut,

par défaut PhotoStation utilise le port https 443.

Ça peut se changer dans les paramètres de l'application.

Donc la redirection c'est 443 vers syno 443.

Modifié le 17 août 2017 par pluton212+

[Chrisyno]

Hello ,

Effectivement ca marche si je fais ca :D

Mais je ne suis pas sur de bien comprendre le routage des ports de mon syno...

Moi je pensais que je devais obligatoirement ouvrir le 443 sur ma box et le rediriger vers le 5001 du syno sinon quand je tape mon ddns genre ddns.synology.me comment il peut s'avoir qu'il doit me rediriger vers l'interface dsm (5001) ?

 

thx

[Mic13710]

Photo station utilise le 80 et le 443 par défaut. Le 5001 c'est le DSM. Il n'est d’ailleurs pas conseillé d’y accéder de l'extérieur mais si vous y tenez, vous dirigez le 5001 du routeur vers le 5001 du NAS et vous y accédez avec https://ddns.synology.me:5001

[Chrisyno]

Hello,

Merci pour ces précisions...

Je vais donc désactiver le 5001...

J'utilise un reverse proxy grâce à dsm, du coup j'imagine que le redirection ne marcheront plus?

@++

[Mic13710]

Tout dépend des redirections et pour quelles applications. Si vous utilisiez le 5001 dans le reverse proxy et que vous le fermez au niveau du routeur, il faudra bien entendu modifier les ports en conséquence.

Pour ma part, je n'utilise que le 443 et des noms de domaine pour accéder à mes applications. J'ai abandonné le 80. Pour l'accès à DSM de l'extérieur, je passe par le serveur VPN du NAS, beaucoup plus sécurisé que le 5001.

[unPixel]

Bonjour,

 

En passant uniquement par le port 443 en faisant comme tu fais Mic via le reverse proxy, tu peux te permettre de bloquer le 5001 dans le routeur (ne pas l'activer en tout cas) ?

 

Edit : je me réponds à moi même. Non pas possible. J'ai essayé de désactiver mon port et je n'ai plus accès à mon NAS via les applications sur smartphone.

 

Modifié le 18 août 2017 par InfoYANN

[Mic13710]

il y a 42 minutes, InfoYANN a dit :

Edit : je me réponds à moi même. Non pas possible. J'ai essayé de désactiver mon port et je n'ai plus accès à mon NAS via les applications sur smartphone.

Oui, c'est tout à fait possible. Mais il faut préciser le port dans les applications DS. Par exemple : video.mondomaine:443

[unPixel]

j'ai effectivement essayé avec le 443 mais sans le video. ou cal. etc...

Je vais refaire l'essai et viendrait éditer ma réponse ;)

Merci à toi en tout cas.

 

Edit : ça fonctionne en effet mais pas complètement.

J'ai par exemple l'application DS Finder qui ne fonctionne pas car elle je pense passe forcément par le 5000 ou 5001.

Modifié le 18 août 2017 par InfoYANN

[Mic13710]

il y a 52 minutes, InfoYANN a dit :

 

Au passage, il est inutile avec une source en https de mettre une destination en https car dans ce cas vous faite un double chiffrage.

Par exemple Note Station : Source : https://note.votredomaine.fr, Destination : http://localhost:(le port http de notestation dans le portail des applications)

Par contre, il ne faut pas modifier la destination du routeur qui je suppose n'est accessible qu'en https

[unPixel]

Il faut que je réessaie ça car au début j'avais mit comme ça mais je ne sais plus pour quelle raison, ça ne passait pas :(

Je vais refaire  des essais comme tu dis. Merci

 

Et oui, le routeur passe par du HTTPS avec certificat aussi.

Edit : Je confirme que ça ne fonctionne pas avec cette config là :

 

 

Modifié le 18 août 2017 par InfoYANN

[Fenrir]

Je t'avais mis une des cibles (je ne sais plus laquelle) en https car ça ne marchait pas pour cette appli en particulier, pour celles qui fonctionnent en http il faut laisser en http.

[unPixel]

Oui je sais Fenrir, c'était pour les mails. Mais pour le reste, c'est pareil maintenant. Est-du au faite  que je passe tout par le 443 pour éviter de taper le port 5001 dans l'url ?

[Fenrir]

Si tu transferts le port X sur ta box, ne mets derrière le port X que les applications que tu souhaites rendre accessible depuis Internet.

Le port permettant d'administrer le NAS (le 5001 par défaut) ne devrait jamais être accessible depuis Internet.

[Mic13710]

N'y aurait-il pas une redirection du HTTP vers le HTTPS dans les paramètres du NAS ?

[unPixel]

Oui, le HTTP est automatiquement redirigé vers le HTTPS par sécurité. Fallait pas ?

Ah, je suis retourné sur le tuto de Fenrir et en effet, il le déconseille.

A l'époque, je n'utilisais pas encore de reverse proxy donc je l'avais activé par défaut.

 

@ Fenrir : pas tout compris.

Pour toi, je ne devrais pas accéder à mon nas depuis le port 5001 (qui en réalité est un autre port) mais plutôt ouvrir les ports qui concerne mes applications comme le 8800 pour l'audio par exemple.

C'est bien ça qu'il faut que je comprenne ?

[Mic13710]

il y a 21 minutes, InfoYANN a dit :

Oui, le HTTP est automatiquement redirigé vers le HTTPS par sécurité. Fallait pas ?

Peut-être que je me trompe mais en gros, votre reverse proxy cherche à se connecter en http, mais le NAS au mieux le transfert sur le port https défini dans les paramètres (5001), au pire sur rien du tout puisque aucun port n'est activé pour le https de l'application (votre capture ci-dessus). Donc ça ne peut pas fonctionner. En enlevant la redirection http -> https vous devriez pouvoir utiliser le http dans le reverse proxy.

[unPixel]

Ok merci à toi Mic (on peut se tutoyer si ça te dérange pas. Ce n'est pas irrespectueux). Je tente ça dans la soirée.

[Chrisyno]

Hello ,

Bon moi je suis complètement perdu :-(

Pour résumer il est déconseillé d'ouvrir le port 5001 de la box. Il faudrait donc juste ouvrir le port 443 qui est redirigé vers le port 443 du syno...

Donc quand on tape https://test.synololgy.me il va directement se connecter sur l'adresse local genre 192.192.1.1:443
Le souci c'est que je voudrais pouvoir me connecter a ma box domotique qui utilise le port 80 ou 443 ... J'utilise donc l'outil proxy inversé du syno.

Il faut désacivé le redirection http vers https automatiquement d'apres les commentaires plus haut?

J'ai configuré  la redirection du proxy sur le port 5001 qui est une mauvaise idée si je comprend bien? Vous me conseillez de mettre quoi alors?
Merci d'avance :D

[Fenrir]

@chris ibiza : http://www.nas-forum.com/forum/topic/55206-tuto-dns-server/?page=2&tab=comments#comment-1319320379

il y a 10 minutes, chris ibiza a dit :

Il faut désacivé le redirection http vers https automatiquement d'apres les commentaires plus haut?

oui, il faut désactiver la case, elle entre en conflit avec le reverse proxy

[Chrisyno]

Merci beaucoup :D
je pense mainteant que ca marche ...

Pour résumé j'ai juste ouvert le 443 qui redirige sur le 443 du nas .
J'avais fait 2 erreurs :

-Redirigé automatiquement http vers https (je l'ai donc désactivé maintenant )

et la 2éme erreur, dans les paramètres du reverse proxy j'avais redirigé la source ( reverseproxy.monadresse.syno.me ) sur le port 5001 hors il n'est plus activé dans ma box ! J'ai donc enlevé le port 5001 que j'ai remplacé par le port 443...

Maintenant pour avoir acces a dsm j'utilise openvpn...

Merci en tout cas :D