Toutes les discussions

Merci pour votre réponse sur la question 2) Je vais donc décocher les 3 taches dans le gestionnaire. Pour ce qui est de la question 1) sauriez-vous, ou quelqu'un peut-il me dire, ce que je dois faire pour recevoir un log sur mon mail lorsque le renouvellement aura été effectué ? Merci par avance

Le fonctionnement du parefeu est comme je l'ai décrit dans mes messages à savoir : tout ce qui arrive sur le NAS est autorisé. Ensuite, le parefeu analyse l'interface de réception de la requête, le protocole, le port invoqué, la provenance de l'ip et balaye les règles une à une en commençant par la première. Si une règle n'est pas remplie, on passe à la suivante. Le balayage s'arrête si une règle est remplie, et si elle est autorisée, la requête est transmise au service concerné. Si elle est bloquante, la requête est rejetée. Sinon, on continue jusqu'à la dernière règle. A ce stade, rien n'est bloqué et tout est autorisé puisqu'il n'y a aucune règle bloquante. C'est donc la dernière règle dont je parle qui assure le blocage de toute requête qui n'a pas été couverte par une des règles. D'où l'importance de l'ordre des règles, la dernière étant toujours une règle de blocage. Si vos liens sont en https, ce que je suppose car ce sont en principe les liens générés par DSM (il faut voir l'en-tête du lien pour confirmer), alors il faut autoriser https pour les ip de France si c'est de que vous souhaitez. Ca peut être le 443 (port https par défaut) ou le 5001 (port de DSM qui peut aussi atteindre des services) mais ce n 'est pas forcément valable pour vous car il se peut que le lien utilise file station (port 7001) selon comment et dans quelle application il a été généré, auquel cas c'est ce port qu'il faudra autoriser. Vous seul pouvez le déterminer en analysant un de vos liens. Le blocage géographique c'est là : Vous sélectionnez France pour la règle pour laquelle vous voulez qu'elle s'applique. L'établissement des règles de parefeu sont intimement liées aux différentes applications et à la manière de vous y connecter : quickconnect, IP publique, nom de domaine dédié, reverse proxy, portail de connexion, changement des ports par défaut, etc.. tout ceci a une influence sur le parefeu. Aussi, ne connaissant pas vos paramètres je ne peux que vous donner des généralités. A mon avis, vous n'avez pas besoin de mariaDB s'il s'agit de seulement télécharger des liens, d'autant que vous n'hébergez pas de site web sur le NAS.

Bonjour @ppnm, Normalement tu peux faire une migration de ton DS412+ vers un DS425+ mais je te le déconseille trop d’écart entre les deux nas, tu vas garder certaines limitation de ton ancien nas. Le plus simple serais de faire une sauvegardes des données et refaire une install de zero. Normalement tous les disques sont redevenu compatible avec la dernier version du DSM

Je pense avoir trouvé le coupable, je vous dirais après que l'opération de suppression est terminée, mais 8.6To de versions dans Synology Drive, comment dire... Du coup j'en ai profité pour activer la suppression automatique de manière régulière. C'est long à supprimer... Edit : Bon le stockage utilisé baisse. Ca a l'air d'être ça. J'avais complètement oublié que le versioning de Drive pouvait prendre autant de place. C'est l'histoire de corbeille qui m'a mis sur la piste. Merci à vous.

Bonjour merci pour vos réponses. Le problème est que j'applique le tuto mais à chaque modification que je réalise il m'est répondu que ce n'est pas comme ceci qu'il faut faire. Ceux qui me disent ceci sur les forums ont raison car ils savent de quoi ils parlent. Dans la vie il faut savoir, faire savoir, et savoir faire. Or je ne suis pas un sachant et ne je ne sais même pas ce que je dois savoir. Donc en lisant le tuto, il y a des termes génériques que je ne connais pas et surtout si dans mon cas j'en ai besoin. Or ce que l'on a pas besoin on n'y touche pas ce qui évite de faire encore plus de bètises. Si je réagis comme cela il y a une raisons que j'explique. Comme formateur en entreprise dans mon domaine professionnel, je partais toujours d'un cas concret par élève et le concernant pour répondre à son attente et lui porter la formation adaptée à son cas. Je m'étais rendu compte que le support de stage( tuto) venait ensuite en soutien pour la révision quand l'élève était à nouveau à son travail et qu'il souhaitait appliquer le stage. Donc désolé pour mes questions. Oui je ne connais pas les besoins que je dois activer ou pas ou comment. Aussi je peux lire le tuto mais ne sachant pas dce que je dois savoir, je peux l'avoir devant les yeux et ne rien y comprendre. Je vous demande d'accepter mes excuses de poser des questions dont j'ignore les réponses malgré le tuto. pour revenir au sujet le tuto n'en parle pas je trouve ceci ou? Les dossiers accessibles sur le serveur en téléchargement sont en dossiers partagés. Sur mon site j'y colle le lien public généré par lke serveur qui est différent pas dossier à télécharger. Aussi quel protocole dois-je appliquer dans le pare feux et ou. C'est bien pour fermer les trous de ma passoire que je sollicite de l'aide Désolé encore mais je découvre ce monde. Si j'avais les connaissances je ne serais pas ici à solliciter de l'aide.

Il ne sert à rien de masquer des ip privées. Ni moi ni personne ne peut en faire quelque chose, exceptés ceux qui sont connectés à votre réseau. Pour MariaDB, c'est vous que ça regarde en fonction de ce que je vous ai dit plus haut. Je ne sais pas si votre application le nécessite ou pas. Mais si vous voulez bloquer les ip hors de France, il faut aussi le choisir dans les IP sources. Là, toutes les IP y ont accès. Si vous envoyez des liens de téléchargement, il faut que ces liens puissent s'ouvrir à distance. Il faut donc autoriser le protocole de connexion qui est utilisé. Pour le moment votre parefeu est une passoire et donc qu'il soit activé ou pas ne change rien : tout fonctionne sans blocage. Je ne vais pas le répéter à chaque post et ce sera la dernière fois : il faut impérativement une règle de blocage telle que décrite plus haut. Ne pas le faire inhibe toutes les règles de votre parefeu. Encore une fois, c'est expliqué dans le tuto et il serait judicieux de l'appliquer.

Hello, Petit soucis sur mon 412+ , Hier soir j'ai recu 2 mail d'alertes car mon NAS en CMS a eu un petit souci : Le groupe de stockage 1 sur NAS est dégradé[3/4] Le groupe de stockages 1 sur NAS est dégradé (nombre total de disques : 4 ; nombre de disques actifs : 3). Puis quelques minutes après un 2eme mail : Le groupe de stockages 1 sur NAS a planté. J'ai donc essayé de joindre l'interface, impossible, je suis donc passé par l'assistant et là .. : Nous avons détecté des erreurs sur les disques 1,2 et 3 et les ports sata ont également été désactivés Je doute quand même que mes 3 disques aient laché en meme temps, marque différentes, data achat differente. Actuellement il n'y a que la LED du disque 4 qui est allumée, mais ca 'gratte'. Que ce qui est préconiser pour éviter de perdre les data ? Je peux aller plus loin dans Assistant, pour réinstaller DSM (sans perte de data?) ou il faut que j'attende que le NAS se répare ? ou bien encore jouer a plouf plouf pour savoir quel disque est HS, si c'est bien juste 1 disque

Bonjour Merci pour les réponses Je suis le seul en privé qui se connecte au serveur en local. Aucun autres appareils de ma femme ne s'y connecte si ce n'est le iPad pour valider la double authentification. Par contre peut être que si l'IP de mon mac est bloqué il serait prudent que je rentre aussi le numéro Local IP du mac de ma femme pour débloquer mon blocage Oui/NOn ? Pas de VPN . Peut être que pour protéger mon serveur il faudrait le mettre en place. Mais je ne sais pas si dans ce cas le concept sur mon image ci-dessus comment faire. J'ai mieux expliqué avec une nouvelle image du post précédent le contexte d'utilisation du serveur. Sur un forum en privé par mail vous me demandez un nom d'utilisateur et un mot de passe Vous allez ensuite sur mon site Web chez un hébergeur Une nouvelle page s'ouvre , vous rentrer le nom d'utilisateur et le mot de passe Le site vous propose une nouvelle page. Sur cette page vous sélectionner le dossier à télécharger Un lien de téléchargement sur le site renvoi sur mon serveur dans le dossier téléchargement et vous télécharger le dossier la ligne tous

Personnellement, je ne recommande pas le renouvellement journalier de docker. Ca n'avait déjà que peu de justifications avec les premières versions docker (je ne l'ai jamais mis en pratique et ne m'en porte pas plus mal), ça n'en a plus aucune avec container manager qui facilite grandement la mise à mise à jour des containers. Il suffit d'aller de temps en temps vérifier l'état des versions et faire les mises à jour si besoin. Ce n'est pas parce qu'une version est remplacée par une nouvelle qu'elle ne fonctionne plus. J'ai certains NAS qui tournent avec de très anciennes versions et les renouvellements se font très bien. Donc, oubliez cette partie du tuto qui n'a aucun intérêt.

Pour commencer, il ne faut pas permettre à DSM d'écrire dans le parefeu. S'il vous le propose lors de l'installation d'une application, vous en prenez note et vous refusez. C'est vous et vous seul qui devez gérer le parefeu. En effet, il arrive que certaines règles automatiques viennent en contradiction d'autres et ça devient rapidement le bazar (ce que vous avez). Ne mettre que votre ip est bien entendu possible mais bien trop restrictif car les autres usagers de votre réseau privé risquent de se faire bloquer alors que le risque d'attaque venant de ce réseau est faible à nul, à moins que vous n'ayez aucune confiance en votre famille ou vos amis. Et si votre IP change, la règle devient caduque. Vous devez autoriser au moins la plage d'adresse de votre réseau privé (par exemple 192.168.x.0/24) à utiliser tous les ports. Vous pouvez aussi la réduire, selon votre besoin. C'est votre choix. S'il y a d'autres applications utilisant d'autres plages privées (VPN, Docker entre autres), il faut aussi mettre en place des règles pour ces plages. Ceci est clairement expliqué dans le tuto. Je ne vois pas de ligne tous dans vos captures. Ce qu'il faut c'est une règle en toute dernière ligne du profil pour tous les protocoles, tous les ports et toutes les IP qui refuse le trafic. C'est obligatoire pour ne pas avoir un parefeu qui ne sert...à rien. Le parefeu n'a rien à voir avec le système, DSM en l’occurrence. Il ne gère que le trafic rentrant. Donc, si vos requêtes externes ont besoin de maria db, alors oui, il faut l'autoriser. C'est vous qui devez définir quelle application ou quel service doit être joignable de l'extérieur étant bien entendu que le trafic local n'est lui pas limité grâce aux règles du réseau privé énoncées ci-dessus.

Bonsoir, Non, je n’ai pas activé les snapshots.

Bonjour a tous, Tout d'abord merci a @Einsteinium pour ce tuto je viens de suivre le tuto et j'ai parcouru beaucoup de page pour comprendre les erreurs qui sont apparues, mais tout semble marcher maintenant. Il faudra que je vois au renouvellement dans 2 mois. Petites questions : 1) comment je peux faire, lorsque le renouvellement du certificat se fera, pour que je reçoive une mail (log) 2) dois-je laisser active, dans le gestionnaire des taches, la tache pour la création du docker, puisqu'il est dit qu'elle doit s'exécuter tout les jours à 5h. En vous remerciant...

Merci pour ses réponse Je ne sais pas d'ou viennent tous ces profils. Comme je suis débutant sur Serveur je suis en train d'apprendre. J'ai du valider des choses pour les applications installées et listées. Comme cela fonctionnait je ne me suis pas posé d'autres questions. Ces question sont posées maintenant que je m'intéresse au pare-feux. Donc suite à ces explications je supprime 2 profils sur les trois. Je regroupe Mariadb 10 et serveur de fichier FTP en un seul profil. Dans ce seul profil j'autorise mon numéro ip en première position pour ne pas m'auto-bloquer par contre la ligne tous est elle nécessaire ou dois-je la supprimer? même question pour Maria DB 10 supprimer ou nécessaire au système? Pour mémoire voici le concept d'utilisation de mon serveur

Pourquoi tous ces profils ? Je ne comprends pas. Le principe : on autorise ce que l'on veut et si on veut la France uniquement, on l'autorise explicitement. Et en dernier il faut impérativement une règle qui bloque ce qui n'a pas été autorisé. Sans cela, le parefeu est une passoire. Donc un seul profil, vous créez les règles d'autorisation, les règles peuvent bien évidemment couvrir plusieurs applications. Et vous rajoutez une dernière règle bloquante. Les règles sont balayées de la première à la dernière. Si une règle n'est pas applicable, on passe à la suivante. Ainsi de suite. Si une règle autorise, on arrête la lecture du parefeu.

Bonjour Merci pour la réponse Ben comme je suis néophyte j'avais suivi le tuto mais.... j'ai du louper quelques chose car je me suis auto-bloqué. Désolé mais si c'est en faisant des erreurs que l'on apprend cette fois j'ai préféré poser la question. Donc si je comprends bien le tuto , il ne faut pas bloquer ce que l'on ne veut pas mais autoriser ce que l'on veut? (c'est contraire à ma logique d'ou surement mon erreur) Bref selon le tuto je dois: - saisir mon numéro Ip local 192.... le cocher et l'autoriser - sélectionner la France et l'autoriser ne rien cocher pour les autres pays . Je dois utiliser pour ce fairel equel des trois profils Dans customs j'ai Dans File station: et dans default Bref pour un utilisateur averti , il va surement s'étouffer en voyant le boxon que j'ai réalisé et que je ne sais même pas comment. Conclusion avant de poursuivre ma prim question pour bloquer autoriser les pays dans le pare feux, quelqu'un pourrait déjà m'aider à faire le ménage et me dire si je dois rassembler les 3 profils en 1? En supprimer? dans quel ordre? fusionner? Merci PS informations pour le réglage du pare feux serveur. En aucun Je ne souhaite me connecter à mon serveur hors domicile. Cependant, le serveur doit autoriser les connexions de téléchargement venant par exemple d'un de vous qui souhaite accéder à un dossier.

Vous trouverez les réponses à vos questions dans le tuto sur la sécurisation de nos NAS.

Bonjour Mon serveur a subit en 4 heures 5 tentatives d'intrusion qui ont été bloquées. Mais je souhaite ajouter une couche de sécurité. J'ai vue que les IP bloqués sont hors France Est ce que je peux dans le pare feux cocher tous les pays de la liste et leur interdire de se connecter? Que dois je cocher comme option supplémentaire dans le pare feux pour ne pas m'auto bloquer? merci

Bonjour, j'ai vu que Synology a rétrodépalé sur la limitation de la série 25 aux disques uniquement Synology, et a rouvert la liste de compatibilité de la série 25 à des disques tiers partie (Western Digital, et les autres). Par contre la compatibilité listée pour le DS425+ Liste de compatibilité | Synology Inc.Centralisez le stockage et la sauvegarde des données, rationalisez la collaboration sur des fichiers, optimisez la gestion vidéo et sécurisez le déploiement du réseau pour faciliter la gestion des donNe montre toujours que des diques de la marque Synology. Où trouver la liste de compatibilté disques pour le DS425+ ? J'ai un DS412+ (je suis en version DSM 6.2.4) avec ces disques: Toshiba HDWD120 et Toshiba DT01ABA200. Est-ce que je pourrai transférer ces disques Toshiba sur un DS425+ , et tout se mettra à jour automatiquement et ça marchera sur le DS425+ ?

Bonsoir, Tu n'as pas activé les snapshots ? avec le paquets snapshot réplication.

Ben je suis plutôt d'accord ouais, je vois pas l'intérêt pour la Freebox de réclamer certaines sécurités de ce côté là. En tout cas tout ça est bon à savoir. Merci bien :)

Non, ça n'a aucun rapport avec le port. C'est le NAS qui ajoute cette en-tête HTTP avant d'envoyer une requête à la Freebox. Il n'y a aucun intérêt à chiffrer les échanges entre le NAS et la Freebox, mais les deux fonctionnent (tcp/80 ou tcp/443). Je n'ai pas cherché à comprendre pourquoi la Freebox a un comportement différent en HTTP et en HTTPS, et ça ne m'intéresse pas. Orange faisait la même chose avec les Livebox v4 où il fallait l'en-tête Host: 192.168.1.1 pour y accéder, je ne sais pas si c'est le cas sur les modèles plus récents.

Bonjour, Dans le parefeu du NAS Il faut ajouter une règle sur l'interface VPN qui autorise le sous-réseau des adresses IP du VPN (10.8.0.0)

oui et que ce champ soit vide ou rempli car ne change rien ca envoie tjs dans le mail l'ip du reseau local

Ca doit bien avoir quelquechose à voir avec le port qu'on veut utiliser non ? Enfin avec le type d'accès (sécurisé ou non) qu'on demande dans la partie "Destination" du reverse proxy. Effectivement ils veulent qu'on y accède par mafreebox.freebox.fr. Si on définit le reverse proxy vers la Freebox sur le port 80, on a ce message. D'où la solution de l'en-tête personnalisé du coup. Si on définit le reverse proxy vers la Freebox sur le port 443, ça fonctionne direct, sans en-tête personalisé. Cela voudrait dire que la Freebox n'autorise pas d'accès http sans passer par mafreebox.freebox.fr, mais nous laisse faire si on l'attaque en https ? Cela aurait une certaine logique. Ok, je comprends, mais j'ai pas besoin de ça. La question etait plus du côté du port "Destination" utilisé par le reverse proxy pour attaquer la Freebox (et le comportement de celle-ci), pas quel port je veux utiliser moi depuis l'extérieur. 443/https me va très bien ! Tout est fonctionnel. J'ai du activer l'IPv6 sur le NAS pour configurer AdGuard Home, car comme tu le dis la Freebox est super relou en IPv6. En mettant mon AdGuard en DNS par défaut dans le paramétrage DHCP de la Freebox, ça marchait à moitié, les host qui utilisent IPv6 ne passaient pas par AdGuard. En fait, la Freebox balance par défaut un DNS IPv6 également, décorrélé completement de l'IPv4 (logique je pense), et c'est pas désactivable ! Du coup, soit il fallait couper l'IPv6 de chaque host (chiant), soit définir un DNS personalisé IPv6 (celui d'AdGuard) dans la Freebox. D'où l'activation de l'IPv6 sur le NAS. Et du coup, je pense que c'est pour ça que par défaut, le DDNS Synology a défini automatiquement l'adresse IPv6 du NAS. Après est-ce que cet adresse IPv6 est accessible de l'extérieur? Je n'ai rien défini côté Freebox en ce sens (c'est ce que tu dis, on ne peut rien faire de toute façon ?). C'est peut-être ça qui embetait, mais du coup pourquoi c'est OK depuis la France et pas depuis l'étranger... Mystère.

Merci pour le retour, je suis effectivement sur 2 réseaux distincts avec cependant un accès au NAS via VPN (donc selon ma compréhension un acces direct au NAS via le tunnel VPN permet un accès direct). Je pensais qu'avec un VPN cela était possible. A priori donc pas solution ! Existerait une application tiers qui permettrait de se raccorder via un VPN (pour la sécurité) et intégrer des lecteurs réseau. J'ai trouvé rai drive qui fait ce que je cherche mais qui ne passe pas par le VPN et j'ai des doutes sur la sécurité NOTA : Pour information en acces direct sur mon reseau local j'ai pu mapper un lecteur réseau mais ce n'est pas mon besoin