Partage de fichier sans passer par le DSM

[jcpamart]

Salut,

Je dois partager quelques fichiers temporairement avec une personne juridique pour ma société.

Si je fais un partage de fichier classique, il faut que j'ouvre le port 5001 par défaut sur ma box.

Hors, je ne veux pas que le port 5001 se redirige vers ma machine, car le DSM se retrouverait à découvert.

Ais-je la possibilité d'effectuer un partage sur un autre port type "Bac à sable " ?

Merci de votre aide.

[Mic13710]

Le port des liens de partage est celui spécifié dans Accès externe, Avancé. Vous changez le port https par celui que vous voulez et vous dirigez ce port dans le routeur vers le NAS. Vérifiez aussi que le port en question soit ouvert dans le parefeu du NAS.

[Invité]

il y a une heure, jcpamart a dit :

effectuer un partage sur un autre port

Tu peux mettre le "serveur de fichier" sur un NDD ou un Wildcard du DDNS Syno -> 443

Tu peux aussi installer ce type d'app (temporaire ou pas) en Docker (Droppy, PicoShare, Pingvin etc) -> NDD/443 ou port dédié SSL (temporaire ou pas).

[jcpamart]

Salut,

Merci pour votre aide. Du coup j'ai pris temporairement la solution de Mic. A savoir utiliser un port autre que le 5001, et de faire une redirection de cet autre port vers le 5001 en local. cela répond partiellement à mon soucis car du coups, le port en question donne accès au DSM.

Passer par Docker n'est pas mon kiff, même si je reconnais le talent de cet outil. J'aurais préféré une alternative issue de SYNO.

Je vais quand même continuer de creuser la question car elle peut être utile à d'autres utilisateurs.

[CMDC]

Il y a 2 heures, jcpamart a dit :

Je vais quand même continuer de creuser la question car elle peut être utile à d'autres utilisateurs.

Si tu trouves une autre possibilité, je te conseille alors te t'inscrire à un "hackhaton" ou alors sur le darkweb, car tu vas intéresser beaucoup de monde 

[jcpamart]

Non, juste partager un ou des fichiers sans rendre le DSM accessible....

Manifestement c'est pas simple. Et j'en convient....

[DaffY]

Bonjour
Service Web actif permet de le faire
On dépose le fichier dans le dossier
On transmet le lien ndd/dossier/nomdefichier.ext
Et voilà
Routage 443/80. Requis

[CoolRaoul]

Il y a 9 heures, jcpamart a dit :

Non, juste partager un ou des fichiers sans rendre le DSM accessible....

Je ne suis pas sûr de ce qu'il faut comprendre par "rendre le DSM accessible…", l'interface d'admn ou juste un acces web ?

Via Synology Drive, en ayant configuré mon NAS avec un sous-domaines Synology via DDNS , je peux créer un lien de partage sur un fichier ou un dossier. Et les options de partages sont assez complètes : 

Le lien a la forme "https://<nom>.myds.me/drive/d/s/<chaine de caractère unique>

Et pas besoin d'ouvrir les ports 5000 ou 5001 (mais le port 443 oui évidemment)

Modifié le 15 mai par CoolRaoul

[CMDC]

Le problème c'est qu'il veut "partager", et je subodore que cela ne veut pas dire "simple téléchargement" mais plutôt "travail collaboratif " ....

Mais peut-être que je me trompe ... 

[jcpamart]

Salut,

Comme quoi la nuit porte conseil, j'avais pensé effectivement à développer un petit site web avec login/MDP.

J'ai websiteX5, ça devrait suffire pour faire ça rapidement.

Pour l'instant pas de travail collaboratif, simplement un partage de fichier.

Mais pour Drive, le lien inclus bien un port, pas comme ton screenshot @CoolRaoul

J'ai peut être loupé une option de config quelque part.

[Mic13710]

il y a 33 minutes, jcpamart a dit :

Mais pour Drive, le lien inclus bien un port, pas comme ton screenshot @CoolRaoul

Pour clarifier ce point, il faut comprendre que le port utilisé pour les liens partagés est celui spécifié dans Accès externe, Avancé. Si le port indiqué en https est le 443, il est évident qu'il ne sera pas indiqué dans le lien puisqu'il s'agit du port https par défaut. Tout autre port sera forcément incorporé dans le lien.

Pour en revenir à cette histoire d'accès DSM, je ne comprends pas bien où est le problème. Certes un lien créé dans file station (ou dans Drive) va utiliser une adresse correspondant au NAS (normal pour pouvoir télécharger). Cette adresse peut être simplifiée par l'utilisateur dans le navigateur pour accéder à la racine (https://file.ndd) mais ce n'est qu'un accès vers la page d'accueil de file station (qui ne mène à rien sans des identifiants), en aucun cas un accès à DSM, ou alors il faut m'expliquer comment de file station vous passez à DSM.

[jcpamart]

Très simple, tu prends un lien que j'ai créé :

https://monsyno.synology.me:9XXX/sharing/rxxxxxxxxx

Tu le réduit à :

https://monsyno.synology.me:9XXX

Et tu as accès au DSM

A la base, oui tu as raison, ça débouche sur le filestation. Mais la racine te donne accès au DSM.

C'est ça mon soucis en fait.

[CoolRaoul]

Le problème c'est qu'il veut "partager", et je subodore que cela ne veut pas dire "simple téléchargement" mais plutôt "travail collaboratif " ....
Mais peut-être que je me trompe ... 

On peut partager en lecture et écriture il me semble. (Je vérifierai)

Mais pour Drive, le lien inclus bien un port, pas comme ton screenshot

Pas forcément.
Il suffit de déclarer un alias pour l'appli drive dans le portail de connexion(d'où le /drive dans l'URL) et ca passe par le port 443 standard. (Le choix du nom de l'alias est libre)

[Mic13710]

Parce que l'adresse mise dans Accès externe, Avancé est monsyno.synology.me et que cette adresse renvoie vers DSM.

Pour éviter cela, il faut utiliser le reverse proxy et utiliser des adresses pour chaque application  :

nas.monsyno.synology.me pour l'accès à DSM

file.monsyno.synology.me pour l'accès à file station

audio.monsyno.synology.me pour audio station

etc...

L'adresse à indiquer pour les liens doit être sur file.monsyno.synology.me

Quant à monsyno.synology.me si elle n'est pas redirigée par le reverse proxy, elle aboutira à une erreur 404.

Ainsi, chaque accès est cloisonné et si toutefois il y a une tentative sur un ndd résolu, c'est le parefeu qui agira pour bloquer les tentatives avec des identifiants erronés.

[CoolRaoul]

Parce que l'adresse mise dans Accès externe, Avancé est monsyno.synology.me et que cette adresse renvoie vers DSM

Je te réponds même si je ne suis pas certain à qui s'adresse ta réponse.
Sur ma config j'ai effectivement monsyno.synology.me dans "accès externe".
Mais l'url avec juste cette adresse ne revoie pas du tout à l'interface d'admin DSM (qui est en 5000/5001 ports que rien n'oblige à ouvrir en plus) mais au portail web (WebStation). Et s'il n'y a rien à la racine du site, ou mieux un redirect vers un site inexistant un attaquant sera obligé d'en rester la. (on peut même désactiver webstation si on n'a pas besoin de serveur web et ça continue à fonctionner)
J'utilise également le reverse proxy pour les services qui ne sont pas configurables simplement sous forme d'alias dans le portail de connexion, mais pour ceux ou c'est possible je ne vois pas l'intéret de leur affecter un port dédié et de faire de cette façon
 
NB: désolé pour la réponse tardive, mais comme je ne suis toujours pas parvenu à recevoir les notifications de réponse dans ce forum malgré l'option "suivre ce sujet", je loupe des trucs.


Modifié le 18 mai par CoolRaoul

[Mic13710]

il y a 11 minutes, CoolRaoul a dit :

Je te réponds même si je ne suis pas certain à qui s'adresse ta réponse.

Elle ne t'était pas destinée en effet 😉.

C'était en réponse à :

Le 15/05/2024 à 2:48 PM, jcpamart a dit :

Tu le réduit à :

https://monsyno.synology.me:9XXX

Et tu as accès au DSM

dont ses réglages le conduisent à DSM.

Sinon, si tout est fait correctement comme tu l'as décrit, on devrait tomber sur webstation s'il est activé ou une erreur 404 si l'adresse ne peut pas être résolue, ou un site bidon si tu renvoies vers une url externe comme tu le dis.

[jcpamart]

Salut,

Merci je comprends un peu mieux, mais alors :

Si je vais sur la racine, j'ai une erreur 403

Siu

Et si je vais sur le lien de partage, j'ai une erreur 404

 

Y a donc encore un truc à creuser du coup....

Merci pour votre aide

Modifié le 18 mai par jcpamart

[Mic13710]

Pour la première erreur, l'adresse est résolue mais le serveur refuse l'accès (problème de droits ?). Pour la deuxième, l'adresse n'est pas résolue.

Comme votre ndd est visible sur la deuxième vue, j'ai vérifié sa propagation et c'est bien votre IP qui est renvoyée. Il y a donc bien un problème à résoudre entre votre routeur et le NAS.

Est-ce que vous avez fait la redirection du port 443 vers l'IP du NAS dans le routeur ? Et est-ce que le port 443 est autorisé dans le parefeu du NAS ?

[jcpamart]

Merci,

Effectivement, j'ai supprimé la vue, c'est pas très sécure.

Maintenant que le port 443 est dirigé, ça tombe dessus. Mais pas avec les bon droits.. LOL

! Vous n'êtes pas autorisé à utilisé ce service !

[Mic13710]

443 autorisé dans le parefeu du NAS ?

[jcpamart]

Oui

Mais je pense un soucis de droits sur le répertoire partagé ?

Modifié le 18 mai par jcpamart