Toutes les discussions

Bonjour, Afin de sécuriser les données (plusieurs dizaines de milliers de fichiers - 500Go de données) d'un NAS contre un ransomware par exemple, j'aimerai mettre en place une sauvegarde (ou réplication) vers un lieu externe et que celle-ci soit immuable pour une période de 1 an avec une execution tous les mois par exemple (histoire d'etre capable de remonter individuellement sur plusieurs mois). Je lis beaucoup de chose entre le WORM, S3 glacier, Snapshot immuable, .... mais je n'arrive pas à déterminer quelle est le meilleur d'y arriver. Avez-vous des conseils à me donner pour réaliser cela ? Merci d'avance.

Ce tuto s'adresse à ceux qui utilisent directement le réseau privé de leur box orange. Si vous insérez un routeur, le réseau de votre NAS est dissocié du réseau de la box et sauf erreur, ce tuto n'est plus applicable.

Le Reverse Proxy n'est pas un moyen de sécurisation. C'est un mode de connexion qui permet de s'affranchir des ouvertures de ports en utilisant qu'un seul port. C'est généralement le 443 qui est le port https par défaut, mais vous pouvez très bien prendre un autre port si vous voulez, avec la contrainte de devoir le renseigner dans l'url. Il est illusoire de croire que le changement de port constitue une protection efficace. Ca ne fait que retarder (un peu) les attaques. Il n'y a pas de connexion externe sans risque et le seul moyen efficace pour les éviter c'est de ne pas les autoriser, ce qui limite drastiquement l'usage d'un NAS. Sinon, c'est au parefeu qu'il revient le rôle de protection. C'est lui qu'il faut régler pour limiter l'exposition vers l'extérieur. Le reverse proxy permet toutefois un réglage plus fin grâce aux profils de connexion. On peut en définir plusieurs pour protéger chaque application de manière spécifique. Perso, je n'en utilise qu'un pour protéger les applications sensibles pour lesquelles je ne veux qu'une connexion locale ou via le VPN. L'accès à DSM par exemple n'est possible de l'extérieur que via le VPN et à quelques ip publiques fixes de confiance qui m'appartiennent et qui ne sont là juste en cas de dysfonctionnement du VPN. Je n'ai pas de problème d'identification avec mes applications nomades. Chacune d'elle se connecte avec un ndd spécifique pour chaque application et certaines avec des identifiants différents. Mais peut-être est-ce du au fait que les identifiants sont enregistrés dans mon smartphone. L'accès à toutes les applications sensibles sont protégées soit par biométrie, soit par code. Les autres utilisent un identifiant dont les droits sont réduits au strict minimum.

👉 Réponse courte : OUI… mais seulement sous conditions strictes. 👉 Réponse honnête : ça ne résout PAS Apple Private Relay, et ça ne garantit pas 100 % de couverture sans coercition réseau. On déroule proprement. 🧠 Principe général : DNS au routeur = point de centralisationConfigurer NextDNS au routeur (DNS classique ou DoH) signifie : Tous les clients qui respectent le DNS du LAN et qui ne contournent pas le DNS 👉 passeront par NextDNS 📌 C’est une centralisation, pas une garantie absolue. ✅ Ce que ça couvre VRAIMENT🟢 Appareils “normaux”NAS Synology PC / Linux VM / containers IoT Services système classiques ➡️ OUI, ils passeront par NextDNS si : DHCP du routeur = DNS unique pas de DNS hardcodé pas de DoH local actif 👉 Dans ce cas, NextDNS verra clairement le trafic (IP = routeur ou subnet). 🟡 NAS Synology (cas précis DSM)DSM respecte le DNS LAN mais : peut avoir fallback IPv6 peut cacher l’origine (cache agressif) ne “tagge” pas l’appareil dans NextDNS 👉 Résultat : trafic visible mais non attribuable finement par machine ✔️ Couverture fonctionnelle ❌ Traçabilité par device ❌ Ce que ça ne résout PAS🔴 Apple Private Relay (point bloquant)Apple Private Relay : court-circuite DNS + HTTPS sort via Apple (Cloudflare / Akamai) ignore totalement : DNS du routeur DoH du routeur DNS Tailscale Pi-hole NextDNS 👉 AUCUNE config routeur ne peut forcer ça. 📌 Donc : Apple + Private Relay = angle mort DNS même avec NextDNS au routeur ➡️ Obligation : Private Relay OFF ou accepter une visibilité partielle 🔴 DoH / DoQ côté clientSi un appareil : utilise DoH intégré (Firefox, Chrome, Apple) ou un client NextDNS local ou un resolver embarqué 👉 il bypass le routeur Sauf si tu fais… 🧱 Le seul moyen de “forcer” réellement (niveau expert)🔥 DNS coercitif au routeurBloquer tout DNS sortant UDP/TCP 53 DoH (443 vers resolvers connus) Autoriser uniquement : routeur → NextDNS (DoH) 👉 Là : tout DNS est capturé tout contournement échoue ⚠️ MAIS : Apple Private Relay casse quand même le modèle certaines apps refusent de fonctionner maintenance plus lourde ➡️ Approche “souveraineté”, pas grand public 🧭 Interaction avec TailscaleImportant à se rappeler : Tailscale DNS : annonce un DNS ne force rien DNS routeur : centralise LAN n’affecte pas le trafic encapsulé Private Relay 👉 Les deux sont complémentaires, mais aucun n’est coercitif seul. 🧩 Synthèse 🧠 Recommandation finaleSi l’objectif est savoir qui fait quoi : ❌ Private Relay ✅ NextDNS par appareil 🟡 DNS routeur en complément Si l’objectif est juste filtrer globalement : ✅ NextDNS au routeur 🤷 accepter les angles morts Apple

en complément car je n'arrive pas à faire le réseau macvlan cela m'indique Error response from daemon: invalid name j'ai mis ça dans le script docker network create -d macvlan \ --subnet=192.168.2.0/24 \ --ip-range=192.168.2.160/28 \ --gateway=192.168.2.1 \ mon routeur -o parent=eth1 \ if config me donne bien eth 1 macvlan-network merci par avance pour vos retours

Bonjour, Je ne pense pas que l'on te conseille des NAS de génération 15... De plus, 32Go on du nvme sur cette génération n'est pas possible. Peut-être veux tu perler de 425 ou 925 ? Si tu veux des réponses, il faut être précis dans tes questions.

@zikko71 Bonjour, La présentation c'est pour se présenter... Si tu as des questions, merci de créer un post pour chacune.

Bonjour j'ai un NAS DS215J avec deux disques de 2To pour stocker les photos et documents familiaux Il utilise DSM 6 et ne peut pas passer à DSM 7 Je voudrais basculer sur un NAS 4 baies plus récent ? Que me conseillez-vous ? 415+ 915+ ? avec 2 disques 4T0 Faut-il passer la mémoire Ram à 6Go ou 32Go et ajouter un disque NVM ? Une fois le transfert effectué comment réutiliser les deux disques de 2To ? Je voudrais installer un Raid avec mes deux 4To mais dans ce cas mes 2 anciens 2To ne pourront pas être ajoutés ? Pour migrer et tout retrouver ? Quelle est la meilleure solution ? J'ai beaucoup d'interrogations avant de faire le pas qui est lourd financièrement Merci de vos précieux conseils

Bonjour, J'ai 53 ans, j'ai un niveau moyen en informatique. Utilisateur de Windows, Linux depuis 30 ans. J'ai un Fujitsu CELVIN NAS Q703 qui est le clone du QNAP TS-221 avec 2 HD de 2 To en mode miroir. Je souhaite l'utiliser en serveur torrent, serveur audio, si possible avec QLogitechMediaServer. L'app center de Fujitsu ne fonctionne plus et impossible de trouver les applications pour les installer manuellement. Je dois donc le passer à QTS pour pouvoir installer des applications. Quelqu'un a-t-il flashé le Q703 avec QTS? J'ai trouvé un tuto pour flasher un Q700 avec QTS 3.2.3 Mais voudrais m'assurer que la méthode est la même pour le Q703. Merci d'avance pour vos réponses! Zikko71

Bonjour, Je viens d'investir sur un DS925+ pour l'instant avec 2 disques 8 To car mes besoins en photos ont grandit... Tous mes raw sont maintenant stockés directement sur le NAS. L'ancien DS216play me sert maintenant de sauvegarde à distance des photos et fichiers familiaux en utilisant Hyperbackup.

Bonjour, Après avoir suivi l'indispensable tuto de sécurisation de Shad, j'utilisais jusqu'à maintenant des ports personnalisés par Application (Synology Photos, DS Files, DS Cam, DS Audio...) ouverts sur l'extérieur (je suis en ipv6) avec des restrictions par pays. J'ai cru comprendre que l'utilisation du Reverse Proxy exposait moins le NAS et je me suis laissé tenté, mais j'y trouve beaucoup d'inconvénients. En particulier le fait que les Applis de mon smartphone reprennent systématiquement par défaut le dernier sous-domaine utilisé (ex: si je me connecte à DS Files puis à DS Cam, DS Cam va me proposer MyFiles.MyNAS.synology.me). Existe t-il une solution pour éviter ceci ? L'utilisation du Reverse Proxy ajoute t-elle vraiment une sécurité supérieure vis-à-vis des attaques ? J'aurais pensé qu'ouvrir le port 443 sur ma box était plus dangereux que d'ouvrir 3 ou 4 ports personnalisés, 443 étant plus classique, donc scanné. Est-ce que la sécurisation supérieure provient surtout des sous-domaines associés ? Merci pour votre aide.

Merci pour votre réponse, malheureusement ca n'a rien donné. Il me reste plus qu'a récupérer les disques hors du NAS car il est inutilisable...si seulement j'avais conservé le fichier pat...

Bonjour @psmpa6816 J'ai aussi eu ce petit problème .....et c'est bien votre navigateur avec son plugin , les traductions sont meme un peu fantaisistes

Essaye de mettre le port 8443 sur une autre application, File Station par exemple, pour voir si cela fonctionne depuis l'extérieur. Si ça marche c'est que le port est bien accessible, donc le problème est ailleurs

Sur mon smartphone 3.7.1 Oui je suis certain du loin car quand je suis en wifi j'arrive à me connecter avec le bon... Pour le port je suis pas sûr à 100% mais j'avais testé d'autres port avec le même problème :-( Je sèche complètement

La dernière version officielle est celle-ci : https://web.archive.org/web/20230130112806/https://global.download.synology.com/download/DSM/release/2.0/0731/DSM_CS-406_0731.zip Si vous aviez une version supérieure c'est que vous avez fait un upgrade non officiel et que vous avez bidouillé pour l'installer. Le problème c'est que le NAS ne peut pas accepter de version inférieure à la dernière sans une modification de l'eprom. Pour info, la 1157 n'est pas du tout compatible avec le CS406 (pas le même CPU). La dernière version 2.3 pour le CS407e est la 1157 téléchargeable ici : https://web.archive.org/web/20230205133012/https://global.download.synology.com/download/DSM/release/2.3/1157/synology_ppc824x_cs407e_1157.zip Commencez par la dernière version officielle (731). Si le NAS refuse de l'installer avec un message disant qu'on ne peut pas installer une version inférieure à XXX, c'est que le NAS a été upgradé vers le CS407e. Essayez la 1157 pour ce modèle, à vos risques et périls il va de soit.

Ton test est fait sur PC ou smartphone ? Quelle version d'openvpn as tu ? Es tu certain du login/password saisis pour la connexion ? Es tu certain que le port 8443 n'est utilisé que pour le VPN ?

Hello, j'ai exactement le même soucis, j'avais le firmware 2.3 il me semble mais perdu le lien et j'ai fair la betise de faire un reset...du coup. J'ai retrouvé un backup de .pat de la v1157 mais c'était pas la dernière...as tu solutionné ton problème ?

Bonjour à tous, Est ce que cela marche avec en plus un routeur. J'ai une live box + routeur la livebox est en 192.168.1.1 le routeur en 192.168.2.1 NAs en 192.168.2.X MErci d'avance pour votre retour.

Bonjour, j'ai relu attentivement le tuto et tenté les manip proposées (quand elles étaient possibles), rien à faire, le DS ne démarre plus. A tout hasard et sans grand espoir je vais essayer de contacter le SAV de Synology, mais j'ai aussi une autre piste, pour laquelle je ne sais pas si je peux la détailler ici ou ou si je dois ouvrir un autre sujet: comme mon DS415+ a lui aussi un processeur Intel, et surtout exactement la même configuration que le 411+II (DSM 5.2 Update9, 3 Ironwolf 16To et 1 Ironwolf 12To en SHR), je peux peut-être l'utiliser pour faire un swap des disques, si possible temporaire?

Hello je penche pour une traduction automatique par le navigateur .

Non, aucune, car chez moi c'est normal

Édit: cela ne marche pas:-/ Je pensais que cela fonctionnait car j'ai sur le connecter avec openvpn mais j'avais oublié de le déconnecter du wifi....donc cela ne marche pas depuis l'extérieur :-( Une idée ? J'ai désactivé le filtrage sur la box également pour le test. +++

Hello, Merci beaucoup pour ton retour complet 😀 Je suis d'accord avec toi, l'option #3 me semble meilleure. Question, est-ce qu'ajouter les DNS/DoH au routeur permettrait de passer par NextDNS en local ? KeizerSauze

Re, Je ne comprend pas... cela fonctionne à présent ! 1000 mercis à vous d'avoir pris le temps. C'est dingue je suis occupé sur ce vpn depuis des jours sans succes !!! Bonne année encore à vous