Aller au contenu

Client Android Synology Drive : connexion impossible


PierU

Messages recommandés

Bonjour,

Je veux installer Synology Drive sur un appareil Android, et ça bloque au moment de la configuration de la connexion au NAS. Il me dit que le certificat SSL n'est pas fiable. J'ai en fait ce même message quand je configure la connexion du client sur un Mac, mais le client Mac permet quand même de passer outre, alors que sur le client Android je n'ai pas d'autre choix de faire "OK" et il revient à l'écran de config. Comment faire pour valider quand même ??

Au passage je ne vois pas bien en quoi le certificat ne serait pas fiable, c'est le certificat de "Let's Encrypt" fourni par l'interface du Syno (et je n'ai aucun avertissement de certificat quand je me connecte à l'interface du Syno en https depuis un navigateur)

 

Screenshot_2021-05-02-11-29-20-548~2.jpg

Lien vers le commentaire
Partager sur d’autres sites

@PierU

Bonjour,

Si tu as recharger sur ton smartphone ton certificat LE avec des fichiers ".pem" cela ne marche pas, Android ne les reconnait pas.

Une piste à suivre :

  • Exportes ton certificat LE (fichier .crt ou .pem)
  • Converti -le en fichier ".p12"
Citation

Pour convertir un fichier ".crt" ou ".pem" en ".p12", il faut passer par un outil comme OpenSSL sur Windows en ligne de commandes.

Pour cela il faut :

·         Installer sur le PC "OpenSSL".

·         Touche Win + X : et ouvrir une fenêtre de CMD en mode Admin

·         Faire un "cd" sur le répertoire contenant les fichiers .pem

·         Taper la commande : "openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem"

  • Ensuite tu importes ton certificat ".p12" sur le smartphone et là il devrait être reconnu par Synology Drive.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Il y a 2 heures, oracle7 a dit :

Si tu as recharger sur ton smartphone ton certificat LE avec des fichiers ".pem"

...je n'ai rien chargé sur Android. Nulle part dans les doc Synology je ne vois qu'il faudrait faire ça :

https://www.synology.com/fr-fr/knowledgebase/Mobile/help/Drive

Cela dit je ne comprends pas non plus leurs instructions, par exemple : "Activez l'option Vérifier le certificat dans login.png > Paramètres de connexion pour valider le certificat SSL installé sur votre Synology NAS."... Ce n'est pas clair du tout si c'est sur le NAS ou sur Android qu'il faut faire cette manip (et je ne trouve ce menu nulle part)

 

Lien vers le commentaire
Partager sur d’autres sites

@PierU

Bonjour,

Comme je te l'ai dit, c'est une piste ... Chez moi cela avait résolu le problème.

Sinon, le port 6690 qui est utilisé par Drive pour la partie Synchronisation de données :

  • est-il bien transféré de ta box vers ton NAS ?
  • et ce port est-il bien autorisé/ouvert dans le pare-feu du NAS ?
il y a 11 minutes, PierU a dit :

"Activez l'option Vérifier le certificat dans login.png > Paramètres de connexion pour valider le certificat SSL installé sur votre Synology NAS."

De mémoire, c'est à faire sur le client Android, non ?

Cordialement

oracle7😉

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 11 heures, oracle7 a dit :

Sinon, le port 6690 qui est utilisé par Drive pour la partie Synchronisation de données :

  • est-il bien transféré de ta box vers ton NAS ?
  • et ce port est-il bien autorisé/ouvert dans le pare-feu du NAS ?

Oui aux deux questions (d'ailleurs le client trouve bien le NAS, c'est juste que le certificat ne lui plaît pas).

Il y a 11 heures, oracle7 a dit :

De mémoire, c'est à faire sur le client Android, non ?

Dans ce cas je ne peux pas : tant que la connexion n'a pas été établie, le client n'offre aucun menu autre que l'écran de connexion...

Je vais tenter l'installation du certificat sur Android.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 16 heures, PierU a dit :

c'est le certificat de "Let's Encrypt" fourni par l'interface du Syno (et je n'ai aucun avertissement de certificat quand je me connecte à l'interface du Syno en https depuis un navigateur)

Est-ce que tu as bien configuré Drive pour utiliser le certificat en question ?
Panneau de configuration -> Sécurité -> Certificat -> Configurer -> s'assurer que Drive utilise bien ton certificat LE.

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, .Shad. a dit :

Est-ce que tu as bien configuré Drive pour utiliser le certificat en question ?
Panneau de configuration -> Sécurité -> Certificat -> Configurer -> s'assurer que Drive utilise bien ton certificat LE.

Oui, tous les services (dont "Synology Drive Server") utilisent le certificat LE (qui ne pose aucun problème quand j'accède à l'interface web en https par Firefox).

Lien vers le commentaire
Partager sur d’autres sites

Il y a 14 heures, PierU a dit :

...je n'ai rien chargé sur Android. Nulle part dans les doc Synology je ne vois qu'il faudrait faire ça :

https://www.synology.com/fr-fr/knowledgebase/Mobile/help/Drive

Je confirme, il n'y a pas besoin d'installer de certificat client sur ton smartphone Android, un magasin de certificats est embarqué dans l'OS.
Normalement tu as juste une option HTTPS que tu peux cocher.

Est-ce que tu utilises un proxy inversé ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, .Shad. a dit :

Est-ce que tu utilises un proxy inversé ?

Non. J'ai un abo internet avec une IP fixe, et un nom de domaine (monnas.mondomain.fr) qui pointe sur cette IP fixe. J'ai mis une règle NAT sur la box pour faire suivre le port utilisé par Drive Server. La box gère le loopback donc en principe que je sois sur mon réseau local ou pas je peux établir la connexion avec l'adresse publique. Ca marche très bien depuis mon Mac, je peux me connecter à Drive aussi bien avec l'adresse publique+https qu'avec l'IP locale (sans https).

J'ajoute quelques éléments, qui renforcent mon incompréhension :

  • Depuis Android, comme dit précédemment, le client trouve le NAS par l'adresse publique mais râle que le certificat n'est pas bon.
  • Depuis Android, le client ne trouve pas du tout le NAS par l'IP locale !
  • Depuis iOS sur un iPhone, le client ne trouve pas du tout le NAS, que ce soit par l'adresse publique ou locale (capture ci-dessous) !

 

 

2021-05-03 11.47.31.png

Lien vers le commentaire
Partager sur d’autres sites

il y a 13 minutes, PierU a dit :

J'ai mis une règle NAT sur la box pour faire suivre le port utilisé par Drive Server.

Pour information, si tu utilises Drive depuis l'extérieur, sans proxy inversé, il y a deux ports à rediriger.
- Celui de l'interface Drive Server, càd l'interface de gestion à laquelle tu accèdes depuis ton Mac ou un PC, ou via l'application Drive pour Android et iOS.
Accessible via un port personnalisé ou un domaine personnalisé réglable dans Portail des Applications.
- Le port par lequel transite les données. 6690 TCP hardcodé dans le NAS, qui établit une connexion TLS entre le client et le NAS.

On est d'accord que dans l'écran de connexion de Drive sur smartphone tu entres bien dans le champ d'adresse : monnas.mondomaine.fr ? (pas besoin de préciser le port normalement).

Le fait que tes périphériques mobiles ne trouvent pas le NAS via son IP est très surprenant. D'ailleurs, quand tu dis ne pas trouver, tu obtiens quelle erreur par exemple quand tu essaies d'accéder à DSM par navigateur via un smartphone connecté au Wifi local ? Délai dépassé, refusé, ... ?

Modifié par .Shad.
Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, .Shad. a dit :

Pour information, si tu utilises Drive depuis l'extérieur, sans proxy inversé, il y a deux ports à rediriger.
- Celui de l'interface Drive Server, càd l'interface de gestion à laquelle tu accèdes depuis ton Mac ou un PC, ou via l'application Drive pour Android et iOS.
Accessible via un port personnalisé ou un domaine personnalisé réglable dans Portail des Applications.
- Le port par lequel transite les données. 6690 TCP hardcodé dans le NAS, qui établit une connexion TLS entre le client et le NAS.

Bon, ça se démoule, mais il y a de quoi s'y perdre :

Sur le NAS j'avais assigné dans Drive Server le port 8000 à l'accès http, et 8001 à l'accès https. Sur la box je faisais suivre le port 18001 vers le port 8001 du NAS et le port 16690 vers le port 6690 du NAS (vieille habitude de changer les numéros qui ne sert sans doute à rien... surtout pour les ports qui ne sont pas en dur 😄 ).

Sur mon Mac, j'avais paramètré le client DS Drive avec <Server adress: monnas.mondomaine.fr:16690> et ça bien marchait comme ça (et ça marche toujours !). Je viens par ailleurs de vérifier, si je ne précise pas le port il cherche par défaut le port 6690 (et ça ne marche que si je fais suivre ce port sur la box).

Donc naturellement j'ai initialement essayé de paramétrer le client Android (et ensuite iOS) de la même façon : c'est là qu'est le problème ! Il faut le paramétrer avec le port de l'interface : <Adresse : monnas.mondomaine.fr:18001>, et là ça marche ! Même pas besoin d'ouvrir un port sur la box pour le port 6690, en fait (j'ai testé en supprimant toute redirection pour ce port et ça marche tout aussi bien). Par contre mettre le port est obligatoire (ce qui parait logique, comment pourrait-il deviner sinon...).

Donc problème initial résolu (c'était l'accès en https depuis l'extérieur). Mais quelle idée ont-ils eu de faire différemment entre le client desktop et le client mobile ???

Et en local sans https, ça ne marchait pas non plus depuis iOS et Android, mais pour la même raison : je mettais le port 6690 au lieu de 8000... Avec 8000 ça marche, et sans préciser le port ça marche aussi (comment devine-t-il d'ailleurs, vu que ce n'est pas un port codé en dur dans DSM ?)

 

 

Lien vers le commentaire
Partager sur d’autres sites

Même si maintenant ça marche, il reste une question : pourquoi avec le client mobile suis-je obligé de préciser le port depuis l'extérieur, même quand dans la règle NAT je redirige 6690 vers 6690 (donc sans changer le numéro) ? D'après @.Shad. ça devrait marcher sans préciser le port, et quelqu'un d'autre sur un autre forum me certifie que chez lui ça marche sans préciser, en ne redirigeant aucun autre port que le 6690, et sans même avoir défini des ports personnalisés pour l'interface web de Drive...

Lien vers le commentaire
Partager sur d’autres sites

Je ne vais pas citer des passages de tes messages car à la lecture des deux précédents tu mélanges plusieurs choses, je comprends que ce ne soit pas clair du coup. 😄 

Drive c'est deux choses :

- Un port pour l'interface de gestion de Drive. C'est ce à quoi tu accèdes via l'IP du NAS et le port personnalisé dans ton navigateur, c'est aussi ce à quoi tu te connectes en passant par les applis mobiles. Toi tu as mis 8000 et 8001 sur le NAS pour HTTP et HTTPS pour Drive. Et si j'ai bien compris, tu translates les ports 18000 et 18001 vers 8000 et 8001 respectivement via le NAT de ta box.

Donc quand tu essaies d'accéder à l'interface de Drive, que tu sois en local ou en 4G, et vu que tu utilises le loopback, l'adresse que tu dois mettre dans ton appli mobile c'est monnas.mondomaine.fr (en supposant que ce domaine renvoie bien vers ton IP publique) suivi du port 18000 pour HTTP ou 18001 si tu as coché HTTPS. Ajoute à cela que monnas.mondomaine.fr doit être un domaine pour lequel un certificat valide a été émis.

- Un port pour le transfert des données, ce port n'a jamais besoin d'être précisé nulle part !! et il ne doit sûrement pas être redirigé depuis un autre port. Donc tu rediriges le port TCP 6690 de ta box vers ton NAS, et tu l'autorises dans le pare-feu de celui-ci (en restreignant éventuellement les sources possibles, par IP ou géographiquement).

Pour ce que tu dois mettre dans le client Drive PC ou Mac, c'est simple, c'est juste le domaine qui fait pointer vers ton NAS. Donc monnas.mondomaine.fr doit fonctionner. Le loopback fera son travail, il détectera une requête privée arrivant sur son WAN, il redirigera ta requête vers le NAS en stipulant à celui-ci que la requête vient de l'environnement local (et pas du WAN, c'est ça le loopback).

Lien vers le commentaire
Partager sur d’autres sites

il y a 59 minutes, .Shad. a dit :

Je ne vais pas citer des passages de tes messages car à la lecture des deux précédents tu mélanges plusieurs choses

Ah ça c'est fort possible !

il y a une heure, .Shad. a dit :

Drive c'est deux choses :

- Un port pour l'interface de gestion de Drive. C'est ce à quoi tu accèdes via l'IP du NAS et le port personnalisé dans ton navigateur, c'est aussi ce à quoi tu te connectes en passant par les applis mobiles. Toi tu as mis 8000 et 8001 sur le NAS pour HTTP et HTTPS pour Drive. Et si j'ai bien compris, tu translates les ports 18000 et 18001 vers 8000 et 8001 respectivement via le NAT de ta box.

Donc quand tu essaies d'accéder à l'interface de Drive, que tu sois en local ou en 4G, et vu que tu utilises le loopback, l'adresse que tu dois mettre dans ton appli mobile c'est monnas.mondomaine.fr (en supposant que ce domaine renvoie bien vers ton IP publique) suivi du port 18000 pour HTTP ou 18001 si tu as coché HTTPS. Ajoute à cela que monnas.mondomaine.fr doit être un domaine pour lequel un certificat valide a été émis.

Oui pour tout. Et en effet monnas.mondomaine.fr:18001 fonctionne dans ces conditions.

Mais mon dernier questionnement c'était "dans quelles conditions ça peut marcher sans préciser aucun port" ? Pour moi ça ne marchait pas, alors que d'autres rapportent qu'ils n'ont besoin de préciser aucun port dans le client mobile. Mais ça y est j'ai trouvé : pour ça il faut (et même il suffit) que le port 5001 (celui par défaut de l'interface d'administration https de DSM) soit redirigé vers le NAS. Bon, c'était juste par besoin de comprendre...

Il y a 1 heure, .Shad. a dit :

- Un port pour le transfert des données, ce port n'a jamais besoin d'être précisé nulle part !! et il ne doit sûrement pas être redirigé depuis un autre port. Donc tu rediriges le port TCP 6690 de ta box vers ton NAS, et tu l'autorises dans le pare-feu de celui-ci (en restreignant éventuellement les sources possibles, par IP ou géographiquement).

Ben en fait pour le client mobile il n'y a même pas besoin de le rediriger du tout, apparemment... Ca marche aussi bien sans. Par contre il le faut pour le client de bureau.

Il y a 1 heure, .Shad. a dit :

Pour ce que tu dois mettre dans le client Drive PC ou Mac, c'est simple, c'est juste le domaine qui fait pointer vers ton NAS. Donc monnas.mondomaine.fr doit fonctionner.

Oui, si le port 6690 est redirigé tel quel. Si c'est une redirection par exemple 16690-->6690, il faut que je mette monnas.mondomaine.fr:16690 pour que ça marche.

 

Il y a quand même une différence fondamentale entre le le client mobile et le client de bureau sur le(s) port(s) utilisé(s).

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, PierU a dit :

Mais mon dernier questionnement c'était "dans quelles conditions ça peut marcher sans préciser aucun port" ? Pour moi ça ne marchait pas, alors que d'autres rapportent qu'ils n'ont besoin de préciser aucun port dans le client mobile. Mais ça y est j'ai trouvé : pour ça il faut (et même il suffit) que le port 5001 (celui par défaut de l'interface d'administration https de DSM) soit redirigé vers le NAS. Bon, c'était juste par besoin de comprendre...

C'est surtout le fait que tu utilises le port 18000 (18001) sur ta box au lieu du port 8000 (8001) qui casse la connexion. Le client DS ne peut pas savoir qu'il doit ne pas cibler le port personnalisé, ou port DSM effectivement. Si tu ne décalais tes ports tu n'aurais pas besoin de rediriger le port 5000 ou 5001 pour Drive.

il y a une heure, PierU a dit :

Ben en fait pour le client mobile il n'y a même pas besoin de le rediriger du tout, apparemment... Ca marche aussi bien sans. Par contre il le faut pour le client de bureau.

Parce que les clients mobiles ne proposent pas de synchro, juste une consultation en ligne et un téléchargement hors ligne.

il y a une heure, PierU a dit :

Oui, si le port 6690 est redirigé tel quel. Si c'est une redirection par exemple 16690-->6690, il faut que je mette monnas.mondomaine.fr:16690 pour que ça marche.

Je ne suis pas certain qu'on puisse depuis le client viser un autre port que le 16690, ou alors c'est une nouvelle fonctionnalité.
Auparavant il me semble que quoiqu'on lui précisait, le client visait le port 6690.

il y a une heure, PierU a dit :

Il y a quand même une différence fondamentale entre le le client mobile et le client de bureau

Ce sont les nuances de fonctionnalités qui impliquent ces différences surtout.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 13 heures, .Shad. a dit :

C'est surtout le fait que tu utilises le port 18000 (18001) sur ta box au lieu du port 8000 (8001) qui casse la connexion. Le client DS ne peut pas savoir qu'il doit ne pas cibler le port personnalisé, ou port DSM effectivement. Si tu ne décalais tes ports tu n'aurais pas besoin de rediriger le port 5000 ou 5001 pour Drive.

J'avais essayé de faire une redirection 8001-->8001, et le client mobile ne trouvait pas tout seul la connexion... D'après mes différents tests il semble bien qu'il cherche le 5001 uniquement, et s'il ne le trouve pas il faut lui indiquer lequel utiliser.

 

Il y a 13 heures, .Shad. a dit :

Je ne suis pas certain qu'on puisse depuis le client viser un autre port que le 16690, ou alors c'est une nouvelle fonctionnalité.
Auparavant il me semble que quoiqu'on lui précisait, le client visait le port 6690.

Je confirme pour le client de bureau qu'on peut lui préciser un autre port (et qu'il en tient compte)

 

Il y a 13 heures, .Shad. a dit :

Ce sont les nuances de fonctionnalités qui impliquent ces différences surtout.

Oui, ok

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.