Aller au contenu

Messages recommandés

Posté(e)

Bonjour,

j'ai un certificat SSL Lets Encrypt qui fonctionne avec un nom de domaine acheté.

Pour l’application Smartphone DS Photo, je n'arrive pas à accéder en HTTPS (seulement le HTTP fonctionne)

Par contre les applications DS Audio et DS Video fonctionne bien en HTPPS.

Sans doute l'appli utilise QuicConnect et n'utilise pas mon Certificat Lets Encrypt avec mon nom de domaine ?

Avez-vous une idée ?

Merci pour votre aide.

 

Posté(e)

Bonjour Thierry,

merci pour ta réponse.

Voici mon message d'erreur côté du client smartphone Android dans DS Photo avec Quickconnect et ma config certificat côté serveur Synology.

Côté client DS Photo , en décochant la case à cocher HTTPS, tout fonctionne correctement.

Merci pour ton aide.

DSphoto_Error-01.jpg

Synology_Certificates-01.jpg

Posté(e)

Si tu as un nom de domaine tu n'as pas besoin de passer par quickconnect pour atteindre ton NAS. Il te suffit de renseigner la zone DNS chez ton fournisseur de ndd pour qu'il pointe vers ton NAS.
Si tu as une adresse ip dynamique ton fournisseur de ndd propose certainement un service de dynhost. Tu as quel fournisseur de ndd ?

Commence par mettre le certificat Let's Encrypt par défaut, vérifie qu'il est bien utilisé pour tes applications (bouton configurer pour avoir les associations certificat/application).

Le fait que ça marchait pour dsaudio et pas dsphoto c'est probablement parce que dans les paramètres de DSphoto il y avait la vérification du certificat d'activée (roue dantée en bas à gauche de l'écran de connexion)

Posté(e)

Bonjour Thierry, merci pour ta réponse.

1) Etape 1: Certificat sur Synology = OK réalisée

Certificat de "nom.mondomain.com" configuré par défaut

2) Etape 2 : DNS dynamique ?

Contact de mon fournisseur de service Internet

Réponse : ne propose pas de DDNS (il y a seulement DDNS SEC)

J'ai regardé pour NO-IP celui-ci semble compatible avec la BOX SFR que j'utilise 

dyndns-SFRBOX.JPG.12e2e6cdb48b240573b26c072850ed07.JPG

2) Etape 3 : Test sans résolution de nom : NOK

 J'ai tenté une connexion depuis DS Photo en renseignant l' @IP internet de ma BOX  (remplacement du Quickconnect et de mon nom de domaine)

J'ai l'erreur "Connexion : Echec de la connexion. Vérifiez si l'adresse IP est correcte ou si Phot Station a été correctement installé)

Donc déjà avant de résoudre la problématique du certificat associé à mon.nomdomaine.com avec Dynamic DNS, l'accès en pure IP devrait fonctionner (sans HTTPS)?

Je pense qu'il faut faire, une règle NAT sur la BOX pour diriger les requêtes de DS Photo sur le serveur Web DS Photo : comment faire ?

Ou alors utiliser le Proxy Inverse ? comment faire ?

Oubien combiné les 2 ?

Merci pour ton aide

je pense qu'il me manque plusieurs points à configurer

Posté(e) (modifié)

L'accès directe par l'adresse IP Internet de la box devrait fonctionner en http et/ou https (dès lors que les ports 80 et/ou 443 sont bien routés de la box vers le nas !

  • Assure toi que le port 443 est bien routé de la box vers le nas
  • Vérifie que le firewall du nas autorise bien le port 443
  • Essaye à partir d'un navigateur internet sur ton smartphone (en 4G) d'accéder à Photo Station  https://IPboxInternet/photo 

Le reverse proxy c'est une bonne idée car cela réduira le nombre de ports de ton NAS ouverts sur Internet … mais ça on ne le mettra en œuvre que quand tous les problèmes seront résolus

Modifié par Thierry94
Posté(e)

Bonjour Thierry,

1) Sur ma BOX, j'ai déjà réalisé du NAT:

  • Port 80 : Non redirigé pour raison de sécurité : je n'ai pas trop envie d'ouvrir ce port
  • Port 443: redirigé vers port 5001 du Synology afin de réaliser l’administration à distance

Comment peut-on faire pour rediriger en NAT le port affecté pour DSPhoto celui semble différent des ports utilisés pour les autres services ?

2) Test sur un SmartPhone en 4G sur https://mon_@IP_Externe_BOX\photo

- > Echec : voir copie d'écran après forçage de message d'avertissement sur certificat

DSPhoto-https_IP-01.jpg.22c18c3b12004f86ee94c0b92c7141b2.jpg

 

Merci pour tes réponses

Posté(e)

Mauvaise idée de faire l'administration du nas a distance via le port 5001 ouvert sur Internet ! Il est préférable de le faire au travers du vpn.

Photo Station est une application web, pas les autres, elle a donc besoin du port 443 mais comme tu l'as détourné  vers le 5001 elle ne peut plus marcher !

Posté(e)

Thierry,

merci pour tes recommandations.

Pour l'accès externe je sécurise en utilisant la double authentification par code (Google Authenticator) uniquement pour l'utilisateur équivalent Admin

Etape 1:

Pour encore augmenter le niveau de sécurité, je vais modifier les configurations d'accès d'Administration distante DSM en VPN au lieu du Web SSL (443)

Coté client, tu conseilles quel produit : OpenVPN ou autres (sans doute il est plus simple d'avoir un plugin client VPN dans un navigateur) ?

Remarque:

Sera-t-il toujours possible d'accéder à FileStation en Web via un navigateur ou cela n'est pas recommandé ? Car j'ai quelques utilisateurs nomades sur navigateur PC qui accédent à FileStation en mode Web en SSL 443 sans client VPN) ou alors il faut les forcer à utiliser un client VPN également ?

Etape 2:

Je vais reconfigurer PhotoStation pour accéder en SSL sur le Port 443 avec mon certificat  LetsEncrypt de mon domaine

 Etape 3:

Trouver une solution pour avoir une résolution de nom avec un service DynDNS sur mon @IP dynamique de mon fournisseur d'accès.

Connais-tu une solution gratuite (car mon hébergeur ne propose pas, même en option !) : No-IP ?

Il semble que le Synology dispose de ce service

Merci pour tes remarques

Posté(e)

fm76,

1) OpenVPN a le meilleur niveau de sécurité mais effectivement impose l'installation d'un client.
Oui tu pourras toujours autoriser l'accès File Station hors VPN en https par son numéro de port dédié (à router sur la box), le mieux étant encore de mettre en place le proxy inversé qui fera entrer les requêtes par un seul port le 443.

2) Tu pourras aussi gérer le photo station à travers le proxy inversé puisqu'il utilises déjà le 443.

3) Ce n'est pas le FAI qui proposera un dyndns mais le fournisseur de nom de domaine. Je peux te suggérer OVH qui pour quelques euros annuels te permet d'avoir un nom de domaine et met à dispo gratuitement un dyndns, Je préfère OVH qui est français à NO-IP …. ;-).

Posté(e)

Bonjour Thierry,

merci pour tes réponses précises.

Effectivement pour mon usage Interne et externe (partagé pour quelques utilisateurs) je pense reconfigurer le Synology pour utiliser le Reverse Proxy avec la totalité des services en 443.

Concernant le DYnDNS, étant donné que mon fournisseur de mon nom de domaine (identique à celui de mon FAI) ne propose pas ce service (même en option), j'ai trouvé l'astuce suivante qui fonctionne bien. J'utilise DynDNS de Synology (compte synology.me) associé avec un enregistrement CNAME dans ma zone DNS qui pointe sur un enregistrement de type A associé à mon NAS (hôte de mon nom de domaine). Cette config permet de continuer à utiliser le service client DDNS Synology sur mon @IP internet dynamique  mais sans utiliser le service pour les applications. Je publie alors aux utilisateurs externes l'URL correspondant à mon allias de mon nom de domaine (https://monnas.monnomdedomaine.com) tout en bénéficiant du certificat SSL (Let'sEncrypt) associé à mon nom de domaine.

Encore merci pour ton aide.

  • 1 mois après...
Posté(e)

Bonjour Thierry,

j'ai réalisé tes recommandations.

J'ai migré mon registar et mon hébergement chez OVH afin de bénéficier du DynHOST.

J'ai configuré le ReverseProxy du Synology (avec le Tuto de Kawamashi)

Voici le résultat:

Le fonctionnement est correct pour l'accès distant (mais avec l'option sous-domaine à la fin ? ):

https://www.monndd.fr/audio

https://www.monndd.fr/video

https://www.monndd.fr/file

J'aurai préféré le fonctionnement avec (comme déclaré dans ma zone DNS d'OVH en CNAME et dans les règles du ReverseProxy sur le SYNOLOGY😞

https://audio.monndd.fr

https://file.monndd.fr

https://video.monndd.fr

As-tu une idée ?

Merci pour ton aide.

 

Posté(e) (modifié)

Bonjour fm76,

Comme tu passes en reverse proxy tu peux retirer les alias sur les applications et ne laisser que les numéros de port en http (car utilisé uniquement sur ton réseau local par le reverse proxy).
Avec cela https://ndd.fr/audio ne fonctionnera plus et ce sera normal.

Ton certificat Let'sencrypt prend il bien en compte ton domaine ET tes sous-domaines ? sinon il faut en refaire un nouveau qui intègre le ndd et les sous-domaines

Quand tu dis que ça ne fonctionne pas avec les sous-domaines en tête quel est le message d'erreur ?

 

Modifié par Thierry94
  • 8 mois après...
Posté(e)

Ce qui est fou sur ce forum, c'est qu'une fois que les gens ont trouvé la solution, ils n'en font pas part aux autres!

Plusieurs fois que je trouve des questions au sujet du certificat SSL mais jamais de réponse à la fin!

Posté(e)

Je ne sais pas ce qui te fait penser que l'utilisateur a trouvé la solution à son problème, il n'a jamais pris la peine de répondre aux questions qui lui étaient posées.
La plupart du temps, les solutions ne sont pas apportées par le demandeur mais par ceux qui tentent de l'aider. Et généralement, si l'utilisateur trouve par lui-même, il indique soit la source de ce qui lui a permis de résoudre son problème, soit donne la solution directement.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.