Aller au contenu

Messages recommandés

Bon jour à tous 🙂

Mon installation se poursuit. J'ai suivi les tutos conseillés pour ceci. : sécurisation et mise en place d'un reverse proxy. Tout est opérationnel semble-t'il 🙂 

En utilisant DS File, si j'e comprends bien, il faut passer en mode "données mobile" car le revers proxy ne fonctionne pas en local (loopback de la box). Ceci est opérationnel également.

Ma question : comment faire pour pouvoir accéder au NAS en mode wifi avec DS File - limite frais et meilleure qualité de signal chez moi ?

Je vous souhaite une bonne journée.

Amicalement
PascalG

Lien vers le commentaire
Partager sur d’autres sites

DS File fonctionne tout à fait correctement en local.
Mais pour y accéder, et si tu veux t'affranchir des problèmes de loopback, il faut mettre en place un serveur DNS local.
Si pas de loopback sur ta box, tu passeras pas Internet pour accéder à tes ressources localement.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, .Shad. a dit :

DS File fonctionne tout à fait correctement en local.
Mais pour y accéder, et si tu veux t'affranchir des problèmes de loopback, il faut mettre en place un serveur DNS local.
Si pas de loopback sur ta box, tu passeras pas Internet pour accéder à tes ressources localement.

Je me suis mal exprimé : DS File me permet sans pb l'accès à NAS en passant par Internet (données mobile). Par contre c'est en WiFI que je n'y parviens pas.
La solution du DNS me fera perdre l'accès à mon décodeur TV (livebox5) si j'ai bien compris sauf à me lancer dans une configuration avec switches administrables. voir ici.

Je ne me sens pas suffisamment confiant encore coté technique pour me lancer dans ceci, pour le moment.
Merci à toi 🙂

Il y a 6 heures, oracle7 a dit :

@pascalg57

Bonjour,

As-tu essayé en rajoutant  le port 443 à ton URL de connexion ? L'ajout du port est obligatoire avec les applis "DSxxxx" depuis un smartphone.

Sinon en local avec le reverse proxy tu rediriges bien vers "http://localhost:7000" ?

Cordialement

oracle7😏

Je me suis mal exprimé : DS File me permet sans pb l'accès à NAS en passant par Internet (données mobile) avec l'ajout effectivement du port. Par contre c'est en WiFI que je n'y parviens pas.

Par contre j'ai dû rater qq chose : c'est quoi cette redirection http://localhost:7000 ? stp 🙂

Lien vers le commentaire
Partager sur d’autres sites

@pascalg57

Bonjour,

Effectivement j'en ai oublié en route : je voulais dire as-tu fais dans le reverse proxy une redirection du type "https://file.ndd.tld" vers "http://localhost:7000" ? "localhost:7000" correspond dans ce cas à l'application "FIle Station" (c'est elle que tu accèdes en fait depuis ton smartphone en utilisant DSFile). La redirection elle, peut être utilisée en local mais pas que, aussi de l'extérieur depuis un navigateur Web par ex en tapant simplement "file.ndd.tld".

Cordialement

oracle7😏

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, pascalg57 a dit :

La solution du DNS me fera perdre l'accès à mon décodeur TV (livebox5) si j'ai bien compris sauf à me lancer dans une configuration avec switches administrables. voir ici.

Je ne vois pas forcément le lien entre la proposition et ce que cela pourrait apporter comme problématique. 
 

Quoi qu’il en soit Pas nécessairement. Lors de la mise en place d’un DNS local, tu peux spécifier à quelle périphérique cela s’applique. Tu pourrais donc exclure ton lecteur TV. 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, Vinky a dit :

Quoi qu’il en soit Pas nécessairement. Lors de la mise en place d’un DNS local, tu peux spécifier à quelle périphérique cela s’applique. Tu pourrais donc exclure ton lecteur TV. 

Je découvre totalement l'univers du NAS. Je suis convaincu qu'il existe plusieurs solutions souvent à une problématique. Quoiqu'il en soit j'essaie surtout de comprendre ce que je fais et les propositions postées. 
Ma source initiale reste le tuto conseillé (ici "reverse proxy") si une notion n'y est pas abordée explicitement (par ex ici "exclusion d'un périphérique", je rame comme un malade.

Ainsi ta proposition d'exclure le décodeur TV me parait simple et évidente dans l'esprit. Mais comme j'ai lu par ailleurs que la mise en place du DNS générait ce souci de reconnaissance de décodeur, je ne sait plus ni où ni quoi faire.

Je vais avancer pas à pas et reviendrais vers vous une fois résolu un pb de certificat. Je poste ci-après ce qui bloque si tu veux jeter un oeil.

Merci déjà et bon we

 

Il y a 17 heures, oracle7 a dit :

@pascalg57

Bonjour,

Effectivement j'en ai oublié en route : je voulais dire as-tu fais dans le reverse proxy une redirection du type "https://file.ndd.tld" vers "http://localhost:7000" ? "localhost:7000" correspond dans ce cas à l'application "FIle Station" (c'est elle que tu accèdes en fait depuis ton smartphone en utilisant DSFile). La redirection elle, peut être utilisée en local mais pas que, aussi de l'extérieur depuis un navigateur Web par ex en tapant simplement "file.ndd.tld".

Cordialement

oracle7😏

Je suis perdu 😞 😞 😞
J'ai fait trop de choses nouvelles en peu de temps et ça se mélange un max !

En fait je m'aperçois que en LOCAL, j'ai un souci de certificat car avec Firefox, lorsque je me loggue pour la première fois à DSM (après réation du certificat) j'ai un msg d'alerte avertissant d'un pb de certificat. En passant outre j'arrive sur DSM. A la connexion suivante, plus de message et donc je croyais que c'était OK or c'est faux.

En prenant le pb par un bout pour tenter d'y voir clair :  avec DS File via internet, tout est ok. Avec DS File via WiFI il n'annonce un souci de certificat (comme avec Firefox)

Pourquoi en local ai-je ce pb de certificat ? où chercher ?

il me semble qu'il faut trouver ce qui coince peut-être avant de poursuivre avec  "une redirection de "https://file.ndd.tld" vers "http://localhost:7000""
Le certificat a été rédigé ainsi : fichiers.ndd.tld ; ndd.tld
voici comment est configuré mon reverse proxy, et voici mon certificat par défaut.

 

certif.jpg

reverse.jpg

reverse2.jpg

Lien vers le commentaire
Partager sur d’autres sites

@pascalg57

Bonjour,

Je vois que tu as changé pour l'application FileStation  le port 7000 en 45002. Pourquoi pas même si cela n'apporte rien de plus au niveau sécurité sinon retarder d'une minute tout au plus une éventuelle attaque. Ceci dit, il te faut alors être cohérent et donc as-tu aussi affecté ce port 45002 à FileStation dans l'onglet Application ?

Il y a 2 heures, pascalg57 a dit :

En prenant le pb par un bout pour tenter d'y voir clair :  avec DS File via internet, tout est ok. Avec DS File via WiFI il n'annonce un souci de certificat (comme avec Firefox)

Pourquoi en local ai-je ce pb de certificat ? où chercher ?

  • Il te faut, vider le cache de ton navigateur Web et te reconnecter à ton NAS pour que le navigateur Web prenne en compte ton certificat.
  • As-tu aussi quand même essayé d'ajouter à l'URL de connexion le port 443 ? en principe en local, il n'y a pas besoin mais ...

 

Il y a 2 heures, pascalg57 a dit :

Ainsi ta proposition d'exclure le décodeur TV me parait simple et évidente dans l'esprit. Mais comme j'ai lu par ailleurs que la mise en place du DNS générait ce souci de reconnaissance de décodeur, je ne sait plus ni où ni quoi faire.

Je ne pense pas que ce soit un problème de DNS pour ton décodeur. Je serais d'ailleurs curieux de voir où tu as lu cela. Bref, pour que ton décodeur TV Orange fonctionne, saches qu'il a besoin de communiquer directement (en IGMP) avec la LiveBox (d'où la nécessité de le raccorder DIRECTEMENT à la Livebox à moins que tu ne passes par des switch IGMP administrables connectés à ton routeur) car il lui faut pouvoir obtenir son @IP (et donc les DNS de celle-ci) par le DHCP de la Livebox d'une part et d'autre part il a besoin de ports (8443, 27661 & 50999) qui sont eux ouverts automatiquement lors de cette communication via le service UPnP de la Livebox.

Cordialement

oracle7😏

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, oracle7 a dit :

@pascalg57

Bonjour,

Je vois que tu as changé pour l'application FileStation  le port 7000 en 45002. Pourquoi pas même si cela n'apporte rien de plus au niveau sécurité sinon retarder d'une minute tout au plus une éventuelle attaque. Ceci dit, il te faut alors être cohérent et donc as-tu aussi affecté ce port 45002 à FileStation dans l'onglet Application ?

C'est en suivant à la lettre le tuto Reverse Proxi que j'ai opté pour le changement de port (afin d'éviter toute éventuelle interprétation mauvaise de ma part). J'ai bien affecté le port 45002 dans le portail des applications.

en reprenant les choses par le début :

Je viens de créer un nouveau certificat Let's Encrypt. via l'assistant (sécurité>certificat [ce n'est pas un certificat auto-signé]) avec ces données :
domaine : ndd.net
Courrier : mon email
Autre nom de l'objet : fichiers.ndd.net

Le certificat a été généré puis le serveur web redémarré. Ici au moment du retour sur DSM AVANT tout affichage j'ai l'alerte de sécurité qui m'invite à sortir ou à forcer la connexion [donc certificat bien pris en compte à mon avis] (voir pj). Seule façon d'arriver sur le bureau DSM est d'ignorer l'alerte sinon je ne peux rien faire.
Pour info mon adresse NAS entrée dans la barre du navigateur est https://192.xxx.xxx.xxx:5001

Est-ce que cela t'aide à comprendre ?

PS : Avec ce nouveau certificat, via DS File par internet (données mobile) : connexion réussi sans pb.... en mode Wifi j'ai ce msg : "Le certificat SSL du NAS n'est pas fiable...." je suis refusé !

certif.jpg

port.jpg

Modifié par pascalg57
Lien vers le commentaire
Partager sur d’autres sites

@pascalg57

Bonjour,

Il y a 2 heures, pascalg57 a dit :

Le certificat a été généré puis le serveur web redémarré. Ici au moment du retour sur DSM AVANT tout affichage j'ai l'alerte de sécurité qui m'invite à sortir ou à forcer la connexion [donc certificat bien pris en compte à mon avis] (voir pj). Seule façon d'arriver sur le bureau DSM est d'ignorer l'alerte sinon je ne peux rien faire.
Pour info mon adresse NAS entrée dans la barre du navigateur est https://192.xxx.xxx.xxx:5001

C'est normal ton certificat n'est pas défini pour cette @IP, et en plus le message d'erreur est clair sur ce point. Il te faut :

  • Ajouter "monNAS.ndd.net" dans "Autre nom de l'objet" et recréer ton certificat. Attention si tu rajoutes d'autres domaines à "Autre nom de l'objet" saches que la chaine de caractères globale est limitée à 255 Car par Synology. De plus normalement on ne peut créer/modifier pas plus de 5 certificats LE par semaine. Si plus, alors tu seras bloqué et tu devra attendre une semaine pour recommencer. Mef donc !
  • Créer dans le reverse proxy une redirection du type "https://monNAS.ndd.net" vers "http://localhost:5000" pour te connecter au NAS en tapant simplement "monNAS.ndd.net" comme URL dans un navigateur Web.

Pour le mode WiFi, tu te connectes avec un PC/Mac avec le WiFi de ton réseau local ?

Si OUI, par ex : chez moi en WiFi avec un PC dans un navigateur Web, si je tapes "monNAS.ndd.net" c'est OK = connexion au NAS, par contre si je tape "https://192.xxx.xxx.xxx:5001" (où 192.xxx.xxx.xxx=@IP du NAS, cela ne passe pas (alerte de sécurité) et si je tape "http://192.xxx.xxx.xxx:5000" cela passe mais la connexion n'est pas sécurisée (cadenas barré).

Enfin, il me semble que tu as une Livebox, donc je t'invites à configurer un serveur DNS sur ton NAS avec le TUTO NON compris la zone DNS publique. Tu verras que cela simplifiera très largement les choses à cause du loopback que ne gère pas la Livebox.

Cordialement

oracle7😏

Modifié par oracle7
Lien vers le commentaire
Partager sur d’autres sites

Il y a 15 heures, pascalg57 a dit :

Je viens de créer un nouveau certificat Let's Encrypt. via l'assistant (sécurité>certificat [ce n'est pas un certificat auto-signé]) avec ces données :
domaine : ndd.net
Courrier : mon email
Autre nom de l'objet : fichiers.ndd.net

Le certificat a été généré puis le serveur web redémarré. Ici au moment du retour sur DSM AVANT tout affichage j'ai l'alerte de sécurité qui m'invite à sortir ou à forcer la connexion [donc certificat bien pris en compte à mon avis] (voir pj). Seule façon d'arriver sur le bureau DSM est d'ignorer l'alerte sinon je ne peux rien faire.
Pour info mon adresse NAS entrée dans la barre du navigateur est https://192.xxx.xxx.xxx:5001

Tu dis toi-même que tu as créé un certificat pour ton nom de domaine racine et pour le sous-domaine fichiers.
Donc en l'état, vu que tu destines fichiers.ndd.tld à File Station, comment veux-tu accéder à DSM sans avoir un sous-domaine qui lui est aussi dédié ?

Je t'invite à lire ce post que j'avais fait pour expliquer de manière imagée et didactique comment va fonctionner une requête en local ou externe vers un de tes services derrière une proxy inversé

Je vois bien que plusieurs points ne sont pas clairs encore, et c'est normal, c'est beaucoup de choses à assimiler, je ne pourrais que te conseiller d'aller plus lentement et de prendre le temps d'assimiler les concepts déjà mis en oeuvre avant de passer à d'autres étapes.
Si intéressé, j'ai ce livre à la maison, qui est didactique et complet à la fois, un très bon livre à avoir sur sa table de chevet 😛 : https://livre.fnac.com/a10900214/Jose-Dordoigne-Reseaux-informatiques-Notions-fondamentales

Tout est séparé en chapitres, libre à toi de lire ce qui t'intéresse. 😉 

Lien vers le commentaire
Partager sur d’autres sites

Le 02/08/2020 à 09:11, .Shad. a dit :

 Je vois bien que plusieurs points ne sont pas clairs encore, et c'est normal, c'est beaucoup de choses à assimiler, je ne pourrais que te conseiller d'aller plus lentement et de prendre le temps d'assimiler les concepts déjà mis en oeuvre avant de passer à d'autres étapes.😛

c'est tout l'enjeu de la mise en place de mon NAS. Seulement au départ, je ne sais pas vraiment où je m'embarque ni ce qui va manquer en terme de connaissances. Donc effectivement, clairement,  je dois m'informer précisément dans ce domaine. Ma seule expérience de serveur consiste en le WHS de Microsoft d'il y a qq années, bien fait au demeurant mais affranchi de tout soucis de tels protocoles et dans un environnement windows que je connais mieux.

Merci pour ta réponse pleine de compassion 😄 et surtout qui répond parfaitement à mes attentes : le bouquin doit arriver aujourd'hui dans ma boite !

Bonne journée
Amicalement
PascalG

 

Lien vers le commentaire
Partager sur d’autres sites

Le 01/08/2020 à 19:22, oracle7 a dit :

@pascalg57

Bonjour,

C'est normal ton certificat n'est pas défini pour cette @IP, et en plus le message d'erreur est clair sur ce point. Il te faut :

  • Ajouter "monNAS.ndd.net" dans "Autre nom de l'objet" et recréer ton certificat. Attention si tu rajoutes d'autres domaines à "Autre nom de l'objet" saches que la chaine de caractères globale est limitée à 255 Car par Synology. De plus normalement on ne peut créer/modifier pas plus de 5 certificats LE par semaine. Si plus, alors tu seras bloqué et tu devra attendre une semaine pour recommencer. Mef donc !
  • Créer dans le reverse proxy une redirection du type "https://monNAS.ndd.net" vers "http://localhost:5000" pour te connecter au NAS en tapant simplement "monNAS.ndd.net" comme URL dans un navigateur Web.

 

Merci pour ta patience Oracle7.... comme dit plus haut à  @.Shad. je commence à comprendre un peu mieux ce qui m'arrive.

Vrai que mon certificat n'est pas bien rédigé, je le savais en postant . En introduisant un par un les éléments, on isole mieux ce qui a un impact à la lumière de tes explications

Le 01/08/2020 à 19:22, oracle7 a dit :

@pascalg57

Pour le mode WiFi, tu te connectes avec un PC/Mac avec le WiFi de ton réseau local ?

Si OUI, par ex : chez moi en WiFi avec un PC dans un navigateur Web, si je tapes "monNAS.ndd.net" c'est OK = connexion au NAS, par contre si je tape "https://192.xxx.xxx.xxx:5001" (où 192.xxx.xxx.xxx=@IP du NAS, cela ne passe pas (alerte de sécurité) et si je tape "http://192.xxx.xxx.xxx:5000" cela passe mais la connexion n'est pas sécurisée (cadenas barré).

Enfin, il me semble que tu as une Livebox, donc je t'invites à configurer un serveur DNS sur ton NAS avec le TUTO NON compris la zone DNS publique. Tu verras que cela simplifiera très largement les choses à cause du loopback que ne gère pas la Livebox.

 

non pour le WiFi je me connecte avec un phone et DS File. Avec mon PC je suis en ethernet. avec mon PC, "https://192.xxx.xxx.xxx:5001" m'ouvre une page non sécurisée (norma je pense puisque je suis passé outre l'alerte de sécurité). "https://192.xxx.xxx.xxx:5000" me renvoie "erreur de chargement de page.

Sur foi de vos conseils à vous deux, je vais reprendre calmement. D'ailleurs j'ai volontairement tout fermé hier.

Concernant le DNS, j'ai bien compris. J'y ai jeté un oeil déjà. Je m'y attaquerai une fois compris ce qui se passe sans. De plus je ne suis pas certain d'avoir les connaissances suffisantes je n sais même pas comment faire un "nslookup"... tu vois je pars de bien loin 😞

Ne t'inquiète pas tu as encore de quoi t'arracher les cheveux avec moi si tu le veux 😄

Bonne journée
Amicalement
PascalG

Pour info : en recréant mon certificat avec NDD.net ; fichiers.NND.net, au redémarrage du serveur, à partir de mon PC en local, je retombe tout de même de suite sur l'alerte de sécurité avant d'ouvrir la page DSM 😉

 

 

Annotation 2020-08-03 100906.jpg

Annotation 2020-08-03 101404.jpg

Modifié par pascalg57
Lien vers le commentaire
Partager sur d’autres sites

@pascalg57

Bonjour,

il y a une heure, pascalg57 a dit :

Sur foi de vos conseils à vous deux, je vais reprendre calmement

OK, sage résolution et quand tu auras repris les choses reviens faire un point explicatif de ce que tu auras effectivement mis en place pour que l'on sache sur quelles bases tu es car à ce stade j'ai un peu du mal à voir où tu en es avec ce que tu as fait ou que tu n'as pas fait.

Je te conseilles dans l'ordre (lis bien au moins une fois avant ces TUTO) :

  1. TUTO Sécurisation des Accès
  2. TUTO Pourquoi et comment utiliser un nom de domaine
  3. TUTO Création d'un certificat "wilcard" LE (*.ndd.tld)
  4. TUTO Reverse proxy
  5. TUTO DNS Server

Et ce sera déjà pas mal dans un premier temps ....

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.