Aller au contenu

DS712+ DSM6.22 - Configuration SFTP - Activation Chiffrage FTP SSL/TLS


DomC

Messages recommandés

Bonjour,

je remplace un serveur FTP en bout de course par un DS712+ qui malgré tout en encore en plein e forme.

Lorsque j'active le service FTP,  pas de problème, la connexion ce fait, mais non sécurisée.

lorsque j'active SFTP sur le port 22, plus de connexion possible !

via fileZilla, le message d'erreur est :

Statut :    Connexion à ftp.XXXXXX.fr...
Réponse :    fzSftp started, protocol_version=9
Commande :    open "user@ftp.XXXXXX.fr" 22
Erreur :    FATAL ERROR: Network error: Connection refused
Erreur :    Impossible d'établir une connexion au serveur
Statut :    Attente avant nouvel essai...

de même, lorsque je veux activer le chiffrage FTP SSL/TLS, avec le message (via FileZilla toujours)

Statut :    Résolution de l'adresse de ftp.XXXXXX.fr
Statut :    Connexion à AAA.BBB.CCC.DDD:21...
Statut :    Connexion établie, attente du message d'accueil...
Statut :    Initialisation de TLS...
Statut :    Vérification du certificat...
Statut :    Connexion TLS établie.
Statut :    Le serveur ne supporte pas les caractères non-ASCII.
Statut :    Connecté
Statut :    Récupération du contenu du dossier...
Commande :    PWD
Réponse :    257 "/" is current directory.
Commande :    TYPE I
Réponse :    200 Type set to I.
Commande :    PASV
Réponse :    227 Entering Passive Mode (AAA,BBB,CCC,DDD,XXX,YYY)
Commande :    MLSD
Erreur :    La connexion des données ne peut pas être établie : ECONNREFUSED - Connexion refusée par le serveur

l'adresse en passive mode est l'adresse fixe de l'entreprise

quelqu'un aurait il une idée de comment résoudre ces problèmes ?

en vous remerciant par avance.

Lien vers le commentaire
Partager sur d’autres sites

Le service SFTP sur DSM 6.2.2 et plus est limité aux utilisateurs administrateurs. Ce qui est en soit un réel problème.
Tu peux trouver des pistes concernant ce problème dans ce sujet de discussion.

Essaie avec un compte appartenant au groupe admin du coup.

Un tutoriel ici, je n'ai jamais testé, à voir donc https://www.synology.com/en-global/knowledgebase/DSM/tutorial/File_Sharing/How_to_access_files_on_Synology_NAS_via_FTP#t2_5

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

il y a 14 minutes, .Shad. a dit :

Le service SFTP sur DSM 6.2.2 et plus est limité aux utilisateurs administrateurs. Ce qui est en soit un réel problème.
Tu peux trouver des pistes concernant ce problème dans ce sujet de discussion.

Essaie avec un compte appartenant au groupe admin du coup.

Je suis désolé de te contredire mais j'ai DSM 6.2.2-24922 Update 4 et je me connecte en SFTP avec un utilisateur sans privilèges administrateur.

Modifié par bouks
Lien vers le commentaire
Partager sur d’autres sites

il y a 6 minutes, bouks a dit :

Je suis désolé de te contredire mais j'ai DSM 6.2.2-24922 Update 4 et je me connecte en SFTP avec un utilisateur sans privilèges administrateur.

J'avais édité mon post entre temps, personnellement je n'ai jamais réussi à m'y connecter autrement qu'avec un compte administrateur.
Si tu as une procédure à suivre ça m'intéresse.

Lien vers le commentaire
Partager sur d’autres sites

il y a 8 minutes, bouks a dit :

Non aucune. Je pense que tu fais l'amalgame entre SSH "pur" et SFTP sans accès au shell.

Je me suis effectivement trompé de lien dans mon post. 😛 
En revanche j'utilise Duplicati (un logiciel de sauvegarde) sur un mini-pc serveur, celui-ci n'a jamais réussi à se connecter à DSM en SFTP pour effectuer ses backup autrement qu'avec root ou avec un utilisateur administrateur.
Je me tape systématiquement un timeout lorsque j'essaie.

L'utilisateur dédié avait bien les droits sur les dossiers, et les applications autorisées suivantes : FTP, rsync (dans le doute), Filestation, DSM.
Pour moi ça aurait dû marcher.

Bref je ne vais pas polluer le sujet de notre ami, son problème se situe peut-être bien ailleurs.

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

@.Shad.

Mais pour ton accès SSH, je pense que tu peux aller changer AllowTcpForwarding à "yes" dans:
/etc/ssh/sshd_config

ou spécifier les utilisateurs qui y ont droit avec Match (cf les dernières lignes du fichier de conf qui autorise root et admin)

Modifié par bouks
Lien vers le commentaire
Partager sur d’autres sites

Ca ne me dérange pas de ne pas pouvoir accéder au SSH du NAS autrement qu'avec des utilisateus avec des privilèges administrateurs.
En revanche pour le SSH je viens de retester avec un utilisateur basique et ça fonctionne, je pense donc que j'avais mal géré mes autorisations de protocole pour l'utilisateur dédié aux sauvegardes.

Merci !

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Je reviens sur le sujet :  le port 22 est bien routé sur mon Firewall !

Après avoir fait des tests via FilezIlla et WinSCP,  on n'arrive pas à se connecter, que ce soit en SFTP ou FTPS  ...

pour SFTP le retour est :

The server rejected SFTP connection, but it listens for FTP connections.

et là ... le désespoir s'installe 😉

Je complète un peu les infos :

le service SSH est activé dans l'onglet "Terminal & SNMP"

image.png.cbf66450ad1889a4e16ed572ee2bf1bf.png

et au niveau du FTP :

image.png.b5d24e146c100dfa97dae904042fe515.png

 

image.png

Lien vers le commentaire
Partager sur d’autres sites

Je ne vois pas. Il faudrait aller voir dans les différents logs qui peuvent être concernés (genre auth.log ou syslog) s'il y a plus de détails. Sinon créer un ticket chez Synology. Ils pourront se connecter à ton NAS en SSH et vérifier eux-même directement.

Il y a 5 heures, DomC a dit :

le port 22 est bien routé sur mon Firewall !

Vers la bonne machine ? 🙂

Lien vers le commentaire
Partager sur d’autres sites

Le 29/01/2020 à 18:02, bouks a dit :

Vers la bonne machine ? 🙂

j'espère que l'ingénieur réseau que j'ai fait intervenir sait ce qu'il fait !!! 😉

plus sérieusement : oui, vers la bonne machine,on a fait un test de connexion via "putty" et ça fonctionne bien.

je vais voir les logs.

Lien vers le commentaire
Partager sur d’autres sites

Hello,

un petit point de retour sur ce poste !

En effet, le problème venait bien de la redirection du port 22 dans mon FireWall !

L'ingénieur réseau est revenu pour une 2ème passe, et tout est résolu !

Merci à vous pour l'assistance !

Lien vers le commentaire
Partager sur d’autres sites

Le 31/01/2020 à 08:58, DomC a dit :

j'espère que l'ingénieur réseau que j'ai fait intervenir sait ce qu'il fait !!! 😉

 

il y a 3 minutes, DomC a dit :

En effet, le problème venait bien de la redirection du port 22 dans mon FireWall !

L'ingénieur réseau est revenu pour une 2ème passe, et tout est résolu !

😄 

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, DomC a dit :

En effet, le problème venait bien de la redirection du port 22 dans mon FireWall !

L'ingénieur réseau est revenu pour une 2ème passe, et tout est résolu !

C'est étonnant. Parce que moi je cherche des clients qui ont besoin de services sans 2ème passe.

Lien vers le commentaire
Partager sur d’autres sites

Le 06/02/2020 à 18:33, bouks a dit :

C'est étonnant. Parce que moi je cherche des clients qui ont besoin de services sans 2ème passe.

😁 😆

Sans vouloir l'excuser, il ne maitrisait pas le firewall installé chez nous, la 2ème passe était avec une de ses collègues qui a fixé rapidement le problème.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.