Quickconnect Et S

[Tiber31]

Bonjour,

Je possède un NAS Synolgy DS213J et avec la configuration à distance avec Quickconnect ( j'ai pratique rien fait ) tout marche bien.

J'ai configuré deux autres comptes utilisateurs, pour mes élèves et mes collègues. ils sont dans un groupe avec un accès restreint, forcement.

Cependant, quand je test à distance avec le compte élèves, je m’aperçois qu'effectivement l’accès est limité. Mais je m’aperçois qu'avec le compte élève; j'ai quand même des choix dans les options ( vérification des mails; réseau social)

1/ Comment enlever les options pour des comptes restreints à distance ? En gros juste accès au dossier pour récupérer et déposer des fichiers.

2/ Est ce une bonne idée d'utiliser le Nas pour les échanges de fichier avec des élèves ? ( celui de l'école n'est pas terrible...

Merci de votre aide par avance. ou des liens pour ce genre de cas ^^

Modifié le 29 janvier 2015 par Tiber31

[white.spirit]

Bonjour,

Je n'ai jamais vu de moyens pour mettre en place un accès très restreint: par exemple exclusivement à File Station (sans les options, etc...).

La question mérite d'être envoyée au service support de Synology je pense.

Si tu ne cherches qu'à permettre le téléchargement de fichiers (donc pas pour déposer quoique ce soir sur le NAS), c'est très simple: il y a le partage de fichiers/dossiers en faisant un clic droit sur un élément dans File Station (possibilité de mettre un mot de passe...).

Mais c'est limité.

[domlas]

Il faut bien comprendre le principe des "Dossiers Partagés" (DP) et des "permissions" que peuvent avoir les "utilisateurs" ou les "groupes".

Chaque DP peut être soit seulement lu, soit être écrit et lu suivant la "permission" que l'administrateur donnera à chaque "utilisateur" inscrit ou au "groupe" dans lequel on peut mettre tous les utilisateurs devant avoir les mêmes privilèges.

Exemple :

on a 3 DP : DP1, DP2 et DP3

On a 3 "utilisateurs" : U1, U2 et U3

Et un groupe G1

On configure ainsi

G1 à la permission L (lecture seule) sur DP1

U1 est versé dans G1

U2 à les permissions L sur DP2 et L/E sur DP3

U3 a les permissions L sur DP3 et DP1 et L/E sur DP2

Donc U1 ne pourra que lire les données sur DP1

U2 pourra lire DP2 et lire et écrire sur DP3

U3 pourra lire DP3 et lire et écrire sur DP2

Dans ton cas si l'on part du principe que tes collègues et tes élèves peuvent consulter des fichiers de type A mais que seuls les collègues sont autorisés à consulter en plus des fichiers de type B il te faudra créer un premier DP "documents_communs" où les collègues et les élèves auront permission et un second DP "collègues" dans lequel tu mettras les documents réservés aux collègues. Elà seuls les collègues auront permission..

Attention en réseau interne au rôle assez tordu du groupe "users". Ce groupe est créé d'origine à l'installation du DSM. Ce groupe possède d'office toutes les permissions envers tous les DP. De plus tous les "utilisateurs" sont automatiquement versés dans ce groupe et ont donc d'offive toutes les permissions envers tous les DP.

On ne peut pas supprimer le groupe "users" ni retirer les utilisateurs versés dedans. Mais on peut dévalider toutes les permissions. A ne pas oublier de faire.

[white.spirit]

Il faut bien comprendre le principe des "Dossiers Partagés" (DP) et des "permissions" que peuvent avoir les "utilisateurs" ou les "groupes".

domlas,

Apparemment, le problème n'est pas lié à la compréhrension des droits, mais aux limitations paramétrables pour l'accès aux applications et services. En gros, l'accès à File Station est requis, mais l'accès au "bureau" de DSM (et ses personnalisations même pour les utilisateurs simples) peut apporter de la confusion et des problèmes.

[domlas]

Si je comprends bien ce que tu me dis Tiber veut donner un accès au DSM (et à la totalité des droits que donne DSM) à tous le monde mais en limitant ces droits ?

C'est bien évidemment impossible...

L'accès au DSM ne doit être exclusivement réservé qu'au seul administrateur. Les utilisateurs lambdas ne doivent avoir que des accès contrôlés sans jamais avoir d'accès au DSM.

[white.spirit]

Non... en plus concis, il veut que les utilisateurs aient File Station et absolument aucune autre fioriture.

J'y pense, hypothèse à creuser, en admettant que le NAS soit chez toi (et pas à l'école):

- activer l'application File Station avec un port personnalisé (par ex. le port par défaut https 7001): Panneau de config > Portail des applications

- "blinder" le parefeu en fermant tous les ports sauf le 7001 à toutes les IP entrantes qui ne sont pas de ton réseau local.

Le problème, tu ne pourrais, toi, pas accéder à DSM (qui utilise le port 5001) depuis un poste distant, sauf d'un poste de ton réseau local.

[Einsteinium]

Non... en plus concis, il veut que les utilisateurs aient File Station et absolument aucune autre fioriture.

J'y pense, hypothèse à creuser, en admettant que le NAS soit chez toi (et pas à l'école):

- activer l'application File Station avec un port personnalisé (par ex. le port par défaut https 7001): Panneau de config > Portail des applications

- "blinder" le parefeu en fermant tous les ports sauf le 7001 à toutes les IP entrantes qui ne sont pas de ton réseau local.

Le problème, tu ne pourrais, toi, pas accéder à DSM (qui utilise le port 5001) depuis un poste distant, sauf d'un poste de ton réseau local.

Voilà la bonne solution, c'est ce que j'avais compris en lisant le post initiale, d'ailleurs je trouve moche que lon ne puisse pas désactivé les options sociales, pour l'accès au dsm sinon, il suffit de mettre le server vpn tout simplement ;-)

[Tiber31]

Désolé Domlas si je n'ai pas été clair et merci White spirit de ta compréhension. C'est exactement ça, je cherche à partager un dossier de mon NAS à mes élèves (distant), et seul le dossier distant disponible (ni réseau social, ni option etc).

Et avec ta solution White spirit (interdire tous les ports sauf un), les élèves ( à distance, nas chez moi) pourront déposer et télécharger des fichiers dans file station sans passer par le DSM ? Est ce bien cela ? Y a une autre solution ? comme ftp ?

Une autre question sur les droits utilisateurs, je souhaite laisser donc des droits d'écriture aux élèves (déposer des fichiers avec quota) et aussi le téléchargement d'autres fichiers.

Mais je cherche une sécurité en plus afin qu'ils soient impossible de supprimer un fichier ( suppression par mauvais clic par exemple) Est ce possible ?

Meric de vos réponses en tout cas

Edit : @ Einsteinium : " il suffit de mettre le server vpn tout simplement ;-) " mais encore, c'est vraiment simple à mettre en place ? des liens pour des tutaux ?

2nd Edit : Tous. Une solution pour un partage de fichier / dossier à distance, hors NAS au pire ?

Modifié le 29 janvier 2015 par Tiber31

[white.spirit]

Et avec ta solution White spirit (interdire tous les ports sauf un), les élèves ( à distance, nas chez moi) pourront déposer et télécharger des fichiers dans file station sans passer par le DSM ? Est ce bien cela ? Y a une autre solution ? comme ftp ?

Une autre question sur les droits utilisateurs, je souhaite laisser donc des droits d'écriture aux élèves (déposer des fichiers avec quota) et aussi le téléchargement d'autres fichiers.

Mais je cherche une sécurité en plus afin qu'ils soient impossible de supprimer un fichier ( suppression par mauvais clic par exemple) Est ce possible ?

C'est bien cela. Vas voir dans le portail des applications comme je l'ai indiqué, tu verras rapidement (accès à File Station en ajoutant /file au bout de l'adresse et le port 7001 activable).

FTP est une solution aussi, mais avec exactement le même problème: activer/ouvrir le FTP n'empêche pas l'accès au bureau DSM.

Empêcher la suppression? J'en doute. Par contre, tu peux activer la corbeille sur le dossier partagé et éverntuellement en limiter l'accès aux administrateurs (seul toi pourra sortir un fichier de la corbeille ou la vider)

2nd Edit : Tous. Une solution pour un partage de fichier / dossier à distance, hors NAS au pire ?

Typiquement Dropbox que j'ai utilisé avec ma famille pendant un moment (et tous les concurrents de Dropbox en gros). Mais la gestion des comptes est plus complexe, car chacun pourra bricoler son compte qui est rattaché à une adresse email (leur adresse perso?)...

[domlas]

Oui en fait le FTP est exactement fait pour ça.

Pour faire simple :

Tu crées un DP "DocElèves" Tu y mets les documents consultables par les élèves uniquement

Tu crées un DP "DocCollègues" Tu y mets les documents uniquement consultables par les collègues

Tu inscris tes élèves (identifiant + pass) dans "utilisateur" et tu leurs donnes la seule permission vers le seul DP "DocEleves"

Tu inscris tes collègues (identifiant - pass) dans "utilisateur" et tu leurs donnes les privilèges vers le DP "DocEleves" et le DP "DocCollègues"

Tu mets en service le serveur FTP du syno. Tu configures ta box avec le port 21 redirigé vers le syno ainsi que la plage 55536 > 55567 (si je me souviens bien) vers le syno. Si nécessaire tu mets en place une configuration DDNS (dyndns).

Tu donnes à chacun son identifiant + pass. Dès lors tes élèves auront accès aux seuls documents qui les concernent et pas à ceux des collègues.. Tes collègues, eux, auront accès à la fois aux documents élèves et collègues.

Par contre les collègues.

Si maintenant tes élèves doivent pouvoir avoir accès à des documents téléchargeables mais ne devant pas pouvoir être modifiées ni détruits, le DP qui les contient ne devra pouvoir être consulté qu'en "lecture seule". Si ils peuvent en plus pouvoir déposer des fichiers tu crées alors un DP supplémentaire avec les droits "lecture/écriture". Il faut absolument diversifier les DP, c'est ça la finesse du syno qui permet de bien distribuer les droits d'accès plus ou moins étendus pour chaque utilisateur.

En fait et c'est ce que beaucoup ne comprennent pas c'est que file station est d'une part une "facilité" offerte à l'administrateur pour gérer rapidement le classement des documents sans avoir à sortir toutes les 5mn du DSM. Il sert aussi aux accès depuis les mobiles avec les applis DSfile.

Modifié le 29 janvier 2015 par domlas

[Einsteinium]

Pour le vpn tu install le paquet disponible, tu choisis les utilisateurs qui peuvent y accéder et le type de vpn que tu veux parles les 3 proposés, après c'est juste ouvrir les ports dans ta box, une fois connecté à distance au vpn, c'est comme si tu était chez toi.

Sinon pour les droits que tu cherches, il y a 3 choix : lecture, lecture/écriture et un dernier personnalisé, sur ce dernier tu pourras empêcher uniquement la suppression ;-)

[Tiber31]

Déjà merci de vos réponses, j'ai pas seulement une seule solution mais 3 solutions !!! mais c'est aussi un problème..

@ White.spirit : je vais surement faire cette solution, même si le fait de plus avoir accès au DSM avec un autre compte est embêtant.

@ Domlas : pour le ftp, les utilisateurs doivent utiliser un client ou ftp ou par navigateur web suffit ?

@ Einsteinium : Par vpn c'est le serveur vpn ? une fois le vpn installé mes élèves n'auront accès seulement à un dossier.

Sinon parfait pour le choix personnalisé et empêcher la suppression

et Wonderbox, et cloudstation ca peut le faire aussi comme application ? Un peu perdu là..

[domlas]

Pour le FTP il existe un client gratuit incontournable : filezilla.

Sinon sur un navigateur internet classique il suffit de taper :

ftp://identifiant:pass@XYZ:21

avec XYZ = soit l'IP publique de ton installation (si tu as une IP publique fixe comme chez free) soit un "nom de connexion" résultant d'une inscription à un service du genre dyndns.

Si les coordonnées sont bonnes le "client" voit se dérouler la liste des DP et fichiers auxquels il a droit.

Mais je le répète (et c'est ainsi dans tous les systèmes de serveurs pro) personne hormis l'administrateur du syno ne doit avoir accès au DSM.

C'est comme dans une auto : il y a les conducteurs qui peuvent disposer de clés de contacts et utiliser l'auto et le mécano qui est le seul à disposer de la "valise" qui permet de changer les paramètres du moteur. Les conducteurs "normaux" n'ont jamais à toucher à ces paramètres et pourtant ils peuvent très bien conduire le véhicule.

Par ailleurs et si le système est finement établi tu pourras à tout moment surveiller ce qui se passe et exclure un utilisateur indélicat par exemple sans aucune gène pour les autres. C'est comme ça que ça marche dans les entreprises.

Modifié le 29 janvier 2015 par domlas

[Einsteinium]

Non le serveur vpn c'est que pour toi, histoire d'avoir accès au dsm port 5000/5001, comme si tu était chez toi, car en forçant uniquement l'accès a filé station port 7000/7001, tu va logiquement fermé le port 5000/5001.

[white.spirit]

Le FTP est réputé pour être un des protocoles les moins sûrs. Donc comme tu passes par internet, que potentiellement il y a des élèves et grands frères d'élèves qui sont bidouilleurs... bannis le FTP et passe plutôt par SFTP.

Mais je reste d'avis que File Station par https est le meilleurs consensus: compatibilité avec tous les navigateurs, plus facile à comprendre pour les néophytes que le paramétrage d'un client FTP, etc...

Comme dit au-dessus, le blocage de tous les ports sauf 7001 pour les IP extérieures au réseau local:

- de l'extérieur: accès à File Station seulement (quelque soit l'utilisateur)

- du réseau local: accès à "tout", donc aussi DSM (quelque soit l'utilisateur)

- avec le VPN (serveur VPN à installer sur le NAS et client VPN à paramétrer sur l'ordinateur), ton ordinateur se connecte à ton réseau local comme s'il y était physiquement: donc accès à "tout", aussi DSM (uniquement pour les utilisateurs autorisés à utiliser le VPN)

L'alternative Dropbox n'est pas très adaptée; Cloud Station ne l'est pas plus. Et encore une fois, ce n'est pas le recours à un autre service du Synology qui va empêcher l'accès au bureau de DSM et ses options, connexions au réseaux sociaux, etc... ce qui était le but de départ, non? La clé de la proposition, c'est le blocage des ports.

[Tiber31]

Wonderbox , cloudstation, dropbox je ne connais pas. C'était juste pour information.

Ok merci pour le VPN c'est bien plus clair pour moi.

Dernière chose je bloque les ports 7001 dans le synology portail appli, ok . Mais je bloque aussi le port dans le routeur ?

merci je test dans la journée et je vous tient au jus

[white.spirit]

Dernière chose je bloque les ports 7001 dans le synology portail appli, ok . Mais je bloque aussi le port dans le routeur ?

Euh non... (pour info, le routeur a par défaut tous les ports de fermés; donc si tu paramètres quelque chose, c'est pour ouvrir un port)

D'abord:

- Activer (pas bloquer) 7001 dans le portail appli sur le NAS

- Ouvrir/rediriger le port 7001 vers le NAS sur le routeur

Tu accèdes alors à File Station avec l'adresse https://ADRESSEDDNS:7001/file

Puis:

Possibilité 1 (ce que j'évoquais dans mes précédents posts)

- Dans le parefeu du NAS (quelquque part dans Panneau de configuration) -> fermer tous les ports à toutes les adresses IP qui ne sont pas dans le format de ton réseau local (en général les IP locales sont du type 192.168.X.X ou 10.0.X.X)

SAUF le port 7001 qui ne doit être fermé pour personne

Possibilité 2 (puisque tu parles du routeur)

- Ouvrir/rediriger un port externe "original" de ton choix (pas , ni 443, ni 21, ni 22, ni 5001... prends par exemple 8765 ou ton année de naissance) vers le port interne 5001 et l'IP locale du NAS

-> Intérêt: tu pourras toujours accéder de l'extérieur à DSM à distance avec l'adresse https://ADRESSEDDNS:8765

Les néophytes n'auront aucune chance de tomber sur le bon port pour accéder au bureau DSM et les élèves bidouilleurs (s'ils arrivent à trouver le bon port, il faudrait vraiment qu'ils le cherchent) arriveront au pire au bureau de DSM, mais ne pourraient pas causer de problèmes particulier, à part jouer avec les préférences dont tu parlais au tout début.

La possibilité 2 est convenable et simple, et surtout elle t'évite de mettre en place le VPN.

Modifié le 30 janvier 2015 par white.spirit

[Einsteinium]

Possibilité 2 (puisque tu parles du routeur)

- Ouvrir/rediriger un port externe "original" de ton choix (pas , ni 443, ni 21, ni 22, ni 5001... prends par exemple 8765 ou ton année de naissance) vers le port interne 5001 et l'IP locale du NAS

-> Intérêt: tu pourras toujours accéder de l'extérieur à DSM à distance avec l'adresse https://ADRESSEDDNS:8765

Les néophytes n'auront aucune chance de tomber sur le bon port pour accéder au bureau DSM et les élèves bidouilleurs (s'ils arrivent à trouver le bon port, il faudrait vraiment qu'ils le cherchent) arriveront au pire au bureau de DSM, mais ne pourraient pas causer de problèmes particulier, à part jouer avec les préférences dont tu parlais au tout début.

La possibilité 2 est convenable et simple, et surtout elle t'évite de mettre en place le VPN.

Ou pas, un port scan des 65535 ports prends quelques minutes...

[white.spirit]

Ou pas, un port scan des 65535 ports prends quelques minutes...

Comme je disais, il faudrait vraiment qu'ils le cherchent (perso je ne fais pas de port scan de toutes les adresses web que je visite ) et les conséquences ne seraient de toute façon pas critiques.

Modifié le 30 janvier 2015 par white.spirit

[Einsteinium]

Comme je disais, il faudrait vraiment qu'ils le cherchent (perso je ne fais pas de port scan de toutes les adresses web que je visite ) et les conséquences ne seraient de toute façon pas critiques.

Va dire ça au malheureux qui ont pris la faille synolocker :/

Ta des bots qui port scan sans relâche ;-)

[Tiber31]

Alors c'est impeccable ^^ j'ai juste accès à file station, merci c'est juste parfait !

Deux choses cependant :

1/ pour me connecter j'ai ceci sous IE :

Le certificat de sécurité de ce site Web présente un problème.

Le certificat de sécurité présenté par ce site Web n’a pas été émis par une autorité de certification approuvée.

Le certificat de sécurité présenté par ce site Web a été émis pour une autre adresse de site Web.

Les problèmes de certificat de sécurité peuvent indiquer une tentative de duperie ou d’interception des données que vous envoyez sur le serveur. Nous vous recommandons de fermer cette page Web et de quitter ce site. Cliquez ici pour fermer cette page Web.

POURSUIVE NON RECOMMANDER FAIRE UN CLIC ICI ^^ Informations

Est ce grave ? si je poursuis non recommandé ça marche.

2 / Et dernière chose, je ne trouve pas du tout dans le synologie la règle pour interdire l’accès au DSM, c'est à dire interdire tous les IP externe sauf pour le port 7001.

^je trouve pas l'emplacement, routeur, accès externe....

Modifié le 30 janvier 2015 par Tiber31

[white.spirit]

1/ C'est lié à l'https. C'est normal, à moins d'acheter un certificat nominatif. Avec le certificat par défaut du NAS, il y a toujours cette avertissement.

Si tu veux l'éviter, il faut passer par l'http (pas "s") et en standard le port 7000 au lieu de 7001. A titre personnel, je préfère utiliser https par mesure de sécurité. Mais je ne suis pas un fin spécialiste pour lister les réels risques.

2/ De quelle "possibilité" parles-tu?

Possibilité 1 (ce que j'évoquais dans mes précédents posts)

- Dans le parefeu du NAS (je précise: dans Panneau de configuration > Sécurité > Pare-feu) -> fermer tous les ports à toutes les adresses IP qui ne sont pas dans le format de ton réseau local (en général les IP locales sont du type 192.168.X.X ou 10.0.X.X)

SAUF le port 7001 qui ne doit être fermé pour personne (il faut sûrement mettre plusieurs règles en place pour arriver au résultat)

Possibilité 2 (puisque tu parles du routeur)

Ca, c'est sur le routeur lui-même uniquement, par dans DSM.

- Ouvrir/rediriger un port externe "original" de ton choix (pas , ni 443, ni 21, ni 22, ni 5001... prends par exemple 8765 ou ton année de naissance) vers le port interne 5001 et l'IP locale du NAS

-> Intérêt: tu pourras toujours accéder de l'extérieur à DSM à distance avec l'adresse https://ADRESSEDDNS:8765

Les néophytes n'auront aucune chance de tomber sur le bon port pour accéder au bureau DSM et les élèves bidouilleurs (s'ils arrivent à trouver le bon port, il faudrait vraiment qu'ils le cherchent) arriveront au pire au bureau de DSM, mais ne pourraient pas causer de problèmes particulier, à part jouer avec les préférences dont tu parlais au tout début.

[Tiber31]

Non... en plus concis, il veut que les utilisateurs aient File Station et absolument aucune autre fioriture.

J'y pense, hypothèse à creuser, en admettant que le NAS soit chez toi (et pas à l'école):

- activer l'application File Station avec un port personnalisé (par ex. le port par défaut https 7001): Panneau de config > Portail des applications

- "blinder" le parefeu en fermant tous les ports sauf le 7001 à toutes les IP entrantes qui ne sont pas de ton réseau local.

Le problème, tu ne pourrais, toi, pas accéder à DSM (qui utilise le port 5001) depuis un poste distant, sauf d'un poste de ton réseau local.

J'aimerais revenir sur la 2em partie ( "blinder le parefeu en fermant tous les ports...") et ma question : A savoir pourquoi blinder le parefeu? Sécurité suite au transfère de port ? ou juste pour interdire l'accés au DSM ? choix multiples ^^

je m'explique :

Ta solution marche très bien à distance je me connecte avec l'adresse https://NOM1.synology.me:7001/file/ et j'ai accès à file station et rien d'autres d'importants.

avec mon ancienne connexion https://NOM2.de.quickconnect.to/webman/index.cgi donc à file station et le soucis / sujet du poste des droits DSM.

Sachant que les 2 adresses depuis l'extérieur sont différentes et de plus NOM1 et différent de NOM2 .

Pourquoi ne pas fournir juste l'adresse https://NOM1.synology.me:7001/file/ à mes élèves ? et ne pas toucher au règle de port.

Et ainsi avec l'adresse https://NOM2.de.quickconnect.to/webman/index.cgi. je le garde pour moi afin d'avoir mes droit DSM.

Merci encore ^^

[white.spirit]

J'aimerais revenir sur la 2em partie ( "blinder le parefeu en fermant tous les ports...") et ma question : A savoir pourquoi blinder le parefeu? Sécurité suite au transfère de port ? ou juste pour interdire l'accés au DSM ? choix multiples ^^

je m'explique :

Ta solution marche très bien à distance je me connecte avec l'adresse https://NOM1.synology.me:7001/file/ et j'ai accès à file station et rien d'autres d'importants.

avec mon ancienne connexion https://NOM2.de.quickconnect.to/webman/index.cgi donc à file station et le soucis / sujet du poste des droits DSM.

Sachant que les 2 adresses depuis l'extérieur sont différentes et de plus NOM1 et différent de NOM2 .

Pourquoi ne pas fournir juste l'adresse https://NOM1.synology.me:7001/file/ à mes élèves ? et ne pas toucher au règle de port.

Et ainsi avec l'adresse https://NOM2.de.quickconnect.to/webman/index.cgi. je le garde pour moi afin d'avoir mes droit DSM.

Merci encore ^^

C'est précisément ce que je décris en "possibilité 2", sauf que je n'ai pas recours à QuickConnect que je n'aime pas trop. Donc je disais qu'il fallait faire une redirection de port pour le port 5001 du NAS qui est le port utile à l'interface DSM.

D'ailleurs, voilà une page intéressante: https://www.synology.com/fr-fr/knowledgebase/faq/299

[Tiber31]

Ca m'échappe un peu là..

Dans tous les cas merci pour ton aide et patience

Mes élèves pourront se connecter par l'adresse:7001/file et moi par quickconnect avec DSM.