Accueil nouvel utilisateur WAN et fermeture port 5000 vers l'extérieur

[Cindy Sauvage]

Bonjour à tous,

Nouvelle utilisatrice d'un système NAS avec un DS423+, je l'ai configuré et paramétré en suivant une grande partie du tutoriel

J'aimerais partagé mes photos via Synology Photo avec des utilisateurs extérieurs à mon LAN mais qui n'ont aucune notion informatique en dehors de Facebook 🤣

Je n'ai donc ouvert que le port lié à Synology Photo vers l'extérieur en paramétrant mon routeur.  Cela fonctionne correctement pour synchroniser plusieurs Smartphone Android et Iphone (bien que pour celui-ci, cela semble plus compliqué car nous rencontrons l'erreur PHPhotosErrorDomain erreur -1 qui bloque la synchronisation de temps à autre, j'y reviendrai plus tard).

Pour l’accueil des nouveaux utilisateurs, j'aurai aimé utiliser le système de notification et de création de mot de passe fourni par Synology.
J'ai résolu la problématique qu'il fournissait l'IP LAN en modifiant l'événement Système "Avertissement - Cher nouvel utilisateur ..." et en y ajoutant la variable %HTTP_URL% au lieu de %IP_URL%.

Mon problème est que derrière cette variable est utilisé le port 5000 qui n'est pas ouvert à l'extérieur.  Je suppose donc que ça ne va pas fonctionner ...

Comment puis-je résoudre mon problème sans ouvrir le port 5000 en WAN ? (En faisant des tests, j'avais laissé un port ouvert et j'ai eu des 2500 tentatives d'accès en 1 semaine via le compte admin, que j'avais désactivé sous les bons conseils du tuto ci-dessus).

Utiliser un VPN n'est pas possible vu le faible niveau informatique des utilisateurs.
Ouvrir le port 5000 pour un certain temps n'est pas viable non plus car l'ajout des utilisateurs ne va pas se faire sur peu de temps.

La seule solution que j'entrevoie est de gérer moi-même leur mot de passe et de leur transmettre.

Auriez-vous une autre solution ?

Question subsidiaire pour la problématique de la synchronisation IPhone, j'ai modifié l'extension des photos de HEIC vers JPG.  Pensez-vous que ça peut résoudre le problème ?

Merci beaucoup à ceux qui me lisent et encore plus à ceux qui voudront bien tenter de m'aider 🙂

Belle journée!

Cindy

[CyberFr]

Bonjour @Cindy Sauvage,

Je pense que tu devrais scinder ton problème en deux. L'excellent tutoriel que tu as lu porte sur la sécurisation du NAS en général. Ne t'en écarte pas.

Après il y a Synology Photo qui utilise son propre port que tu dois ouvrir sur l'extérieur en modifiant les règles du pare-feu en conséquence, à l'exclusion de tout autre port. Si tu peux le gérer derrière un reverse-proxy c'est encore mieux.

Après il te faut consulter la documentation de Synology Photo. Je te recommande de procéder pas à pas en testant l'application sur un Mac ou un PC puis avec un utilisateur invité puis sur des appareils mobiles. Oublies les notifications pour l'instant. Si tu veux tout faire en même temps tu risques de te planter.

[Mike913]

Bonjour,

Dans Panneau de configuration -> Portail de connexion -> Applications 

Tu peux régler les ports d' accès ou indiquer un nom de domaine 

[Cindy Sauvage]

Bonjour,

La définition du nom de domaine et l'accès à Synology photo en dehors du LAN fonctionne parfaitement avec plusieurs utilisateurs 🙂

Je n'ai ouvert vers l'extérieur que le port dédié à l'application Synology photo.

Je cale vraiment sur la partie accueil des utilisateurs au niveau du mot de passe car j'aurai aimé que ce soit les utilisateurs qui gèrent leur mot de passe mais le lien envoyé par Synology est le port 5000 que je ne veux absolument pas ouvrir 😄

[CyberFr]

Il y a 17 heures, Cindy Sauvage a dit :

La définition du nom de domaine et l'accès à Synology photo en dehors du LAN fonctionne parfaitement avec plusieurs utilisateurs 🙂

Tu as donc bien renseigné le Portail de connexion dans DSM et l'accès à Synology Photos est du genre "https://photos.ndd.fr".

Il y a 17 heures, Cindy Sauvage a dit :

Je n'ai ouvert vers l'extérieur que le port dédié à l'application Synology photo.

Si tu passes par un proxy inversé défini dans le Portail de connexion, il n'est pas nécessaire d'ouvrir ce port sur l'extérieur.

Il y a 17 heures, Cindy Sauvage a dit :

Je cale vraiment sur la partie accueil des utilisateurs au niveau du mot de passe car j'aurai aimé que ce soit les utilisateurs qui gèrent leur mot de passe mais le lien envoyé par Synology est le port 5000 que je ne veux absolument pas ouvrir 😄

Sauf si, une fois de plus tu passes par un proxy inversé, ce port est forcément ouvert puisque c'est le port d'administration de DSM. De plus c'est le port HTTP non sécurisé et non le port HTTPS...

Modifié le 20 avril par CyberFr

[Cindy Sauvage]

Bonjour,

Le 20/04/2024 à 11:19 AM, CyberFr a dit :

Tu as donc bien renseigné le Portail de connexion dans DSM et l'accès à Synology Photos est du genre "https://photos.ndd.fr".

Je pense bien : Dans portail de connexion -->

- DSM : J'ai mis un nom de domaine personnalisé

- Applications : J'ai mis un alias

Si c'est bien ça, c'est fait.

Je vais me renseigner sur le fonctionnement et le paramétrage d'un proxy inversé.

Merci pour les infos 🙂

[CyberFr]

Tu devrais lire attentivement le tuto consacré à la sécurité dont tu parles dans ton premier post. Il semble que certains points t'aient échappés. Sinon il y a un tuto consacré au proxy inversés sur le forum.

[Mike913]

Si tu as bien rempli dans Panneau de configuration -> Portail de connexion -> Applications (Synology photos)  

et  non Panneau de configuration -> Portail de connexion -> DSM

tu n'as pas besoin du proxy inversé, et je déconseille de mettre un nom de domaine pour accéder à DSM.