Recherchez dans la Communauté

Vous avez une question ?

Interrogez la communauté

internet & fixe ma connexion

Accéder à mon serveur FTP (QNAP) depuis l'extérieur (Livebox 5)

GregoryR
contributeur occasionnel
1 861  

Accéder à mon serveur FTP (QNAP) depuis l'extérieur (Livebox 5)

Bonjour,

 

J'écris ce message après des soirées passées à tenter de rétablir un service simple: accéder depuis l'extérieur au contenu de mon NAS en FTP. Jusqu'à ces dernières semaines, tout marchait impeccablement avec mon NAS QNAP et ma livebox 3... Et puis elle a fini par claquer et j'ai reçu une livebox 5 en remplacement. Depuis ce jour impossible de faire marcher à nouveau le service FTP de mon NAS QNAP. Plus précisément le FTP marche parfaitement en local, mais dès qu'il faut sortir de mon réseau, ça coince. Ce que j'ai fait:

 

1) Mise à jour et réinitialisation de la Livebox 5. Tous les services marchent.

 

2) Mise en route du FTP sur mon NAS QNAP. Pas très compliqué. 

1NAS.png

Paramètres du client FTP (FileZilla):

- Hôte: 192.168.1.18

- port: 1978

- Chiffrement: FTP explicite sur TLS si dispo

- Mon login / pwd

 

Avec ça, ça tourne en local.

 

3) Le NAS QNAP a une appli qui sert à configurer les routeurs UPnP, dont la Livebox5. Je vois effectivement plusieurs paramètres s'afficher dans l'interface admin. Malheureusement, ça ne suffit pas à faire marcher depuis un client FTP hors de mon LAN.

 

4) Je suis religieusement les instructions listées un peu partout et voici la configuration de ma Livebox 5.

2LB.png

5) Le moment des test est arrivé:

- Les ports 1978 (et d'autres) sont ouverts et acheminés correctement pour faire ce qu'ils doivent faire.

- Les ports 55536-55560 sont tous fermés, selon canyouseeme.org et Open Port Check Tool.

- En test depuis un PC hors du Lan, le client FTP ne résout pas l'IP.

 

J'ai écumé ce forum et trouvé pas mal de solutions. J'ai changé les niveau de sévérité du pare-feu, j'ai redémarré la box, j'ai essayé différents ports mais non.

 

Quelqu'un aurait-il une idée ? Qu'est ce que j'ai loupé ? Est-ce qu'un superuser du forum (@PhilDur ?) aurait une piste ?

 

Merci de tout commentaire qui me mettrait sur une piste !

Greg


Solutions approuvées
1 847  

Re: Accéder à mon serveur FTP (QNAP) depuis l'extérieur (Livebox 5)

Bonsoir,

 

il faut utiliser le mode passif du FTP pour passer un routeur faisant du NAT sauf a vouloir se faire reduire le cerveau a l’état de fromage blanc avec le réglage du ftp.

 

Ce qui implique :

  • l'usage d'un port de contrôle : usuellement le 21... mais pour vous, semble-t'il, le 1978.
  • l'usage par défaut par le serveur QNAP de 1023 ports de 55536-55559 si je me souviens bien, pour que le serveur mette a disposition un port de donnée à votre client pour chaque connexion établie.

il semblerait donc que vous ayez négligé d'ouvrir ces 1023 ports d'apres ce que vous avez écrit.

 

il y a ensuite le proxy'ing sur l'IP externe qui peut manquer avec le NAT. Et la ca va nettement moins bien marcher en interne.

 

Sinon évitez l'usage de l'uPnP-IGD : cet automatisme est un cheval de Troie idéal une fois qu'une amorce de logiciel nuisible est entrée.

 

Et le conseil usuel... mieux vaut un serveur sftp plutôt que ftp même chiffré. activation rubrique ssh, port 22 uniquement.

Voir la solution dans l'envoi d'origine

5 RÉPONSES 5
1 848  

Re: Accéder à mon serveur FTP (QNAP) depuis l'extérieur (Livebox 5)

Bonsoir,

 

il faut utiliser le mode passif du FTP pour passer un routeur faisant du NAT sauf a vouloir se faire reduire le cerveau a l’état de fromage blanc avec le réglage du ftp.

 

Ce qui implique :

  • l'usage d'un port de contrôle : usuellement le 21... mais pour vous, semble-t'il, le 1978.
  • l'usage par défaut par le serveur QNAP de 1023 ports de 55536-55559 si je me souviens bien, pour que le serveur mette a disposition un port de donnée à votre client pour chaque connexion établie.

il semblerait donc que vous ayez négligé d'ouvrir ces 1023 ports d'apres ce que vous avez écrit.

 

il y a ensuite le proxy'ing sur l'IP externe qui peut manquer avec le NAT. Et la ca va nettement moins bien marcher en interne.

 

Sinon évitez l'usage de l'uPnP-IGD : cet automatisme est un cheval de Troie idéal une fois qu'une amorce de logiciel nuisible est entrée.

 

Et le conseil usuel... mieux vaut un serveur sftp plutôt que ftp même chiffré. activation rubrique ssh, port 22 uniquement.

Daniel35
Orange Star
Orange Star
1 792  

Re: Accéder à mon serveur FTP (QNAP) depuis l'extérieur (Livebox 5)

Bonjour @GregoryR 

 

Dans tes règles, essaie aussi en laissant vide le champ IP externe.

 

Cordialement
Daniel35
.

«Une erreur peut devenir exacte selon que celui qui l'a commise s'est trompé ou non» Pierre Dac
1 771  

Re: Accéder à mon serveur FTP (QNAP) depuis l'extérieur (Livebox 5)

Et dans un premier teps ne cherchez pas a resoudre les IP :utilisez là brute de fonderie sans DNS.

GregoryR
contributeur occasionnel
1 743  

Re: Accéder à mon serveur FTP (QNAP) depuis l'extérieur (Livebox 5)

Résultat des courses, ça marche. Merci aux contributeurs pour vos idées !

 

Au final, si ça peut aider les autre, voici ma configuration qui marche en local et à distance. Je n'ai pas eu le courage de tester les configurations ayant le niveau de sécurité que je recherchais, j'avoue qu'au bout d'un moment, j'ai pris ce qui marche !

11.png

Typiquement, oui, j'aurai voulu me mettre sur un autre port et uniquement en FTP avec SSL.

 

L'autre aspect louche, c'est que certaines des règles ci-dessous n'ont pas d'utilité selon moi MAIS si je touche à l'une d'elles plus rien ne marche. Alors CF plus haut, je me contente de ce que j'ai et qui marche.

 

22.png

 

Voilà, j'espère que ça pourra aider quelqu'un. En attendant, je vous confirme que le serveur tourne à pleine bourre avec plusieurs utilisateurs là tout de suite maintenant.

 

Si je fais des modifs (que ce soit un nettoyage des règles de la livebox ou des amélioration de sécurité) je viendrai mettre à jour les screenshots.

 

Merci

Greg

1 710  

Re: Accéder à mon serveur FTP (QNAP) depuis l'extérieur (Livebox 5)

Bonjour,

 

@GregoryR: je serais tenté de songer que la livebox contient un proxy ftp lui permettant de passer le firewall, mais uniquement réglé sur les paramètres par défaut et historiques. (le truc qui lui permet de patcher a la volée les adresses internes et externes dans le protocole lors du passage du firewall).

 

C'est pour ça que je disais que sftp c'est bien : ça ne présente plus la conception du ftp façon années 80, ou la sécurité n’était qu'un problème de blagues de potaches entre deux facs. En plus en virant les password et en remplaçant ca par des clefs publiques : la sécurité est facilement assurée.

Vous avez une question ?

Interrogez la communauté

Déjà 713191 membres inscrits 🧡

2429 personnes actuellement en ligne

Tous les membres en ligne