Accès FTP extérieur - Proximus BBox3

[sebg78]

Bonjour,

J'ai un serveur Synology sur lequel serveur FTP est configuré.

Seul le service de chiffrage FTP SSL/TLS est activé.
Port du service ftp : 21
Plage de ports du FTP passif : par défaut de 55536-55663
Codage UTF-8 activé

Pas de limite de connexion, ni de vitesse

En local, aucun souci pour y accéder, que ce soit avec l'IP 192.168.31.200 attribuée au Synology, ou via xxx.synology.me

De l'extérieur, je ne parviens pas à accéder avec Filezilla.
Si je comprends bien, c'est la redirection des ports qui pose un souci sur ma B-Box. Je ne comprends pas comment sur une B-Box, paramétrer un tel range de ports

Protocol TCP
External Port Start 55536
External Port End 55663
Internal Port ???
Internal Host 192.168.1.200
Le reste je laisse par défaut ?
-> Internal Port doit correspondre à un nombre, sinon je ne peux enregistrer le mapping ?
 

Auriez-vous une idée ?
Merci pour votre aide,
Seb

 

 

 

Modifié le 5 juillet par sebg78

[Mic13710]

Il me semblerait logique que ce soit la même plage de ports qu'en externe. Tentez 55536-55663

Vérifier aussi que le parefeu du NAS autorise les ports concernées pour les IP de votre pays à minima.

Incidemment, vos ouvertures de ports VPN sont à revoir : pour L2TP/IPSec, ce n'est pas le 1701 qu'il faut ouvrir mais le 4500. Le 1701 doit absolument être fermé sur le routeur, mais ouvert sur le NAS. Voir le tuto sur le serveur VPN dans la partie Tutoriels.

Je vous conseille aussi de supprimer le port 5000 (http). L'accès à DSM par l'extérieur doit se faire au minimum en https (5001), ou mieux, par VPN.

Pourquoi le port 20 est ouvert ?

Autre conseil très important : mettre en pratique le tuto sur la sécurisation de nos NAS.

[sebg78]

Bonjour,

 

Merci.

Je supprime le port 5000, ainsi que le port 20.

Citation

Incidemment, vos ouvertures de ports VPN sont à revoir : pour L2TP/IPSec, ce n'est pas le 1701 qu'il faut ouvrir mais le 4500. Le 1701 doit absolument être fermé sur le routeur, mais ouvert sur le NAS. Voir le tuto sur le serveur VPN dans la partie Tutoriels.

Je lis sur cette page : https://kb.synology.com/fr-fr/DSM/help/VPNCenter/vpn_setup?version=7

-> "Veuillez vérifier les paramètres de transmission des ports et de pare-feu sur votre Synology NAS et votre routeur afin de vous assurer que les ports UDP 1701, 500 et 4500 sont ouverts."

 

 

 

[Mic13710]

Il y a 1 heure, sebg78 a dit :

et votre routeur afin de vous assurer que les ports UDP 1701, 500 et 4500 sont ouverts."

Tout d'abord, vous n'avez pas ouvert le 4500.

Ensuite,ça à beau être écrit sur la kb synology, c'est une grossière erreur. Ce n'est pas parce que Synology l'écrit que c'est la chose à faire. Si vous ouvrez ce port vous pouvez alors vous connecter sans clé ni identifiant. Il faut absolument fermer ce port. Je vous invite à aller consulter le tuto sur le serveur VPN dans la partie Tutoriels où on en parle. Mais après, libre à chacun de suivre une information erronée ! Je peux en tout cas vous confirmer que ça fonctionne très bien et avec beaucoup plus de sécurité sans. Par contre, il faut bien ouvrir ce port côté NAS.

Le 07/07/2024 à 7:06 PM, Mic13710 a dit :

Autre conseil très important : mettre en pratique le tuto sur la sécurisation de nos NAS.

C'est à n'en pas douter le point de départ le plus important. L'avez-vous mis en pratique ?

[.Shad.]

@sebg78 Dans ton premier message, tu parles d'une IP en 192.168.31.200 puis dans tes règles tu as mis 192.168.1.200. Je penche pour une erreur de frappe, j'ai aussi une BBox 3 et le réseau par défaut est en 192.168.1.X. Mais à vérifier quand même.

Pour la configuration du NAT du port 21 depuis ta box, elle est correcte.

Est-ce que tu as créé la règle adéquate dans le pare-feu DSM ? La remarque concernant l'application du tutoriel de sécurisation des accès locaux de ton NAS faite par @Mic13710 est pertinente, tu devrais t'y atteler au plus vite.