Aller au contenu

Messages recommandés

Posté(e)

Bonjour,

Je dispose d'un DS216j et j'ai quelques questions concernant le partage de fichiers avec File Station.

> Je possède un nom de domaine acheté (nas.ndd.com).

> L'adresse "nas.ndd.com" pointe sur mon IP publique.

> Mon Nas est accessible, depuis l'extérieur, uniquement en passant par le serveur VPN intégré (merci à @Fenrir pour son tuto).
 

Dans le "Portail des applications", j'ai configuré un sous-domaine (files.ndd.com) pour qu'il pointe directement sur l'appli File Station.

Du coup, en tapant https://files.ndd.com, depuis l'extérieur, je tombe directement sur la page de connexion de File Station.

Mais lorsque je veux partager un fichier depuis l'appli File Station, j'obtiens un lien du type: "https://nas.ndd.com:PortDSM/sharing/xyxyxyx".  Ce qui est totalement incorrect...

Normalement, c'est l'adresse qui pointe vers File Station qui devrait apparaître (files.ndd.com) et non celle qui pointe vers mon IP publique...

Du coup, je suis allé dans "Accès externe" puis "Avancé" et j'ai entre le nom de mon sous-domaine "files.ndd.com" et le port 443.

Désormais, lorsque je partage un fichier, j'obtiens un lien du type: "https://files.ndd.com/sharing/xyxyxyx"


1) Pourquoi suis-je obligé de rentrer le nom du sous-domaine qui pointe vers l'appli File Station dans le menu "Accès externe/ Avancé" pour que mes liens soient corrects?
Normalement, l'appli File Station sachant que j'ai un sous-domaine qui pointe vers elle, aurait dû faire automatiquement le lien, non?

2) Lorsque je partage un lien du type "https://files.ndd.com/sharing/xyxyxyx", un petit malin peut raccourcir le lien et se connecter à File Station en utilisant le lien "https://files.ndd.com". Y a t-il un moyen d'éviter cela?


 

Dans l'attente de vos réponses.

Merci d'avance.

 

Posté(e)

1 - parce que si vous ne mettez pas de lien, le NAS donne par défaut son IP privée avec comme port le 5000 si vous êtes connecté en http ou le 5001 si vous êtes connecté en https. Il faut donc préciser quel ndd et quels ports.

2 - Bien sûr, mais c'est comme tout ndd, si vous le rentrez dans votre navigateur et que l'adresse peut être résolue, la page s'affichera. C'est à vous à mettre en place des mdp suffisamment forts et les blocages de protection sur les tentatives infructueuses. Je ne connais pas de possibilité de faire autrement.

Posté(e) (modifié)

Bonjour, @Stixen92

Je vais essayer de te donner quelques pistes de résolution de ton problème.

Tout d'abord as-tu suivi le tuto de Fenrir sur la sécurisation de ton NAS ? Sinon je te le conseille vivement c'est un préalable incontournable.

Ensuite, pour qu'une URL du type http:/file.ndd.com aboutisse en local, il te faut impérativement configurer un DNS local sur ton NAS. Voir le tuto correspondant.

Le 29/03/2020 à 10:13, Stixen92 a dit :

Du coup, je suis allé dans "Accès externe" puis "Avancé" et j'ai entre le nom de mon sous-domaine "files.ndd.com" et le port 443.

C'est pas bon ! A cet endroit tu dois entrer l'@IP externe de ton NAS donc en fait celle de ta box ou bien nas.ndd.com; les ports doivent être quant à eux ceux de DSM : 5000 http et 5001 https.

Après il te faut aussi configurer le proxy inversé pour les accès externes via le port 443. Voir le tuto correspondant.

Fais déjà cela et cela y ira surement mieux .... et on en reparle.

Cordialement

oracle7 😉

Modifié par oracle7
Posté(e)
il y a 9 minutes, oracle7 a dit :

C'est pas bon ! A cet endroit tu dois entrer l'@IP externe de ton NAS donc en fait celle de ta box ou bien nas.ndd.com; les ports doivent être quant à eux ils doivent être ceux de DSM : 5000 et 5001.

Désolé, mais ici on parle de création de lien de partages. Ces liens sont générés en fonction des informations données dans Accès externe, avancé.

Si le ndd et les ports sont ceux que vous indiquez, les liens seront créés avec le ndd et les ports 5000 ou 5001.

Posté(e)
Il y a 2 heures, Mic13710 a dit :

1 - parce que si vous ne mettez pas de lien, le NAS donne par défaut son IP privée avec comme port le 5000 si vous êtes connecté en http ou le 5001 si vous êtes connecté en https. Il faut donc préciser quel ndd et quels ports.

2 - Bien sûr, mais c'est comme tout ndd, si vous le rentrez dans votre navigateur et que l'adresse peut être résolue, la page s'affichera. C'est à vous à mettre en place des mdp suffisamment forts et les blocages de protection sur les tentatives infructueuses. Je ne connais pas de possibilité de faire autrement.

 

1) D'accord, c'est étrange que le créateur de liens de partage ne fasse pas le lien tout seul avec le sous-domaine (files.ndd.com) qui pointe vers File Station...

2) Dommage qu'il n'y ait pas de moyen d'empêcher l'affichage de la page...

 

Il y a 2 heures, oracle7 a dit :

Bonjour, @Stixen92

Je vais essayer de te donner quelques pistes de résolution de ton problème.

Tout d'abord as-tu suivi le tuto de Fenrir sur la sécurisation de ton NAS ? Sinon je te le conseille vivement c'est un préalable incontournable.

Ensuite, pour qu'une URL du type http:/file.ndd.com aboutisse en local, il te faut impérativement configurer un DNS local sur ton NAS. Voir le tuto correspondant.

C'est pas bon ! A cet endroit tu dois entrer l'@IP externe de ton NAS donc en fait celle de ta box ou bien nas.ndd.com; les ports doivent être quant à eux ceux de DSM : 5000 http et 5001 https.

Après il te faut aussi configurer le proxy inversé pour les accès externes via le port 443. Voir le tuto correspondant.

Fais déjà cela et cela y ira surement mieux .... et on en reparle.

Cordialement

oracle7 😉

Oui j'ai bien suivi le tuto de @Fenrir

Je n'ai pas de souci pour accéder, depuis l'extérieur, à File Station depuis https://files.ndd.com

Mais je me posais les 2 questions postées dans mon message initial.

 

-

Posté(e)
Il y a 4 heures, Mic13710 a dit :

Expliquez-moi comment un navigateur peut faire la différence entre https://file.ndd et https://file.ndd/sharing/abdcefg ?

Hein?
Non, en fait je souhaiterais qu'une page d'erreur ou qu'une page blanche apparaisse lorsque la personne va sur https://files.ndd.com

Vu que j'accède à mon NAS, depuis l'extérieur, en passant par le serveur VPN intégré, je n'ai pas besoin d'accéder à File Station via https://files.ndd.com

J'ai juste besoin de ce nom de domaine / lien pour partager des fichiers...

Posté(e)
il y a une heure, Stixen92 a dit :

Non, en fait je souhaiterais qu'une page d'erreur ou qu'une page blanche apparaisse lorsque la personne va sur https://files.ndd.com

Dans le Portail des applications il existe un onglet Profil de contrôle d'accès.
On peut créer un profil qui n'autorise que certaines IP uniques ou sous-réseaux, c'est ce qu'on appelle communément des ACL (Access Control List).
Il suffit d'autoriser les IP locales (LAN + VPN + localhost + etc..., s'inspirer du tutoriel de Fenrir sur la sécurité).
Ensuite, dans une entrée de proxy inversé, on peut utiliser un profil de contrôle d'accès.

Ainsi, même accessible depuis Internet, le proxy inversé bloquera la connexion en cas d'IP non reprise dans l'ACL.

Pour le lien partagé, @Mic13710 et @oracle7 ont déjà donné la réponse, le lien partagé prendra le ndd et le port utilisé au moment de la connexion. Si vous êtes donc connecté sur https://files.ndd.tld, le lien partagé reprendra la même forme.

Posté(e)

Salut @.Shad.

Comment mettre, dans le profil de contrôle d'accès crée, l'ensemble des IP que je veux autoriser? (mes IP locales et mes IP du serveur VPN intégré)?

Je n'ai pas réussi à le faire car pas possible de mettre une plage d'IP ou un masque réseau.

 

Le problème de cette méthode, c'est que les liens de partage ne fonctionnent plus pour les personnes en dehors de mon réseau local...

Moi, je veux juste interdire l'accès à la page de connexion de File Station depuis l'extérieur...

Posté(e) (modifié)

J'avais effectivement mal compris la question, non rien ne peut empêcher ça, du moins pas avec le proxy inversé du NAS.
Peut-être certains entête personnalisés pourraient te permettre de faire ça, mais je m'y connais pas assez pour t'aiguiller (tu peux chercher "reverse proxy headers").
Voir la réponse de @Mic13710 du coup :

 

Modifié par .Shad.
Posté(e)

Bonjour,

dans ce cas ne rien mettre dans le paramètrage DSM et laisser un lien gofile dans le partage. (ce qui suppose d'avoir un acces quickconnect mais limité au partage de fichiers)

 

Posté(e)

Ou alors, j'ai pensé à un filtrage des url file.ndd en éliminant celles provenant du WAN qui ne seraient pas de la forme file.ndd/sharing. Peut-être par un .htaccess ?

Posté(e)

Hello @Mic13710 oui en théorie.. Mais il faut jouer avec les fichiers de configuration nginx pour tenir compte d'un ht.access... pas des plus simples et surtout sensible à d'éventuelles mises à jour DSM.

Une autre solution est de mettre en partage les fichiers dans un dossier web du NAS.

Ainsi on peut y accéder via un lien du genre https://NDD/depot/nom_de_fichier.ext

on perd les avantages de fileStation de :

  • pouvoir le faire  où
  • d'avoir une journalisation
  • d'avoir un timelimit/connexion limite etc
  • et surtout (pour moi) la journalisation [via FileStation]

Bref tous les avantages... Mais au moins on peut faire une distanciation (c'est à la mode) entre le lien de partage et le NDD du NAS.

 

Posté(e) (modifié)

@DaffY

Salut,

Oui, je partage déjà, depuis un moment, des fichiers via un dossier web de mon NAS.
Le fichier est protégé par identifiant et un mot de passe encrypté dans un fichier.

Mais ce n'est pas aussi convivial que la fonction "Partage de liens" car, comme tu l'as dit, pas possible de voir qui accède au fichier et pas de limitation dans le temps de la validité des liens

Modifié par Stixen92
Posté(e)

Bonjour,

d'où ...

Le 01/04/2020 à 17:07, DaffY a dit :

dans ce cas ne rien mettre dans le paramètrage DSM et laisser un lien gofile dans le partage. (ce qui suppose d'avoir un accès quickconnect mais limité au partage de fichiers)

 

Posté(e) (modifié)
il y a 32 minutes, DaffY a dit :

Bonjour,

d'où ...

 

Mais j'avais lu, sur ce forum, qu'il était déconseillé de laisser QuickConnect activé et cela pour des raisons de sécurité.

 

-

Modifié par Stixen92
Posté(e)

Bonjour,

QuickConnect est une passerelle pour simplifier l’accès externe vers le NAS Synology.
Le client installé sur le NAS établit un lien selon le compte enregistré chez Synology.
En Europe le serveur est situé en Allemagne.
Lors d’un appel externe vers le ndd QuickConnect la bascule se fait alors vers le NAS visé.

Oui en terme de sécurité absolue, pour une liaison pleine comme la connections à dsm on passe par ce serveur en Allemagne.
Surtout si le protocole upnp est activé puisque à la manière d’un Skype, le NAS ouvre les ports de la box le temps de la liaison.
Donc en cas d'attaque type « man in the middle », le risque existe. (Mais on peut faire confiance aussi à Synology pour la surveillance faite sur leurs serveurs relais liés à leur business).
Bref, on désactive upnp on laisse routage actif actuel et, dans ma préco selon ta demande, on active ce process QUE pour le partage d’un lien.
Tout au plus peut il y avoir un délai un peu plus long dans le débit du fait du relais.... et encore c’est à vérifier.

Tout est question de risque et de choix....

  • Partage classique sur ndd ou sous domaine mais le quidam peut accéder à la porte de dsm ou d’un de ses services (ce que tu ne souhaites pas)
  • Partage sur ndd distinct façon virtual host, via le dossier web (perte de fonctionnalités liés à FileStation)
  • Partage via gofile selon QuickConnect activé QUE pour cela (passage via relais chez nos cousins germains)


Maintenant, si tu crains qu’une personne à la lecture d’un lien saches qu’elle peut accéder à ton NAS (enfin a une de ses portes d’entrée)
Elle peut aussi le faire via un nslookup du lien et repérer ton ip publique....

Enfin, si tu veux te rendre compte de la fréquence de tentatives de connexion erronées à ton NAS, tu mets en place une notification basée sur le journal du NAS (exemple mot clé failed to log).

 

Posté(e) (modifié)

Salut @DaffY

Si j'active QuickConnect uniquement pour le partage de liens:

1) Le NAS ouvrira certains ports sensibles pour le partage?

2) Pas de risque de me faire pirater?

 

3) A quoi correspondent ces 2 fonctions?

 

image.thumb.png.962c183d223f016b52458209ac2638a2.png

 

 Oui, j'ai déjà activé la notification par e-mail pour  "failed to log" 😉

EDIT:  QuickConnect ne fonctionne pas, je dois ouvrir les ports de DSM dans ma box et dans le pare-feu DSM?

EDIT2: QuickConnect fonctionne pour le partage de fichiers mais malheureusement le lien de partage "https://gofile.me/sharing/XYZ1" se transforme immédiatement en "https://files.ndd.com/sharing/XYZ1"

(Pour rappel, dans "Accès externe" puis "Avancé",  j'ai entre le nom de mon sous-domaine "files.ndd.com" et le port 443. De plus, "files.ndd.com" dirige vers File Station).

Vu que l'on voit mon nom de domaine, c'est donc inutile...

De plus, je ne comprends pas pourquoi je dois rediriger un nom de domaine vers File Station pour que le partage de liens via QuickConnect fonctionne... Je pensais que QuickConnect gérait tout tout seul...

 

 

Modifié par Stixen92
Posté(e)
il y a 58 minutes, Stixen92 a dit :

3) A quoi correspondent ces 2 fonctions?

Bonsoir,

La première sert à faire transité tout le traffic via les serveurs synology, sans ouvrir aucun port sur la box.

La seconde, sert si on a l'UPnP est activé sur le Routeur/Box opérateur (ce qui est une mauvaise idée) à ouvrir automatiquement les ports nécessaires. 

 

Posté(e)

Bonjour,

on reprend...

  1. Dans Panneau de configuration, acces externe onglet avancé : rien.
  2. Dans quickconnect on active seulement pour le partage de fichier avec relais coché seulement
  3. On accède au NAs via son NDD ou autre.. On partage un fichier le lien cré est de la forme https://gofile.me/6CNca/bWZWSlDue
  4. la personne qui accède au lien demeure via le partage de fichier gofile/quickconnect sans faire appel au NDD du NAS.

Je viens de le refaire en prenant soin de

  • creer un partage (sur un fichier jamais partagé AVANT cette manipulation)
  • utiliser le lien dans un navigateur "vierge" d'historique

 

Posté(e) (modifié)

Bonjour @DaffY

J'ai suivi toutes les étapes que tu as indiquées mais ça ne marche pas...

> Si je tente d'ouvrir le lien de partage depuis mon PC, connecté à un VPN (autre que celui de Synology) le lien https://gofile.me/sharing/XYZ se transforme en https://192.168.X.X:PORTDSM/sharing/XYZ

Donc ce n'est pas bon..

> Si je tente d'ouvrir le lien de partage depuis mon smartphone, connecté sur une IP externe (connexion 4G), cela charge puis j’obtiens le message d'erreur suivant: "Impossible de télécharger le(s) fichier(s)"...

Pas bon non plus....

Qu'est ce qui coince?

PS: J'ai crée le lien de partage en me connectant en local à File Station.

Modifié par Stixen92
Posté(e)

Et lorsque tu actives tout quickconnect ça fonctionne ou pas ?
genre via l'adresse quickconnect tu accédes à ton NAS ou pas ?

tu as mis en place un reverse proxy ?

 

Posté(e) (modifié)

@DaffY

J'ai activé tout QuickConnect.

En tapant l'adresse http://mon-nas.quickconnect.to/ :

> Celle-ci se transforme en https://192.168.X.X:PORTDSM   si je tente de me connecter depuis mon PC, via un VPN (non Synology).

> J'obtiens le message d'erreur "Impossible de se connecter à MON-NAS" si je tente de me connecter depuis mon smartphone via ma connexion 4G (IP externe).

 

Je n'ai pas mis en place de reverse proxy.

 

Modifié par Stixen92
Posté(e)
il y a 31 minutes, Stixen92 a dit :

En tapant l'adresse http://mon-nas.quickconnect.to/ :

> Celle-ci se transforme en https://192.168.X.X:PORTDSM  

C'est normalement ce que fait un Reverse prxy....

En situation normale NAS connecté à Internet et  routage à minima on accéde bien au NAS soit via son ndd soit via quickconnect si activé soit sous domaine si mis en place dans les portails. (hors situation de connexion full private via VPN serveur NAS) et sans qu'il y' ait de redirection DNS ou autre firewall d'activé stipulant une redirection.
Check toute ton installation/paramètrage j'ai comme l'impression qu'il y'a bien du routage particulier pour que cela soit transformé en ip privée locale....

 

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.