Synology SYNOLOGY Photos ne permet pas aux invités d'y accéder

Damien-de-Tours

Damien-de-Tours

Apprenti
10 Juillet 2021
48
7
8
Bonsoir,
J'ai configuré un utilisateur faisant partie d'un groupe qui a les droits de lecture sur l'ensemble de mes albums photos, et qui a aussi le droit d'utiliser l'application "Synology Photos" (et seulement cette application).
Ensuite, dans l'application "Synology Photos", j'ai défini les autorisations sur les dossiers concernés (seuls les invités peuvent accéder).
Dans le panneau de configuration, j'ai activé QuickConnect. J'ai activé le Service de Relais de QuickConnect. J'ai lancé les tests qui disent que tout est OK.
Quand je crée un nouvel utilisateur, ce dernier reçoit par messagerie un lien pour accéder aux photos, ou plutôt pour modifier son profil.
Le message ressemble à ceci :
Bienvenue sur NAS-XXX ! Vous pouvez accéder à http://192.168.1.nn:nnnn/ pour modifier votre profil. Votre nom d'utilisateur : untel
Votre mot de passe : sésame
Pourquoi cette adresse IP est-elle locale ? Pourquoi n'est-ce pas une adresse de type QuickConnect ?
Toujours est-il que le nouvel utilisateur n'a pas accès aux photos.
Quand il veut se connecter, un message lui dit qu'il n'est pas autorisé à utiliser ce service...

Je tourne en rond et je craque !
Merci de votre aide
 
Slt
Normal qu'il n'y accède pas dans ton adresse tu donne ip en 192.168.1.2 une ip local
Change ip par ton adresse quickconnect et tu garde le chemin après ip genre
Mais y a quelques chose à cocher sur le nas pour qu'il mette la bonne adresse mais je ne sais plus où.
 
pikeupe a dit:
Slt
Normal qu'il n'y accède pas dans ton adresse tu donne ip en 192.168.1.2 une ip local
Change ip par ton adresse quickconnect et tu garde le chemin après ip genre
Mais y a quelques chose à cocher sur le nas pour qu'il mette la bonne adresse mais je ne sais plus où.
Cliquez pour agrandir...
Merci pour ta réponse. Effectivement, cette adresse IP locale ne peut pas marcher, mais c'est le mail "d'invitation" qui la génère automatiquement. Je vais changer ça. Pas tout de suite. Je reviendrai ici pour te dire quoi. Merci encore.
Message automatiquement fusionné :

Jeff777 a dit:
Bonjour,
Vérifie que tu as ton adresse publique et non privée dans accès externe/avancé du panneau de config ?
Cliquez pour agrandir...
Merci pour ton aide. Je vérifie de soir tard ou demain. Merci encore
 
Bonjour, et merci encore à pikeupe et Jeff777 pour votre implication.

J'ai compris mon erreur : en effet, le mail d'invitation (généré par Synology) pointait vers une adresse locale, ce qui ne pouvait pas marcher pour des invités distants.
En fouillant un peu, j'ai compris ceci :

Si ce n'est pas déjà fait, pensez à activer QuickConnect : Panneau de config > Accès externe > cochez la case ad hoc et choisissez un ID.

La gestion des utilisateurs et des groupes dans DSM n'est utile que pour déclarer les utilisateurs, leur mot de passe et leur appartenance à un groupe. Tous les autres paramètres, notamment la gestion des autorisations, ne sont valables que pour les utilisateurs LOCAUX.
Les droits définis dans DSM sont ignorés; seuls ceux de Synology Photos sont nécessaires, comme indiqué ci-après.

Dans Synology Photos, cliquez sur l'icône de votre compte dans le coin supérieur droit (matérialisé par la première lettre de votre compte dans un cercle rouge).
Paramètres > Espace partagé > Activer l'espace partagé puis Définir les autorisations d'accès.

Seuls les dossiers de premier et de second niveau peuvent faire l'objet d'autorisations.
Les dossiers de niveau inférieur héritent des droits du deuxième niveau.

Les invités accèdent directement aux photos sans passer par DSM via ce lien :
où QQQQQQQ représente l'identifiant QuickConnect.
le terme "photo" est pré-renseigné mais on peut le modifier dans [Panneau de config > Portail de connexion > Applications > Synology Photos]
En réalité, tous les paramètres sont pré-renseignés et on ne touche à rien ici.

Source : https://kb.synology.com/fr-fr/DSM/help/SynologyPhotos/photos_desc?version=7

Les choses vont beaucoup mieux quand on prend le temps de lire la doc...

Bonne journée et encore merci.
 
  • J'aime
Réactions: Jeff777
D'un point de vue sécurité et rapidité, il est plutôt déconseillé de passer par QuickConnect... Car tout passe par les serveurs de Synology.
Il est préférable d'utiliser à minima le nom de domaine que fourni gratuitement Synology, ou mieux acheter un nom de domaine pas cher (un .ovh chez OVH s'achète dans les 3€ max par an).
 
  • J'aime
Réactions: Damien-de-Tours
MilesTEG1 a dit:
D'un point de vue sécurité et rapidité, il est plutôt déconseillé de passer par QuickConnect... Car tout passe par les serveurs de Synology.
Il est préférable d'utiliser à minima le nom de domaine que fourni gratuitement Synology, ou mieux acheter un nom de domaine pas cher (un .ovh chez OVH s'achète dans les 3€ max par an).
Cliquez pour agrandir...
Merci pour votre réponse ! Je n'y avais pas pensé. Mais je ne sais pas comment on fait... Pourriez-vous m'indiquer la marche à suivre ? %erci !
 
Merci pour vos réponses, pardon d'avoir été flou dans ma question.
Je reformule : je suis allé voir un nom de domaine libre sur l'afnic et je l'ai indiqué dans Panneau de config > Portail de connexion > DSM
et la suite ? Concrètement, quelle URL je dois entrer dans le navigateur pour accéder à mon NAS ?
ça me paraît trop simple, j'ai dû oublier des étapes... je suis un newbie dans ce domaine...
 
Damien-de-Tours a dit:
Merci pour vos réponses, pardon d'avoir été flou dans ma question.
Je reformule : je suis allé voir un nom de domaine libre sur l'afnic et je l'ai indiqué dans Panneau de config > Portail de connexion > DSM
et la suite ? Concrètement, quelle URL je dois entrer dans le navigateur pour accéder à mon NAS ?
ça me paraît trop simple, j'ai dû oublier des étapes... je suis un newbie dans ce domaine...
Cliquez pour agrandir...
Ce nom de domaine vous appartient-il ? L'avez-vous acheté ?
Car à moins de prendre un nom de domaine via le synology chez synology, ou d'en acheter un, vous n'aurez aucun contrôle dessus...

(ce qui suit sera mis dans un tuto dédié un de ces 4 ;) )

Méthode avec nom de domaine Synology et Reverse Proxy

Dans le cas où vous optez pour un nom de domaine Synology (gratuit pour tout NAS Synology) :

1. Création d'un nom de domaine Synology

1662727757672.png

Et ensuite, il faudra le définir pour les services comme DSM (même s'il n'est pas trop conseillé de mettre accessible depuis internet...).
Je conseille d'une part de changer les ports par défaut des applications ET DSM, puis de passer par le reverse proxy.

Le certificat ainsi créé est un certificat wildcard, c'est à dire qu'il est valable pour n'importe quel "sous-domaine", exemple : blabla1.un-ndd.myds.me, ou encore blabla2.un-ndd.myds.me, etc...
En gros, il est valable pour *.un-ndd.myds.me

1662734376803.png


2. Paramétrage du Reverse Proxy

Il faut déjà modifier les ports par défaut de DSM :
1662728477490.png
Ensuite, faire de même pour chacune des applications dont on veut rendre l'accès possible depuis internet :
1662728638590.png
(sur mon NAS de backup, je n'ai pas d'applications Synology installées, mais elles se trouveront dans cette liste)

Ensuite, on va configurer deux entrées de reverse proxy : une pour DSM et une autre pour Synology Photos :
1662728861068.png

1662729291849.png

1662729453210.png

Sur chaque entrée, il est intéressant de faire ce qui suit :
1662729565052.png 1662729684302.png

Vérifier ensuite que le certificat automatiquement créé avec le nom de domaine est bien affecté aux deux entrées :
1662729805092.png

3. Paramétrage du pare-feu du NAS

Il faut maintenant bien configurer le parefeu, sinon c'est très risqué...
Je n'expliquerai pas tout en détail ici car pas le temps, mais en gros, les règles sont lues depuis le haut vers le bas, et pour une connexion entrantes le pare-feu s'arrête à la première règle qui est satisfaite.
Ainsi il faut mettre les règles dans un certains ordre :) et mettre une règle finale interdisant tout sur tout.
Je n'utilise pas les règles dans les interfaces dédiées, je reste sur le "Toutes les interfaces" :
1662732090730.png
Les règles que je propose ici devront être adaptées à tout un chacun en fonction ce que vous voudrez autoriser.
Je met un exemple de règles qui ne passe pas par le port 443 car il se peut qu'une application ne puisse pas avoir son port changé, c'est le cas avec Drive pour la synchronisation.
Personnellement je restreint l'accès aux seules IP FR (en plus des IP LAN et Docker).

Voilà un exemple de règles :
1662731924224.png

4. Paramétrage des redirections dans la box ou du routeur

Bon là ça va grandement dépendre de la box ou du routeur...
Mais en gros, il faut rediriger le port 443 de l'extérieur (toutes IP) vers l'adresse IP du NAS sur le port 443 également.
Exemple avec la Freebox :
1662732946466.png

PS : si vous avez d'autres box, je suis preneur de capture d'écran de cette redirection afin d'agrémenter le tuto à venir ;)




Voilà voilà ;)
À ce stade, l'accès à DSM devrait fonctionner depuis l'extérieur via le nom de domaine choisi : https://dsm.un-ndd-bla.myds.me.
Même chose pour Photos avec : https://photos.un-ndd-bla.myds.me

J'espère que ce mini tuto sera clair et que tout le monde arrivera à créer ses propres règles (de pare-feu, de reverse-proxy)...
 
  • J'aime
Réactions: Chon, Paradise, FX Cachem et 2 autres
MilesTEG1 a dit:
Ce nom de domaine vous appartient-il ? L'avez-vous acheté ?
Car à moins de prendre un nom de domaine via le synology chez synology, ou d'en acheter un, vous n'aurez aucun contrôle dessus...

(ce qui suit sera mis dans un tuto dédié un de ces 4 ;) )

Méthode avec nom de domaine Synology et Reverse Proxy

Dans le cas où vous optez pour un nom de domaine Synology (gratuit pour tout NAS Synology) :

1. Création d'un nom de domaine Synology

Voir la pièce jointe 6190

Et ensuite, il faudra le définir pour les services comme DSM (même s'il n'est pas trop conseillé de mettre accessible depuis internet...).
Je conseille d'une part de changer les ports par défaut des applications ET DSM, puis de passer par le reverse proxy.

Le certificat ainsi créé est un certificat wildcard, c'est à dire qu'il est valable pour n'importe quel "sous-domaine", exemple : blabla1.un-ndd.myds.me, ou encore blabla2.un-ndd.myds.me, etc...
En gros, il est valable pour *.un-ndd.myds.me

Voir la pièce jointe 6204


2. Paramétrage du Reverse Proxy

Il faut déjà modifier les ports par défaut de DSM :
Voir la pièce jointe 6191
Ensuite, faire de même pour chacune des applications dont on veut rendre l'accès possible depuis internet :
Voir la pièce jointe 6192
(sur mon NAS de backup, je n'ai pas d'applications Synology installées, mais elles se trouveront dans cette liste)

Ensuite, on va configurer deux entrées de reverse proxy : une pour DSM et une autre pour Synology Photos :
Voir la pièce jointe 6193

Voir la pièce jointe 6195

Voir la pièce jointe 6196

Sur chaque entrée, il est intéressant de faire ce qui suit :
Voir la pièce jointe 6197 Voir la pièce jointe 6198

Vérifier ensuite que le certificat automatiquement créé avec le nom de domaine est bien affecté aux deux entrées :
Voir la pièce jointe 6199

3. Paramétrage du pare-feu du NAS

Il faut maintenant bien configurer le parefeu, sinon c'est très risqué...
Je n'expliquerai pas tout en détail ici car pas le temps, mais en gros, les règles sont lues depuis le haut vers le bas, et pour une connexion entrantes le pare-feu s'arrête à la première règle qui est satisfaite.
Ainsi il faut mettre les règles dans un certains ordre :) et mettre une règle finale interdisant tout sur tout.
Je n'utilise pas les règles dans les interfaces dédiées, je reste sur le "Toutes les interfaces" :
Voir la pièce jointe 6202
Les règles que je propose ici devront être adaptées à tout un chacun en fonction ce que vous voudrez autoriser.
Je met un exemple de règles qui ne passe pas par le port 443 car il se peut qu'une application ne puisse pas avoir son port changé, c'est le cas avec Drive pour la synchronisation.
Personnellement je restreint l'accès aux seules IP FR (en plus des IP LAN et Docker).

Voilà un exemple de règles :
Voir la pièce jointe 6200

4. Paramétrage des redirections dans la box ou du routeur

Bon là ça va grandement dépendre de la box ou du routeur...
Mais en gros, il faut rediriger le port 443 de l'extérieur (toutes IP) vers l'adresse IP du NAS sur le port 443 également.
Exemple avec la Freebox :
Voir la pièce jointe 6203

PS : si vous avez d'autres box, je suis preneur de capture d'écran de cette redirection afin d'agrémenter le tuto à venir ;)




Voilà voilà ;)
À ce stade, l'accès à DSM devrait fonctionner depuis l'extérieur via le nom de domaine choisi : https://dsm.un-ndd-bla.myds.me.
Même chose pour Photos avec : https://photos.un-ndd-bla.myds.me

J'espère que ce mini tuto sera clair et que tout le monde arrivera à créer ses propres règles (de pare-feu, de reverse-proxy)...
Cliquez pour agrandir...
Merci MilesTEG1, c'est effectivement très complet et j'imagine que cela représente beaucoup de travail !
Je vais essayer d'appliquer vos conseils plus tard, ayant une grosse charge de travail à partir de maintenant...
Merci encore.
 
  • J'aime
Réactions: MilesTEG
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour