Toutes les discussions

Tu as raison Mic13710. je retire ce que j’ai dit. Je n’avais pas vu le port USB A sur la photo. Je pensais donc qu’il n’y avait qu‘un seul port USB, en type C.

Pourquoi tu dis ça ? A moins que tu ais un scoop, les ports USB A continuent de fonctionner comme avant, c'est uniquement l'USB-C qui est fermé. Après, la gestion du serveur UPS c'est une autre affaire et si Synology décident de la supprimer, alors là oui ce serait un gros problème.

Précision sur les Box Orange : il faut ouvrir les ports utilisés sur le firewall ipV6 de la box. mais tu as raison. Il n’y a pas de translation d’adresse en v6. Chaque équipement a son adresse publique (en plus de son adresse privée)

J’espère que ce port permet encore la gestion de l’UPS … mais Adieu UPS + extension …

C'est bien pour cela que je l'utilise en effet. Suite à ma réflexion sur Swag et Nginx Proxy Manager, j'ai régressé parce que, lorsque il y a plusieurs années, j'ai mis en place DNS Server, les choses étaient claires. Je reçois donc une piqure de rappel qui les clarifie à nouveau. Merci. Mais la question initiale (j'ai modifié le titre en conséquence) reste en suspens. Est-ce que ça vaut la peine de basculer du reverse-proxy intégré de DSM vers Nginx Proxy Manager ? Y gagne-t-on quelque chose ?

Il va falloir être plus explicite si tu veux obtenir de l'aide.

Les applications citées sont des proxy inversés. Elles n'ont pas le rôle de serveur DNS car elles n'écoutent pas sur le port udp/53 (DNS). À aucun moment le serveur DNS n'est court-circuité. Le fait de changer d'application de proxy inversé ne change rien aux résolutions DNS, ce sont deux choses distinctes.

tout d'abord le serveur dns n'utilise pas le 443 mais le 53. ensuite, la vocation du serveur dns du NAS (s'il est bien paramétré selon le tuto) est de résoudre des ndd locaux sinon ça ne pourrait pas fonctionner, sauf si le routeur est capable de faire du loopback. Le serveur dns local n'intervient pas sur des requêtes externes. Si tu utilises un reverse proxy autre que celui du NAS, il est bien évident que c'est vers celui-ci qu'il faut diriger les requêtes qui arrivent par le 443 pour qu'elles soient orientées vers les services appelés. Peu importe finalement quel équipement assure le reverse proxy, c'est vers lui qu'il faut diriger le 443.

Tout à fait. Obliger l'accès à un site web via un vpn est stupide.

Je suis d'accord avec toi. Cependant, certains utilisaient le e-sata pour connecter des disques externes et ils ne retrouvent plus cette fonction sur le nouveau port. C'est surtout d'avoir équipé le NAS d'un port USB-C (très bien) mais d'en limiter l'usage aux seules extensions. Or, l'USB-C devient le standard usb et je comprends que ça puisse être frustrant d'avoir un NAS équipé d'un port inutilisable en dehors d'une extension. Surtout que Synology se contente de dire qu'il y a bien ce port sans préciser qu'il est limité dans son usage.

Merci pour ce rappel salutaire parce que je ne comprenais pas comment, en aval du serveur DNS, les en-têtes pouvaient être transmis 👍 Ce qui m'a troublé, c'est que les applications dont il est question dans le titre font à la fois serveur DNS et reverse-proxy. Je dis ça parce qu'elles attendent sur le port 443 une requête du type calendar.ndd.fr et qu'elles la redirige correctement. À tel point, si j'ai bien compris, que le port 443 ne doit plus être redirigé par le routeur ou la box internet vers le port local du NAS mais vers leur propre port local. Ce qui veut dire que le serveur DNS de DSM est court-circuité sauf s'il est possible de créer des exceptions au niveau de ces applications.

Le port eSATA présent sur les modèles précédents était déjà peu utilisé et servait principalement à y connecter une extension de type DX5xx ou RX4xx. Vu le prix d'une extension DX5xx, la grande majorité des utilisateurs préfère migrer vers un modèle plus grand (DS18xx+ ou plus) pour ne pas être limité dans la gestion des groupes de disques (la fameuse hérésie du groupe de stockage à-cheval sur le NAS et son extension). Synology a remplacé le port eSATA par un port USB-C probablement pour bénéficier de débits supérieurs au SATA3.0 plafonnant à 600Mo/s. Ce qui est plutôt un choix judicieux à l'ère du SSD. Pourquoi ça chouine sur un port USB-C bridé qui remplace un port eSATA très peu utilisé alors que tout le monde branche son stockage externe sur des ports USB-A toujours présents sur le DS925+ ?

Lorsqu'une URL est entrée dans la barre d'adresse d'un navigateur, ce dernier a d'abord besoin de connaître l'adresse IP de la destination. C'est le rôle du résolveur DNS qui va retourner l'adresse IP vers laquelle pointe le nom de domaine renseigné dans l'URL, et c'est la seule chose qui est demandée au serveur DNS. L'enregistrement DNS correspondant doit donc nécessairement être (ou pointer vers) un enregistrement de type A (IPv4) et/ou AAAA (IPv6), peu importe les alias CNAME utilisés en amont. CNAME calendar.ndd.fr -> A ns.ndd.fr -> adresse IPv4 Le navigateur peut maintenant contacter l'adresse IP retournée par le serveur DNS pour communiquer avec la destination. Jusqu'ici, il n'est toujours pas question du proxy inversé. Le serveur DNS a donc un rôle complètement dissocié. Mais sans lui, impossible de savoir qui contacter. ──────────────────────────────── Une fois connecté à sa destination sur le port tcp/443 (HTTPS), le navigateur va envoyer une requête HTTP dont les en-têtes contiennent un champ Host avec comme valeur le nom de domaine de l'URL (Host: calendar.ndd.fr). C'est la valeur de ce champ qui permet au proxy inversé de diriger le trafic vers la destination finale (calendar.ndd.fr -> localhost:port). N'hésite pas à demander si certains points sont mal expliqués, c'est le b.a.-ba pour comprendre comment ça fonctionne.

C'est pourtant clair. Après l'histoire des disques, voici celle de l'usb-c, ça confirme l'orientation de Synology de fermer de plus en plus leurs NAS et obliger à l'utilisation de leurs produits propriétaires.

@Laurent Marandet Tu es sûr que le script fonctionne sur des HDD de 24 ou 26 To ? Tu as fait l'essai ? Sinon, c'est moyen comme premier message.

J’ai du mal à comprendre la stratégie de Synology avec ce nouveau choix

Certes mais si on crée un site Web c'est pour qu'il soit accessible de l'extérieur et donc consultable par tout le monde, non ?

Un VPN permet d’accéder de l'extérieur au réseau local, puis, une fois la liaison effectuée, d'aller sur le site web Un accès direct au site web de l’extérieur est risqué si une faille de sécurité est découverte…

Merci pour ta réponse. J'ai suivi ce tuto à la lettre mais en y regardant de plus près j'avais loupé un détail. Quand on a configuré le profil "par-interface" il faut le sélectionner puis l'appliquer pour qu'il devienne le profil par défaut. Comme je ne l'avais pas fait le profil par défaut était toujours le profil "default". A priori ça devrait aller cette fois, je vais continuer de surveiller le journal. Merci beaucoup pour ton aide 👍

Pour ma part, je conseillerais les Seagate EXOS, qui sont en général bien moins cher que les IronWolf Pro, bien que ce soit des disques de qualité DataCenter. Le mieux est d'utiliser en ssh le petit script disponible sur GitHub pour contourner les verrouillages de Synology qui cherche à empêcher d'utiliser autre chose que ses propres disques. Le script met à jour la base de données du hardware pour que les disques soient parfaitement reconnus.

Taipei, Taïwan – 22 mai 2025 – Synology présente sa dernière gamme d'innovations au COMPUTEX 2025, offrant un portefeuille de solutions complètes couvAfficher l’article complet

Errare humanum est, perseverare diabolicum. Tu as sans doute raison mais comment tout cela s'articule ? Quel est le chemin suivi entre la requête initiale et sa résolution qui fait intervenir à la fois la résolution DNS et le proxy inversé ? L'un et l'autre se trouvent où dans le chemin ? J'utilise systématiquement un proxy inversé pour les applications Synology et les autres ce qui m'évite de me compliquer la vie quand la situation évolue parce que j'applique toujours la même démarche.

C'est bien une adresse IPv6 appartenant à la société Driftnet (2a06:8483::/32) dont l'activité est de détecter les vulnérabilités sur internet à grands coups de scans et de détections de ports. Donc ça n'a rien de malveillant (en théorie). IPv6 ne fonctionne pas comme IPv4 et ne nécessite pour d'ouvrir de ports sur la box pour rendre des services accessibles depuis l'extérieur (au sens NAT/PAT). Tu n'as visiblement pas configuré correctement le pare-feu du NAS pour empêcher les connexions externes via IPv6. Il est donc exposé à tout l'IPv6 sur internet. Je ne peux que te conseiller d'appliquer les recommandations du tutoriel sur la sécurité : https://www.nas-forum.com/forum/topic/77493-tuto-pas-à-pas-sécurisation-du-nas-pour-dsm-7/

Dans ce cas qui, qui va résoudre calendar.ndd.fr ? Tu mélanges proxy inversé et résolution DNS. Peu importe, les deux font la même chose (proxy inversé). C'est juste que l'interface Applications est plus intuitive pour les novices.

Vous feriez bien d'aller faire un tour dans la section des tutoriels où vous trouverez tout un tas de tutos qui concernent ce que vous recherchez. Mais avant cela, je vous conseille fortement de commencer par le tuto le plus important : celui concernant la sécurisation de nos NAS.