DS Video et certificat SSL

[studio35]

Hello,

Je viens d'acquérir un DS918+ sur lequel j'utilise video station, et DS VIDEO sur Android, pour streamer mes films sur ma chromecast 2.

Je rencontre quelques problèmes qui rendent le service complètement instable :

1) Sur certain fims avec du son AC3, au bout de quelques minutes (c'est aléatoire) le film freeze complètement. En regardant les paramètres de l'application Android je vois l'option "Passthrought AC3" pour chromecast. En l'activant, il y a du mieux, mais je me demande pourquoi elle n'est pas activé par défaut si les chromecast ont des soucis pour gérer le son AC3.

2) Mon NAS est connecté à internet et donc sécurisé autant que possible :
   -> Sur ma box SFR, je redirige uniquement les ports 443 et 80 vers les ports 443 et 80 du synology.
   -> Le port 80 est bloqué via une règle dans le pare-feu. Je ne l'active que lorsque je souhaite renouveller les certificats LetsEncrypt
   -> Un certificat LetsEncrypt est installé sur le NAS avec plusieurs sous domaine (nas.<mondomaine>.synology.me, web.<mondomaine>.synology.me, etc....). Ce certificat est configuré par défaut pour tous les services, et c'est le seul qui existe.
   -> J'ai activité l'option "Rediriger les connexions HTTP vers HTTPS" dans les paramètres du DSM
   -> J'utilise le reverse proxy intégré au DSM pour accéder à mon NAS via les sous domaine de mon DNS
            - Une règle permet de rediriger le sous domaine "https://nas.<mondomaine>.synology.me" vers le DSM en local : "https://localhost:10001"

Au niveau de l'accès et des sous-domaine tout fonctionne correctement, et l'utilisation du reverse proxy me permet de ne pas rendre directement accessible le DSM à internet. Il faut a minima connaitre le sous-domaine du nas, sinon la redirection ne fonctionne pas.
Si je tente d'accéder directement au service https://<mondomaine>.synology.me, je tombe sur un timeout car le sous-domaine n'est pas précisé et le NAS tente une redirection sur le port par défaut du DSM (10001) qui lui n'est pas ouvert.

Maintenant que l'architecture est posé, j'en viens à mon problème. Lorsque je me connecte sur DS Video sur android j'utilise donc les paramètres suivants :
 - URL : nas.<mondomaine>.synology.me:443
 - Je coche la case HTTPS et la connexion se réalise correctement.

Je lance mon film sur ma chromecast, et de façon aléatoire je me retrouve après quelques minutes (ça peut être 1min comme 30 minutes...) avec une erreur du type "An error occurred: your certificate is untrusted by Chromecast"
Le certificat étant fournit par LetsEncrypt, celui-ci est censé avoir une AC racine reconnue et donc trusted !

Après avoir épluché le sujet sur quelques autres forums je retrouve des réponses "Il faut décocher la connexion HTTPS"... sauf que cela ma pose problème puisque ça implique d'ouvrir en permanence le port 80 et de désactiver la redirection automatique du HTTP vers le HTTPS dans DSM.

Est-ce que quelqu'un aurait des explications au problème, et potentiellement une solution qui fonctionnerait ?

PS : Je ne souhaite pas installer PLEX car l'application empêche le NAS de se mettre en veille, ce qui est problématique pour moi.

Merci à vous :)

[DaffY]

Bonjour,

Il est encore temps de passer par la case présentation qui fait partie de nos conventions comme indiqué lors de ton arrivée sur ce forum (qui n'est pas le seul à le demander ...)

Bref, pour du steam en local on enlève toute la problématique SSL et l'accès externe normalement...

Afin de s'en assurer un bon moyen est de se connecter en local via l'ip du NAS avant de faire un stream.

possible que cela évite une sortie et un loopback pas forcément bien géré par la box SFR...

ensuite le passthrough est pour éviter à la clée de faire du transcodage le laissant à l'appareil qui reçoit le son (ta tv ou un ampli) ce qui est en effet mieux (la chromecast étant plus limitée dans sa capacité).

Enfin si tout se passe en Wifi... Faut là aussi savoir si c'est du 2,4 ghz ou du 5ghz.. perturbations diverses etc... qui peuvent justifier ce genre de pb.

Bref sauf à considérer un streaming externe, je ferai donc le test en spéciciant l'adresse ip locale du NAS.

 

 

 

[studio35]

Je viens à l'instant de rectifier le tir dans la section présentation ;)

Pour ce qui est du loopback par défaut SFR ne le gère pas, mais c'est assez facile de le faire en forçant les DNS avec l'ip local du NAS.

De tout manière loopback ou pas, si je dois éviter le HTTPS en local, je dois spécifier d'une part l'ip de mon NAS, mais surtout le port HTTP (10000 chez moi).

Sauf que dans ma configuration je force la redirection HTTP vers le HTTPS, donc même en me connectant en 192.168.1.X:10000 je serais redirigé vers la connexion HTTPS.

Le mode dégradé serait de : 
   - Retirer la redirection automatique HTTP vers HTTPS sur DSM
   - Ne rien toucher niveau SFR BOX, port 443 et 80 ouvert, avec le 80 bloqué au niveau du parefeu (comme ça il est théoriquement impossible de se connecter en HTTP sur l'interface DSM)
   - Dans les paramètres de DS Video mettre 192.168.1.X:10000 pour me connecter directement en local via HTTP.

Effectivement, de ce point de vue là les erreurs de certificat ne devrait plus remonter :) mais pour moi il s'agit d'un mode dégradé et qui ne résout pas le problème initiale, à savoir si je souhaite faire du streaming distant on retombe dans le même problème (et là interdiction d'ouvrir le port 80 pour accéder au DSM)

[DaffY]

il y a 2 minutes, studio35 a dit :

Je viens à l'instant de rectifier le tir dans la section présentation ;)

Oui je vient  de le voir, MERCI.

il y a 6 minutes, studio35 a dit :

Pour ce qui est du loopback par défaut SFR ne le gère pas, mais c'est assez facile de le faire en forçant les DNS avec l'ip local du NAS.

Du coup peut être qu'avec le certificat ... ça pose des petits soucis de reco. (supposition)

Le port 80 ne permet pas l'accès à DSM (bureau) sauf paramétrage interne modifié.

J'ai pu ire dans le forum que la redirection http vers https n'était pas à faire... Une autre personne plus calée en terme de sécurité saurait dire pourquoi.

Pas exclu qu'au final, selon le type de connexion, cela ne soit pas mieux depuis l'extérieur aussi étrange que cela puisse être.

Par expérience j'avais pas mal de pb avec la précédente BOX de mon FAI (Orange pour ne pas le citer et son incapacité à gérer le loopback). depuis que cela est corrigé (sans doute pas que cela) plus de pb.

Je ne suis pas d'une grande aide sur ce coup là... pardon.

Mais je suis certain que d'autres sauront creuser plus sur la problématique posée.

 

 

[studio35]

il y a 4 minutes, daffy a dit :

Le port 80 ne permet pas l'accès à DSM (bureau) sauf paramétrage interne modifié.

Yes je parlais d'ouvrir le port 80 sur ma box pour rediriger ensuite sur le 10000 du DSM (Protocole HTTP), et ça je n'en veux pas car d'une part ça poserait des problèmes pour le renouvellement de certificats letsencrypt et puis ca poserait surtout des problèmes de sécurité.

il y a 7 minutes, daffy a dit :

J'ai pu lire dans le forum que la redirection http vers https n'était pas à faire... Une autre personne plus calée en terme de sécurité saurait dire pourquoi.

Ca m'intéresse ça, car d'une manière générale en sécurité web c'est plutôt une pratique courante de faire cette redirection automatique

il y a 11 minutes, daffy a dit :

Par expérience j'avais pas mal de pb avec la précédente BOX de mon FAI (Orange pour ne pas le citer et son incapacité à gérer le loopback). depuis que cela est corrigé (sans doute pas que cela) plus de pb.

Effectivement le loopback sur Orange c'est une horreur... c'est pour ça que j'ai changé de FAI ^^

il y a 13 minutes, daffy a dit :

Pas exclu qu'au final, selon le type de connexion, cela ne soit pas mieux depuis l'extérieur aussi étrange que cela puisse être.

La seule fois où j'ai tenter un stream depuis l'extérieur, j'étais avec une connexion 4G, le stream a bien fonctionné pendant 35/40min et ....hop une erreur "trusted certificat" sur la chromecast :(

[DaffY]

il y a 5 minutes, studio35 a dit :

hop une erreur "trusted certificat" sur la chromecast :(

ah... donc même erreur en local comme en externe.

On oublie le distingo donc et on s'oriente sur une problématique chromecast qui ne reconnait pas le certificat Let'sEncrypt de chez Syno...

As tu essayé de faire une déco depuis le portable androïd ou IOS  dans l'application DSVIDEO ou DSAUDIO puis de refaire la connexion en HTTP et non en HTTPS  ? as tu les mêmes soucis ?

[studio35]

il y a 21 minutes, daffy a dit :

ah... donc même erreur en local comme en externe.

On oublie le distingo donc et on s'oriente sur une problématique chromecast qui ne reconnait pas le certificat Let'sEncrypt de chez Syno...

As tu essayé de faire une déco depuis le portable androïd ou IOS  dans l'application DSVIDEO ou DSAUDIO puis de refaire la connexion en HTTP et non en HTTPS  ? as tu les mêmes soucis ?

Yes, ce qui est très étrange c'est qu'il ne met pas l'erreur de certificat tout de suite, desfois ca marche pendant 5/10/20/30 minutes sans broncher !

Mon NAS étant entièrement HTTPS à la base, je n'ai pas encore essayé la connexion en HTTP. Mais je vais le faire cette semaine, il faut juste que je désactiver la redirection HTTP vers HTTPS automatiquement et je testerais ensuite du streaming en local. Mais sur le principe, je pense qu'il n'y aura aucun soucis puisque plus rien ne passera pas un certificat :)

Par contre je suis étonné que le problème ne soit pas autant remonté par d'autres utilisateurs. Je pense être dans une configuration plutôt classique (HTTPS obligatoire et certificat LetsEncrypt).

Affaire à suivre....

[DaffY]

Oui en parcourant ici et là on constate que d'autres ont eu ce genre de pb. Le contournement (pas d'une solution) étant de passer en http... sic.

A savoir si le souci est SYNO ou CHROMECAST... ou les deux... car j'ai vu que d'autres rencontraient le pb avec des certificats obtenus d'autres autorité que LETSENCRYPT.

Bon perso j'ai plus de chromecast... tout en ATV... et j'évite le sans fil. Mais on s'en fout je sais...

Tiens nous au courant.