Toutes les discussions

Hello, Petit soucis sur mon 412+ , Hier soir j'ai recu 2 mail d'alertes car mon NAS en CMS a eu un petit souci : Le groupe de stockage 1 sur NAS est dégradé[3/4] Le groupe de stockages 1 sur NAS est dégradé (nombre total de disques : 4 ; nombre de disques actifs : 3). Puis quelques minutes après un 2eme mail : Le groupe de stockages 1 sur NAS a planté. J'ai donc essayé de joindre l'interface, impossible, je suis donc passé par l'assistant et là .. : Nous avons détecté des erreurs sur les disques 1,2 et 3 et les ports sata ont également été désactivés Je doute quand même que mes 3 disques aient laché en meme temps, marque différentes, data achat differente. Actuellement il n'y a que la LED du disque 4 qui est allumée, mais ca 'gratte'. Que ce qui est préconiser pour éviter de perdre les data ? Je peux aller plus loin dans Assistant, pour réinstaller DSM (sans perte de data?) ou il faut que j'attende que le NAS se répare ? ou bien encore jouer a plouf plouf pour savoir quel disque est HS, si c'est bien juste 1 disque

Bonjour Merci pour les réponses Je suis le seul en privé qui se connecte au serveur en local. Aucun autres appareils de ma femme ne s'y connecte si ce n'est le iPad pour valider la double authentification. Par contre peut être que si l'IP de mon mac est bloqué il serait prudent que je rentre aussi le numéro Local IP du mac de ma femme pour débloquer mon blocage Oui/NOn ? Pas de VPN . Peut être que pour protéger mon serveur il faudrait le mettre en place. Mais je ne sais pas si dans ce cas le concept sur mon image ci-dessus comment faire. J'ai mieux expliqué avec une nouvelle image du post précédent le contexte d'utilisation du serveur. Sur un forum en privé par mail vous me demandez un nom d'utilisateur et un mot de passe Vous allez ensuite sur mon site Web chez un hébergeur Une nouvelle page s'ouvre , vous rentrer le nom d'utilisateur et le mot de passe Le site vous propose une nouvelle page. Sur cette page vous sélectionner le dossier à télécharger Un lien de téléchargement sur le site renvoi sur mon serveur dans le dossier téléchargement et vous télécharger le dossier la ligne tous

Personnellement, je ne recommande pas le renouvellement journalier de docker. Ca n'avait déjà que peu de justifications avec les premières versions docker (je ne l'ai jamais mis en pratique et ne m'en porte pas plus mal), ça n'en a plus aucune avec container manager qui facilite grandement la mise à mise à jour des containers. Il suffit d'aller de temps en temps vérifier l'état des versions et faire les mises à jour si besoin. Ce n'est pas parce qu'une version est remplacée par une nouvelle qu'elle ne fonctionne plus. J'ai certains NAS qui tournent avec de très anciennes versions et les renouvellements se font très bien. Donc, oubliez cette partie du tuto qui n'a aucun intérêt.

Pour commencer, il ne faut pas permettre à DSM d'écrire dans le parefeu. S'il vous le propose lors de l'installation d'une application, vous en prenez note et vous refusez. C'est vous et vous seul qui devez gérer le parefeu. En effet, il arrive que certaines règles automatiques viennent en contradiction d'autres et ça devient rapidement le bazar (ce que vous avez). Ne mettre que votre ip est bien entendu possible mais bien trop restrictif car les autres usagers de votre réseau privé risquent de se faire bloquer alors que le risque d'attaque venant de ce réseau est faible à nul, à moins que vous n'ayez aucune confiance en votre famille ou vos amis. Et si votre IP change, la règle devient caduque. Vous devez autoriser au moins la plage d'adresse de votre réseau privé (par exemple 192.168.x.0/24) à utiliser tous les ports. Vous pouvez aussi la réduire, selon votre besoin. C'est votre choix. S'il y a d'autres applications utilisant d'autres plages privées (VPN, Docker entre autres), il faut aussi mettre en place des règles pour ces plages. Ceci est clairement expliqué dans le tuto. Je ne vois pas de ligne tous dans vos captures. Ce qu'il faut c'est une règle en toute dernière ligne du profil pour tous les protocoles, tous les ports et toutes les IP qui refuse le trafic. C'est obligatoire pour ne pas avoir un parefeu qui ne sert...à rien. Le parefeu n'a rien à voir avec le système, DSM en l’occurrence. Il ne gère que le trafic rentrant. Donc, si vos requêtes externes ont besoin de maria db, alors oui, il faut l'autoriser. C'est vous qui devez définir quelle application ou quel service doit être joignable de l'extérieur étant bien entendu que le trafic local n'est lui pas limité grâce aux règles du réseau privé énoncées ci-dessus.

Bonsoir, Non, je n’ai pas activé les snapshots.

Bonjour a tous, Tout d'abord merci a @Einsteinium pour ce tuto je viens de suivre le tuto et j'ai parcouru beaucoup de page pour comprendre les erreurs qui sont apparues, mais tout semble marcher maintenant. Il faudra que je vois au renouvellement dans 2 mois. Petites questions : 1) comment je peux faire, lorsque le renouvellement du certificat se fera, pour que je reçoive une mail (log) 2) dois-je laisser active, dans le gestionnaire des taches, la tache pour la création du docker, puisqu'il est dit qu'elle doit s'exécuter tout les jours à 5h. En vous remerciant...

Merci pour ses réponse Je ne sais pas d'ou viennent tous ces profils. Comme je suis débutant sur Serveur je suis en train d'apprendre. J'ai du valider des choses pour les applications installées et listées. Comme cela fonctionnait je ne me suis pas posé d'autres questions. Ces question sont posées maintenant que je m'intéresse au pare-feux. Donc suite à ces explications je supprime 2 profils sur les trois. Je regroupe Mariadb 10 et serveur de fichier FTP en un seul profil. Dans ce seul profil j'autorise mon numéro ip en première position pour ne pas m'auto-bloquer par contre la ligne tous est elle nécessaire ou dois-je la supprimer? même question pour Maria DB 10 supprimer ou nécessaire au système? Pour mémoire voici le concept d'utilisation de mon serveur

Pourquoi tous ces profils ? Je ne comprends pas. Le principe : on autorise ce que l'on veut et si on veut la France uniquement, on l'autorise explicitement. Et en dernier il faut impérativement une règle qui bloque ce qui n'a pas été autorisé. Sans cela, le parefeu est une passoire. Donc un seul profil, vous créez les règles d'autorisation, les règles peuvent bien évidemment couvrir plusieurs applications. Et vous rajoutez une dernière règle bloquante. Les règles sont balayées de la première à la dernière. Si une règle n'est pas applicable, on passe à la suivante. Ainsi de suite. Si une règle autorise, on arrête la lecture du parefeu.

Bonjour Merci pour la réponse Ben comme je suis néophyte j'avais suivi le tuto mais.... j'ai du louper quelques chose car je me suis auto-bloqué. Désolé mais si c'est en faisant des erreurs que l'on apprend cette fois j'ai préféré poser la question. Donc si je comprends bien le tuto , il ne faut pas bloquer ce que l'on ne veut pas mais autoriser ce que l'on veut? (c'est contraire à ma logique d'ou surement mon erreur) Bref selon le tuto je dois: - saisir mon numéro Ip local 192.... le cocher et l'autoriser - sélectionner la France et l'autoriser ne rien cocher pour les autres pays . Je dois utiliser pour ce fairel equel des trois profils Dans customs j'ai Dans File station: et dans default Bref pour un utilisateur averti , il va surement s'étouffer en voyant le boxon que j'ai réalisé et que je ne sais même pas comment. Conclusion avant de poursuivre ma prim question pour bloquer autoriser les pays dans le pare feux, quelqu'un pourrait déjà m'aider à faire le ménage et me dire si je dois rassembler les 3 profils en 1? En supprimer? dans quel ordre? fusionner? Merci PS informations pour le réglage du pare feux serveur. En aucun Je ne souhaite me connecter à mon serveur hors domicile. Cependant, le serveur doit autoriser les connexions de téléchargement venant par exemple d'un de vous qui souhaite accéder à un dossier.

Vous trouverez les réponses à vos questions dans le tuto sur la sécurisation de nos NAS.

Bonjour Mon serveur a subit en 4 heures 5 tentatives d'intrusion qui ont été bloquées. Mais je souhaite ajouter une couche de sécurité. J'ai vue que les IP bloqués sont hors France Est ce que je peux dans le pare feux cocher tous les pays de la liste et leur interdire de se connecter? Que dois je cocher comme option supplémentaire dans le pare feux pour ne pas m'auto bloquer? merci

Bonjour, j'ai vu que Synology a rétrodépalé sur la limitation de la série 25 aux disques uniquement Synology, et a rouvert la liste de compatibilité de la série 25 à des disques tiers partie (Western Digital, et les autres). Par contre la compatibilité listée pour le DS425+ Liste de compatibilité | Synology Inc.Centralisez le stockage et la sauvegarde des données, rationalisez la collaboration sur des fichiers, optimisez la gestion vidéo et sécurisez le déploiement du réseau pour faciliter la gestion des donNe montre toujours que des diques de la marque Synology. Où trouver la liste de compatibilté disques pour le DS425+ ? J'ai un DS412+ (je suis en version DSM 6.2.4) avec ces disques: Toshiba HDWD120 et Toshiba DT01ABA200. Est-ce que je pourrai transférer ces disques Toshiba sur un DS425+ , et tout se mettra à jour automatiquement et ça marchera sur le DS425+ ?

Bonsoir, Tu n'as pas activé les snapshots ? avec le paquets snapshot réplication.

Ben je suis plutôt d'accord ouais, je vois pas l'intérêt pour la Freebox de réclamer certaines sécurités de ce côté là. En tout cas tout ça est bon à savoir. Merci bien :)

Non, ça n'a aucun rapport avec le port. C'est le NAS qui ajoute cette en-tête HTTP avant d'envoyer une requête à la Freebox. Il n'y a aucun intérêt à chiffrer les échanges entre le NAS et la Freebox, mais les deux fonctionnent (tcp/80 ou tcp/443). Je n'ai pas cherché à comprendre pourquoi la Freebox a un comportement différent en HTTP et en HTTPS, et ça ne m'intéresse pas. Orange faisait la même chose avec les Livebox v4 où il fallait l'en-tête Host: 192.168.1.1 pour y accéder, je ne sais pas si c'est le cas sur les modèles plus récents.

Bonjour, Dans le parefeu du NAS Il faut ajouter une règle sur l'interface VPN qui autorise le sous-réseau des adresses IP du VPN (10.8.0.0)

oui et que ce champ soit vide ou rempli car ne change rien ca envoie tjs dans le mail l'ip du reseau local

Ca doit bien avoir quelquechose à voir avec le port qu'on veut utiliser non ? Enfin avec le type d'accès (sécurisé ou non) qu'on demande dans la partie "Destination" du reverse proxy. Effectivement ils veulent qu'on y accède par mafreebox.freebox.fr. Si on définit le reverse proxy vers la Freebox sur le port 80, on a ce message. D'où la solution de l'en-tête personnalisé du coup. Si on définit le reverse proxy vers la Freebox sur le port 443, ça fonctionne direct, sans en-tête personalisé. Cela voudrait dire que la Freebox n'autorise pas d'accès http sans passer par mafreebox.freebox.fr, mais nous laisse faire si on l'attaque en https ? Cela aurait une certaine logique. Ok, je comprends, mais j'ai pas besoin de ça. La question etait plus du côté du port "Destination" utilisé par le reverse proxy pour attaquer la Freebox (et le comportement de celle-ci), pas quel port je veux utiliser moi depuis l'extérieur. 443/https me va très bien ! Tout est fonctionnel. J'ai du activer l'IPv6 sur le NAS pour configurer AdGuard Home, car comme tu le dis la Freebox est super relou en IPv6. En mettant mon AdGuard en DNS par défaut dans le paramétrage DHCP de la Freebox, ça marchait à moitié, les host qui utilisent IPv6 ne passaient pas par AdGuard. En fait, la Freebox balance par défaut un DNS IPv6 également, décorrélé completement de l'IPv4 (logique je pense), et c'est pas désactivable ! Du coup, soit il fallait couper l'IPv6 de chaque host (chiant), soit définir un DNS personalisé IPv6 (celui d'AdGuard) dans la Freebox. D'où l'activation de l'IPv6 sur le NAS. Et du coup, je pense que c'est pour ça que par défaut, le DDNS Synology a défini automatiquement l'adresse IPv6 du NAS. Après est-ce que cet adresse IPv6 est accessible de l'extérieur? Je n'ai rien défini côté Freebox en ce sens (c'est ce que tu dis, on ne peut rien faire de toute façon ?). C'est peut-être ça qui embetait, mais du coup pourquoi c'est OK depuis la France et pas depuis l'étranger... Mystère.

Merci pour le retour, je suis effectivement sur 2 réseaux distincts avec cependant un accès au NAS via VPN (donc selon ma compréhension un acces direct au NAS via le tunnel VPN permet un accès direct). Je pensais qu'avec un VPN cela était possible. A priori donc pas solution ! Existerait une application tiers qui permettrait de se raccorder via un VPN (pour la sécurité) et intégrer des lecteurs réseau. J'ai trouvé rai drive qui fait ce que je cherche mais qui ne passe pas par le VPN et j'ai des doutes sur la sécurité NOTA : Pour information en acces direct sur mon reseau local j'ai pu mapper un lecteur réseau mais ce n'est pas mon besoin

Est-ce que le champ Nom d'hôte ou IP statique est renseigné dans Panneau de configuration > rubrique Accès externe > onglet Avancé ?

Les protocoles de broadcast utilisés pour la découverte des équipements du réseau ne peuvent fonctionner que sur le même segment (donc ça ne fonctionne pas si les équipements sont sur des réseaux différents). Le mieux est de mapper un lecteur réseau sur le laptop.

Bonjour et merci pour votre réponse. Je ne savais pas qu'on pouvait paramétrer chaque port éthernet pour séparer les réseaux. Je vais approfondir cela.

Tu veux dire : que faut-il pour que faire une requête en http fonctionne ? Il faut rediriger le port 80 dans la freebox vers le nas et rediriger http vers https par un fichier .htaccess. C'est expliqué dans le tuto "reverse proxy"

L'en-tête personnalisé sert uniquement à tromper la Freebox en lui faisant croire que le nom d'hôte mafreebox.freebox.fr a été utilisé pour l'atteindre. C'est pour contourner l'erreur que tu avais indiquée : Ça n'a rien à voir avec le port 80. Si le NAS n'est pas accessible en IPv6, ça ne peut pas fonctionner. Le pare-feu IPv6 des Freebox (hors Freebox Pro) est un honte : c'est un gros interrupteur qui bloque ou autorise tout le trafic IPv6. Il n'y aucun moyen de filtrer le trafic sans rajouter un pare-feu digne de ce nom derrière la Freebox.

Bonjour, En complément si je n'ai pas été assez clair voici un schéma de ma configuration, pour info j'ai trouvé un post indiquant des pbs avec WINDOWS 11 version 24h2 et la gestion des paquets avec SMB, j'ai modifié ma config sur le le NAS mais toujours même problème de NON visibilité du NAS et de ses dossiers dans mon explorateur Windows du PC client Windows 11. https://www.it-connect.fr/windows-11-24h2-acces-partage-fichiers-nas-smb/ Des pistes ? Merci d'avance