This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Classement


Contenu populaire

Affichage du contenu avec la meilleure réputation depuis le 24/07/2019 dans toutes les zones

  1. 2 points
    maxou56

    [TUTO] Sécuriser et paramétrer son routeur Synology.

    Bonjour, C'est peut-être un peu tard. Utilisateur depuis longtemps d'un RT1900ac, je suis passé a récemment à un RT2600ac. je voulais désactiver admin, mais impossible vu que c'était le seul administrateur. La solution pour ajouter d'autres membres au groupe administrateurs, en ssh (ssh root@192.168.xx.xx -pxxxx avec le mots de passe admin), passer en root avec la commande "su root", taper la commande synogroup --get administrators pour avoir la liste des administrateurs ~ # synogroup --get administrators Group Name: [administrators] Group Type: [AUTH_LOCAL] Group ID: [101] Group Members: 0:[admin] 1:[SynologyCMS] puis taper la commande "synogroup --member administrators admin SynologyCMS utilisateur1 utilisateur2" (en rouge il faut bien recopier les utilisateurs présent dans le groupe administrateur. Ex sur un RT2600ac lié à un MR2200ac j'ai "admin" et "SynologyCMS", sur un RT1900ac j'ai uniquement "admin") edit: pour retirer un utilisateur du groupe administrateur ex: "synogroup --member administrators admin SynologyCMS utilisateur1" edit2: il faut que l'utilisateur soit déjà créé pour pouvoir l'ajouter au groupe administrateur.
  2. 1 point
    Fenrir

    [TUTO] Sécuriser les accès à son nas

    Préambule L'objectif de ce tutoriel est de vous aider à correctement sécuriser votre boitier et en particulier les accès à ce dernier. Il ne s'agira pas ici d'un guide permettant d'avoir un haut niveau de sécurité (il n'y a pas de qu'il faut dans nos boitiers), mais simplement d'une énumération des différentes étapes permettant de limiter les risques à un seuil acceptable. Tous les points ne sont pas nécessairement à suivre, chacun est libre d'appliquer ou non ces recommandations, l'important étant de comprendre de quoi il s'agit. Voyez ce TUTO comme une liste de restrictions qu'il est possible de mettre en place, selon vos besoins, certains réglages pourront ne pas convenir. Comme depuis quelques années le terme NAS est de moins en moins compris par la plupart des utilisateurs et est détourné par les fabricants, un petit rappel s'impose. Un NAS (Network Attached Storage ou boîtier de stockage en réseau) est un système permettant de stocker des fichiers et d'y accéder via le réseau. C'est tout, terminé. Si nos boitiers ne faisaient que ça, ce tutoriel aurait eu un tout autre aspect (on aurait parlé de RAID, de TRIM, d’instantanés, d'onduleur, ...), mais on constate que sous cette appellation se trouvent de nombreuses fonctions qui n'ont rien à voir avec un NAS, ce sont des fonctionnalités de serveur (hébergement de site, streaming, messagerie, applications, ...) et un serveur a souvent vocation à être consulté depuis n'importe où (ou presque). Il faut donc en sécuriser les accès. Notes de lectures Je fais emploi de la première personne du singulier dans de nombreux points pour indiquer qu'il s'agit d'avis personnels Par soucis de compréhension, malgré son utilisation impropre, le terme NAS sera employé par la suite Plusieurs liens sont présents dans ce tutoriel, je vous invite à les consulter au fur et à mesure Je vous recommande fortement de lire ce tutoriel en entier une première fois avant de commencer à faire des modifications, puis de le reprendre étape par étape par la suite. De même, faites une sauvegarde de la configuration avant de commencer Afin de limiter le texte, vous trouverez de nombreuses copies d'écran avec les réglages que je recommande. Enfin, vous avez parfaitement le droit de ne pas être d'accord avec mes recommandations, n'hésitez pas en m'en faire part dans les commentaires. Sécurité ? La sécurité est un domaine très vaste en informatique et probablement celui qui revêt le plus d'aspects, mais force est de constater que c'est aussi le sujet le moins prioritaire pour la plupart des utilisateurs. Je vois 2 raisons à ça : les consommateurs sont de plus en plus en attente de produits simples et prêts à l'emploi dès le déballage hors de question de lire la documentation => erreur hors de question de se former (ou pire, d'être formé) => erreur et de toute manière on ne court aucun risque => erreur la sécurité est perçue comme une contrainte que des empêcheurs de tourner en rond essayent d'imposer c'est trop compliqué => ce point est souvent vrai ça fait perdre trop de temps => erreur et de toute manière on ne cours aucun risque (bis) => erreur Ces points ne sont que des exemples qui concernent à peine 95% des acheteurs de matériel informatique en tout genre. Il est probable que "vous" qui lirez ces lignes êtes dans les 5% restant. Faites votre possible pour convaincre les autres. Un constat assez curieux, c'est que dès qu'on parle de sécurité dans un domaine non informatique (chambre de bébé, maison, compte en banque, ...), la plupart des personnes sont réceptives si ce n'est volontaires, mais dès que ça touche à l’informatique, il n'y a plus personne pour écouter et surtout entendre. C'est un vrai problème car de nos jours, nos bébés sont sous vidéo-surveillance, nos enfants ont des ordinateurs (une tablette est un ordinateur, même si très limité), notre maison dispose d'une alarme connectée et nos comptes en banque sont accessibles de partout. Mais curieusement, les gens ne font pas le rapprochement . Sans oublier la meilleure des réponses - "Je n'ai rien à cacher". Quoi sécuriser ? Vous êtes maintenant convaincu que la sécurité est un point à ne pas négliger, y compris en informatique ? Que devez-vous sécuriser ? Comme indiqué plus haut, en informatique, la sécurité couvre de nombreux domaines, dans le cas de nos NAS/serveurs, il y a 3 principaux domaines sur lesquels on peut agir : sécurité des accès physique : je serais surpris que votre boitier se trouve sur votre pas de porte de même, je pense que votre nas est au sec reste à gérer la problématique des vols, ou pire, des enfants, mais c'est un autre sujet sécurité des données : 2 mots => sauvegarde + chiffrement sauvegarde : ayez toujours vos données sur au moins 2 supports distincts (nas+disque externe par exemple) chiffrement : si vous avez des données privées et/ou confidentielles, le chiffrement des partages est à envisager sécurité des accès distants : c'est le sujet qu'on va aborder dès maintenant Comment faire ? La plupart des réglages sont à faire dans le panneau de configuration, donc commencez par l'ouvrir : nb : certaines applications disposent aussi de paramètres liés à la sécurité, il ne faudra pas oublier d'aller les vérifier ######################################### "Il nous baratine sur plusieurs paragraphes à propos de la sécurité et voilà qu'il commence à parler d'heure ?" En informatique et plus particulièrement sur l'aspect sécurité, l'heure est un maillon essentiel. Une machine qui n'a pas un système horaire fiable va rencontrer un jour ou l'autre les problèmes suivants : problèmes de connexion : les systèmes d’authentification et de chiffrement utilisent l'heure dans les plupart des traitements problèmes de mise à jour : l'heure est une composante importante pour les tâches planifiées et la gestion des caches problèmes de sauvegarde : comment savoir ce qui a changé depuis la dernière sauvegarde si l'heure n'est pas fiable problèmes de diagnostic : si l'heure du système n'est pas fiable, celle des journaux (logs) ne le sera pas non plus Notez bien que je parle d'heure fiable, pas nécessairement d'heure juste. L'important n'est pas d'être à la bonne heure, mais que la pendule avance à la bonne vitesse et soit en accord avec celle des autres systèmes qui y sont connectés (en gros votre pc, les serveurs de Synology, ...). Vous avez donc le choix de mettre une heure fantaisiste à la condition d'aller régler les horloges de tous les autres équipements liés (par effet ricochet, vous allez devoir régler l'heure des satellites en orbite autour de Mars ...). Le plus simple reste d'être à l'heure juste à mon avis Ça se passe ici : Sélectionnez bien votre fuseau horaire et entrez l'adresse d'un serveur de temps fiable (vous en trouverez plusieurs ici) ou choisissez en un dans la liste proposée. Comme cette synchronisation va passer par Internet, il est recommandé de choisir un serveur de sa zone géographique (pool.ntp.org le fait tout seul) : Vous pouvez aussi activer la fonction de serveur NTP de votre boitier si vous souhaitez que vos autres équipements (vos caméras de surveillance par exemple) s'en servent comme horloge de référence : Il suffira alors de les configurer pour utiliser votre NAS comme serveur de temps (ça peut aussi être fait via le DHCP, options 004 et 042). ######################################### En sécurité, une des règles d'or consiste à réduire la surface d'attaque. Moins il y a des programmes qui tournent, mieux c'est. Accessoirement ça libérera des ressources (donc il sera plus rapide, il consommera moins et il chauffera moins). Dans cette section, n'activez que les services que vous utilisez. Si vous n'utilisez pas le FTP ou le NFS ou ... désactivez les. À noter que certains protocoles disposent d'options liées au chiffrement ou à la sécurité en générale, par exemple choisir SMB3 (dans Service de fichiers Windows) permet de chiffrer la communication en AES (pour Windows 8 et plus récent, les distributions GNU/Linux avec un noyau > 3.12 et les dernières versions de MacOS) : ######################################### On peut lire un peu partout qu'il faut renommer ou désactiver le compte admin car il sera attaqué. La recommandation est, partiellement, valable, mais la raison est mauvaise. C'est une bonne chose de créer un (ou plusieurs) compte(s) d'administrateur(s) et de ne pas utiliser (ni modifier) celui par défaut : s'il y a plusieurs personnes amenées à administrer un équipement ça permet une meilleure traçabilité, ça évite de devoir se refiler le mot de passe et ça permet de couper un administrateur en particulier si besoin sans impacter les autres si vous êtes seul à administrer votre équipement ça a au moins le mérite de laisser intact le compte par défaut La raison est mauvaise car les attaques ne s’arrêtent pas si le compte admin ne marche pas, elles s’arrêtent lorsque l'attaquant a testé tous les login/password de sa liste. Un autre point qui est souvent oublié c'est que le compte admin reste obligatoire pour certaines opérations avec les anciennes versions de DSM (inférieurs à DSM6.0). nb : certaines applications ne sont pleinement fonctionnelles qu'avec des droits d'administrateurs (ce n'est pas normal mais c'est comme ça) Nous allons donc créer un nouvel administrateur, mais un peu particulier : Choisissez un login explicite mais pas celui que vous utilisez tous les jours : Il faut bien entendu qu'il soit membre du groupes "administrators" : Ici je bloque les accès à tous les partages, certains vont penser que ça ne sert à rien puisqu'un membre du groupe "administrators" peut toujours se remettre les droits et c'est vrai. L'intérêt est que, si pour une raison ou une autre, ce compte arrive à accéder une des applications de gestion des fichiers (FileStation par exemple), il ne puisse pas faire grand-chose. nb : si vous utilisez PhotoStation, vous ne pourrez pas changer les droits de ce dossier, il faut le faire directement depuis les paramètres de l'application avec un compte administrateur On ne peut pas placer de quota sur un admin, donc on passe : Comme plusieurs protections valent mieux qu'une, on peut aussi bloquer l'accès à toutes les applications, mais dans ce cas, vous ne pourrez plus les administrer (c'est logique !). Personnellement je n'ai coupé l'administration que pour les applications qui sont accessibles depuis Internet en direct (chez moi la liste est courte, il n'y en a qu'une) et quand je veux administrer cette application (c'est rare), je me connecte avec cet administrateur, je lui donne les droits, je fais mon réglage et je retire les droits. À adapter en fonction de vos besoins (au début c'est très contraignant, mais une fois que le NAS est bien configuré, on n'y prête plus vraiment attention). Dans tous les cas, autorisez l'accès au "Bureau" à votre super admin afin de conserver l'accès au panneau de configuration : Avec un peu de parano, on peut aussi ralentir les opérations sur les fichiers pour décourager l'attaquant (ça vous demandera d'activer le contrôle du trafic) : Et on applique : Une fois notre administrateur créé, on vérifie qu'il fonctionne, donc on se déconnecte et on se reconnecte avec ce nouveau compte. Si ça fonctionne et qu'il accède bien au panneau de configuration comme un administrateur on peut continuer en spécifiant une politique pour les mots de passe. Un bon mot de passe c'est un mot de passe facile à retenir ou à retrouver de tête (donc pas sur un post-it) et relativement long. On lit souvent qu'il faut utiliser des caractères spéciaux car ça rend les mots de passe plus complexe. C'est vrai si ces 3 conditions sont réunies : les utilisateurs arrivent à s'en souvenir sans le noter les utilisateurs arrivent à le taper (clavier mobile, braille, étranger, ...) sa longueur est d'au moins 12 caractères Je trouve pour ma part qu'il est plus facile d'utiliser un long mot de passe avec des lettres, des chiffres et des majuscules qu'un mot de passe avec des caractères spéciaux. Pour ce qui est de la sécurité, imposer des caractères spéciaux à un mot de passe ne le complexifie que d'un "bit" en équivalent cryptographique. Ajouter 2 caractères "normaux" le complexifie de 11 bits. Pour un humain, deviner une chaine de 10 caractères spéciaux est très complexe, pour une machine c'est plus facile qu'une chaine de 10 caractères "normaux". Je ne dis pas qu'il ne faille pas inclure des caractères spéciaux, je recommande juste de ne pas l'imposer car ça facilite la vie des utilisateurs : En activant la vérification en 2 étapes, un assistant va se lancer, suivez le guide : Je recommande FreeOTP pour gérer vos jetons (il fonctionne aussi pour FaceBook, Google, ...) mais il existe d'autres applications similaires. Entrez le code généré par l'application (si votre NAS ou votre client ne sont pas à la même heure, ça échouera probablement) : Renseignez une adresse fiable et sécurisée ici : Et on valide : Encore une fois, on teste avant de continuer, donc on se déconnecte et on se reconnecte : Cette fois ci avec une étape supplémentaire : C'en est terminé de la création de notre administrateur, on peut maintenant couper celui par défaut : Arrivez ici vous allez penser que ce compte (monadmin) est inutilisable. C'est faux, c'est un compte d’administrateur qui peut effectuer toutes les tâches d'administration, il n'a pas besoin de voir des vidéos, d'envoyer des photos, ... Donc maintenant vous pouvez/devez créer des comptes "normaux" (sans les droits d'administration) et le compte d'administration sera réservé aux tâches d'administration. Je recommande aussi de créer des comptes utilitaires pour les besoins spécifiques. À titre d'exemple, sur mes NAS j'ai créé plusieurs comptes de ce type, dont : routeur (non admin) : ce compte sert à mon routeur pour exporter les modifications de configuration, il a juste le droit de faire du FTPs dans un dossier spécifique sauvegarde (admin) : ce compte est dédié aux tâches de sauvegardes, il a un mot de passe de 64 caractères (merci Keepass) En complément j'ai plusieurs comptes "normaux" pour l'utilisation au quotidien (ma famille et moi). Ça peut paraitre contraignant, mais normalement, enfin je l'espère pour vous, vous ne passez pas votre temps à faire des tâches d’administration sur votre NAS, donc vous ne devriez pas en avoir besoin souvent. Encore une fois il ne s'agit là que de recommandations, vous êtes libres d'utiliser le login admin avec le mot de passe "1234" pour consulter vos données privées depuis la Chine. ######################################### Ici on va aller vite, je déconseille d'activer ce service si on tient un tant soit peu à la sécurité. Pour informations, voici comme fonctionne QuickConnect : votre NAS établi un tunnel OpenVPN avec un serveur tiers loué par Synology (donc de fait, ils ont un accès direct au NAS s'ils le souhaitent) en parallèle il créé et met à jour un enregistrement DNS avec votre IP public (comme un DynDNS) lorsque vous entrez l'adresse QuickConnect de votre boitier, votre client va essayer de déterminer si vous pouvez vous connecter en direct si ce n'est pas le cas, votre trafic sera dirigé sur un serveur de Synology qui se chargera de router le trafic dans le tunnel du point 1 (donc ils peuvent voir tout ce qui passe) Le résultat est un trafic souvent très lent, relativement instable et difficile à maitriser. Néanmoins, si vous souhaitez conserver QuickConnect, pensez à limiter les applications accessibles, en particulier, n'autorisez pas DSM (en pratique l'accès à DSM on s'en fiche, ce qui est important dans un NAS ce sont les fichiers, mais bloquer l'accès aux fichiers sur un NAS limite grandement son utilité ...). ######################################### Il y a 3 sections dans ce menu : Cette section vous permet de configurer un service de DNS dynamique, c'est pratique pour ceux qui n'ont pas d'adresse IP fixe, rien de compliqué ici : Ne cliquez pas ici, ça fait partie des options que Synology devrait vraiment retirer de ses boitiers. C'est très dangereux du point de vue sécurité. Ça sert à ouvrir automatiquement des ports dans votre routeur/box, ça peut paraitre sympa comme ça mais en pratique c'est une faille de sécurité très importante. Là on entre en plein dans les comportements que je décrivais au début de ce tutoriel : les gens veulent du "clef en main" et la sécurité ça complique les choses ! 2 exemples pour essayer de vous convaincre : pour que cette fonction marche, votre routeur doit gérer l'UPnP, donc tous les équipements de votre réseau pourront faire de l'ouverture dynamique de port, le PC qui vient de se prendre un virus pourra automatiquement, sans la moindre notification, ouvrir un port permettant à un attaquant d'entrer dans votre réseau de même, si vous avez configuré des redirections de ports pour plusieurs équipements, ces redirections risquent de sauter si une requête UPnP demande le même port Un petit menu que beaucoup oublient de configurer, il n'est pas obligatoire et pas lié (pas directement du moins) à la sécurité mais ça permet d'éviter de chercher des heures la raison pour laquelle un lien de partage (par exemple) ne fonctionne pas. Attention, il faut vider ces champs si vous utilisez des noms de domaine ou des ports spécifiques (portail des application, reverse proxy, ...). nb : si vous avez changé les ports de DSM (directement ou via votre routeur), il faut l'indiquer ici ######################################### On ne peut pas parler d'accès distant sans parler d'IP, donc allons y : Du point de vue confort, fiabilité et sécurité, l'attribution dynamique (DHCP) est recommandée, néanmoins, certains services nécessitent d'avoir une adresse IP fixe (c'est le cas du DKIM avec MailServer mais aussi du serveur DHCP et quelques autres applications), donc à choisir en fonction de vos besoins. Si vous choisissez DHCP, fixez l'adresse dans votre serveur DHCP (votre box probablement), si vous choisissez l'IP en dur, prenez une IP en dehors de la plage DHCP. Pour l'IPv6, même si je ne devrais pas le dire (car l'IPv6 c'est bien), du point de vue sécurité je vous recommande de le désactiver pour le moment. Le problème ne vient pas de Synology (qui permet de régler le pare-feu en IPv6), c'est plus général (j'en parle ici). Une fois que vous aurez bien compris ce que ça implique, vous pourrez revenir l'activer. Merci de ne pas changer les ports par défaut, ça n'apporte presque rien du point de vue sécurité (on gagne moins d'une seconde face à un scanner) et ça complique les usages. Si vraiment vous souhaitez les changer depuis Internet, faites-le sur votre box ou avec un "reverse proxy". Je ne redirige pas automatiquement les connexions HTTP vers HTTPS car je n'expose pas DSM directement sur Internet (il y a un serveur VPN pour ça), mais si vous le faites, activez la redirection. Attention, j'ai pu constater qu'activer la redirection HTTP vers HTTPS cassait certains mécanismes, au moins le reverse proxy pour les applications de base (audio/download/file/surveillance/video - station). Si vous souhaitez profiter de la redirection sans casser le reverse proxy, le plus simple est de créer un petit fichier php à la racine de Webstation (/web/index.php) pour gérer cette redirection : <?php $http_host = $_SERVER['HTTP_HOST']; // 307 Temporary Redirect header("Location: https://$http_host",TRUE,307); exit; ?> Vous pouvez bien entendu adapter le script pour utiliser des ports différents si besoin. Pour la dernière option, l'HSTS, ne l'activez que si vous n'accédez jamais à votre NAS autrement qu'en HTTPS (c'est votre navigateur qui enregistrera cette information et il ne vous laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé). ######################################### J'ai pris les menus dans l'ordre (ou presque), donc la section "Sécurité" n'arrive que maintenant, pourtant tout ce que l'on a vu précédemment est aussi lié à la sécurité ... Ces réglages devraient convenir à la plupart des utilisateurs : Pour le pare-feu, même si votre NAS n'est pas exposé sur Internet, activez-le, ça ne coute presque rien en ressources et ça limitera la casse si un jour il est exposé (une box qui passe en bridge, une erreur de manipulation, ...). Vous pouvez laisser les notifications activées, mais ne vous en servez pas (ne cliquez pas sur le bouton OK lorsqu'elles apparaissent), utilisez-les simplement comme un rappel que vous avez tel ou tel port à ouvrir. Les règles de pare-feu ci-dessous seront valable chez pratiquement tout le monde, en toute rigueur, il ne faudrait autoriser que les adresses "fiables" sur des services précis, mais sauf à avoir des espions dans son réseau, ça ne devrait pas poser de problèmes. On va dire que c'est un compromis entre confort et sécurité. nb : si vous souhaitez faire de l'IPv6, pensez à ajouter les adresses locales (fe80::/10 et ff00::/8) Dans un premier temps, je vous recommande vivement de configurer votre pare feu avec les 4 règles ci-dessous, à l'identique !! nb : dans les 3 premières règles, il faut bien choisir "Sous-réseau" et pas "Hôte unique" ni "Plage d'IP" ici j'utilise uniquement la table "Toutes les interfaces" car c'est plus simple à gérer et suffisant pour la plupart des besoins, si vous souhaitez utiliser les règles par interfaces, lisez ceci Une fois ces 4 règles en place, vous pourrez ajouter les autres règles dont vous avez besoin (il faut les ajouter juste avant la dernière règle) si vous souhaitez que certains services de votre NAS soient accessibles depuis Internet. Les règles ci-dessus n'autorisent que les réseaux locaux et bloquent tout le trafic venant d'Internet. Voici un exemple plus complet qui n'est pas à reprendre aveuglement, c'est juste pour illustrer : En plus des réseaux locaux (ou privés), j'autorise les services suivants : ports TCP 80 et 443 depuis l'adresse 192.0.2.3 (il s'agit d'une adresse IP public d'exemple, ce n'est pas une adresse privée => https://tools.ietf.org/html/rfc5737) port UDP 1194 (OpenVPN) uniquement depuis la France ports UDP 500, 1701 et 4500 (L2TP/IPSec) uniquement depuis la France et les ports TCP 7000 et 7001 que j'ai associé à une application, autorisés depuis la France la Guyane française nb : les règles sont évaluées dans l'ordre, de haut en bas ps : si votre NAS est derrière une Box, il faudra aussi transférer (forward) les ports sur cette dernière Une recommandation, n'autorisez pas l'accès en direct à DSM (ports TCP 5000 et 5001 par défaut) depuis Internet mais servez vous du portail des applications (cf plus bas) pour limiter les accès aux seules applications nécessaires. Si vous devez administrer votre NAS depuis Internet, l'utilisation du Serveur VPN est vivement conseillée. Une petite case à cocher pour limiter les chances que votre boitier soit rendu inaccessible suite à un certain type d'attaque : A adapter selon vos interfaces connectées. Cette fonction bloquera les adresses IP des personnes ayants fait trop d'erreurs d'authentification (ça ne fonctionne qu'avec certaines applications, mais c'est déjà ça). nb : n'ajoutez pas d'adresses dans la liste des autorisations, si vous vous bloquez vous même, changez juste l'adresse de votre poste pour le débloquer ou attendez l'expiration du blocage Un peu plus haut on a parlé d'HTTPS, or qui dit HTTPS dit certificat. Ici on se heurte à un vrai problème du point de vue de la sécurité. Il est assez difficile de l'expliquer sans en faire des pages, mais pour faire simple, n'utilisez jamais un certificat auto-signé (comme celui installé par défaut dans la plupart des équipements). La solution la plus sécurisée consiste à créer votre propre autorité de certification et à émettre vous-même vos certificats. Cette méthode présente quelques avantages mais aussi quelques inconvénients : Avantages : vous n'avez pas à faire confiance à une entreprise que vous ne connaissez pas vous n'avez pas à payer cette entreprise pour vos certificats (même si avec LetsEncrypt et quelques autres entités, c'est gratuit) vous pouvez émettre autant de certificats que nécessaire vous pouvez choisir ce qu'ils acceptent (wildcard ou multi domaine par exemple) Inconvénients : vous devez savoir le faire vous devez installer votre autorité partout où vous l'utilisez (dans vos navigateurs, smartphones, ...) La solution recommandée est donc d'utiliser un certificat signé par une autorité reconnue en standard (Synology vous permet de créer un certificat signé par LetsEncrypt, c'est gratuit et ça marche assez bien). Dans un cas comme dans l'autre, supprimez le certificat installé par défaut. Enfin, la solution qui n'en est pas une consiste à accepter les avertissements de sécurité, en faisant ça, vous installez dans votre navigateur des certificats qui n'ont été validés par personne. C'est très dangereux mais il est assez difficile de vous expliquer pourquoi en quelques mots, gardez juste à l'esprit qu'accepter un certificat non reconnu peut permettre à un attaquant d'intercepter toutes vos communications vers le site de votre banque, même si ce dernier est protégé par un vrai certificat. ps : en passant, 2 modules pour Firefox que je recommande : Y U no validate et SSleuth Donc pour la plupart d'entre vous, le bon choix est de passer par l'assistant pour créer un certificat signé par LetsEncrypt (le port 80 doit être ouvert le temps de la génération du certificat et tous les 3 mois pour son renouvellement). N'activez jamais la compression HTTP (il y a une faille de sécurité dans ce protocole qui rend l'HTTPS inefficace) et utilisez les suites de chiffrement "moderne". ######################################### Un point important en sécurité consiste à être prévenu lorsqu’un problème survient. Le paramétrage des notifications est fait pour ça. Ici j'ai configuré les notifications par mail, mais vous pouvez utiliser les SMS (si vous avez un abonnement compatible comme FreeMobile) ou encore par Push (je déconseille ce mode car il est peu pratique à l'usage). Dans le dernier onglet, vous pouvez choisir le type de notification à activer pour la plupart des événements pouvant se produire. Au début cochez tout, puis en fonction de votre usage, vous pourrez décocher certaines notifications (chez moi j'ai désactivé les notifications pour les sauvegardes réussies). ######################################### Maintenir ses équipements à jour est un moyen assez simple de limiter les problèmes de sécurité. Je recommande de laisser le NAS détecter et télécharger les mises à jour automatiquement mais de ne pas le laisser les installer tout seul. Synology sort des mises à jour de bonne qualité en général, mais il arrive, surtout pour les mises à jour majeurs, que des problèmes surviennent (en clair, elles sont parfois boguées). Laissez le NAS vous prévenir qu'une mise à jour est disponible et renseignez-vous sur d'éventuels soucis de compatibilité avant de l'installer. nb : désactivez aussi les mises à jour automatique dans le Centre de paquets pour la même raison Parmi les actions à effectuer de temps en temps, surtout lorsque vous vous apprêtez à faire de gros changements (comme en suivant ce tutoriel), la sauvegarde de la configuration n'est pas à omettre. ps : pour information, le fichier de sauvegarde est une archive tar.xz contenant une base sqlite, il est donc possible de le consulter pour récupérer un élément de configuration précis Notez en passant que seuls certains paramètres sont sauvegardés, pensez à sauvegarder le reste d'une manière ou d'une autre : ps : cette sauvegarde de la configuration du NAS n'est pas à sauvegarder sur le NAS lui-même ######################################### Ici vous avez la possibilité de restreindre l'accès à certaines applications pour certains comptes. Par exemple si vous vous servez de votre NAS comme d'un système de dépose de fichiers pour des clients, via FileStation, il n'est pas nécessaire de leur laisser accès à vos vidéos de vacances avec VideoStation. De même il est peut être utile de limiter les accès à certaines machines. Sélectionnez une application et cliquez sur Modifier, la suite est assez explicite. ######################################### Par défaut la plupart des applications sont accessibles via DSM (ports 5000 et 5001) et l'adresse de votre nas, mais si vous souhaitez que seule telle ou telle application soit accessible depuis Internet, ou dispose d'une adresse spécifique ou écoute sur un port particulier, ou encore tout ça à la fois, c'est ici qu'il faut se rendre. Vous avez 2 menus : Applications : ça permet de configurer l'adresse et le port d'écoute de certaines applications Synology Proxy Inversé : ça permet de faire la même chose pour les autres applications ou faire des configurations plus avancées Ces options vous permettent, par exemple, de faire écouter les différentes applications sur des ports précis et ainsi, grâce au pare-feu, de limiter leurs accès aux seules adresses autorisées. Ci-dessous un exemple un peu plus complexe (la seconde partie n'est réalisable qu'avec du loopback ou si vous avez un DNS en interne ou qui gère les vues, j'en parle à la fin du tuto VPN) Dans un premier temps j'ai déclaré des ports spécifiques pour chacune des applications que j'utilise : => depuis un navigateur, si j'entre l'adresse de mon nas en précisant le port 7043 je tombe directement sur Audio Station J'ai ensuite configuré le Proxy inversé pour faire correspondre les différentes applications avec des noms de domaine différents mais sur un seul port (tcp 443/https). J'ai aussi créé une entrée pour une application non Synology (il s'agit ici d'un Docker) : => depuis DSAudio, j'entre l'adresse dsaudio.mon.domaine:443 nb : dans les applications mobiles, il ne faut pas oublier le numéro de port dans l'adresse pour que ça fonctionne de partout (en interne comme depuis Internet), sinon certaines d'entre elles essayent systématiquement de trouver une configuration QuickConnect (qui n'existe pas chez moi) ps : cette configuration ne fonctionnera pas si vous avez activé la redirection HTTP vers HTTPS de DSM (cf remarque un peu plus haut) ######################################### Même si vous n'avez pas l'intention de vous en servir, activez le SSH. En cas de problème d'accès à DSM, c'est souvent la seule manière de débloquer la situation sans devoir faire un reset du NAS. Par contre ne l'ouvrez pas depuis Internet, limitez son accès à votre seul réseau local. Et en passant, choisissez le mode de chiffrement le plus élevé : ######################################### Synology a eu la bonne idée (de mémoire avec DSM 5.2) d'ajouter l'application "Conseiller en sécurité". Cette application analyse certains fichiers et certains réglages de votre NAS afin de vous prévenir en cas d'anomalies. Elle ne va pas encore assez loin à mon gout, d'où ce tutoriel, mais c'est déjà pas mal. Globalement elle fait bien son travail, donc il serait dommage de s'en passer (n'oubliez pas de planifier une analyse régulière) : Néanmoins je ne suis pas d'accord avec 3 des recommandations de Synology, celles concernant les changements de ports, donc je les désactive (tout le reste devrait être activé) : Lancez l'analyse une première fois, si vous avez suivi mes recommandations, tout devrait être au vert.
  3. 1 point
    Zeus

    [TUTO] Pourquoi et comment utiliser un nom de domaine ?

    Bonjour, Je vois encore trop de personnes cherchant de l'aide sur l'utilisation de leurs adresses IP pour se connecter à leurs serveurs à distance ou pour partager des données. Je vais donc vous expliquer ci-dessous pourquoi je vous recommande vivement de prendre un nom de domaine. D'abord, on va casser le mythe tout de suite, un nom de domaine, c'est pas cher quand on prend en compte qu'on vient de dépenser pas mal d'argent dans un NAS et des disques durs ainsi qu'un onduleur et un moyen de sauvegarde. Le site OVH (français) par exemple, propose sa propre extension (.ovh) pour moins de 4 euros par an. Je paie moins de 10 euros par an pour un .fr chez eux par exemple. Il existe beaucoup de "registrar" mais je recommande toujours OVH parce qu'il est français, fiable et qu'il permet de travailler avec une IP dynamique via un service DDNS. Il propose aussi différentes API qui peuvent plaire à certains. J'utilise par exemple une API OVH pour la validation de mes certificats Wildcard de Let's Encrypt. Pourquoi ne pas utiliser Quickconnect ? Vous pourriez le lire assez souvent sur le forum, nous ne conseillons pas du tout la fonction QuickConnect intégrée au NAS Synology et en voici les raisons principales. Tout le trafic lié à votre NAS passe par des serveurs tiers. La qualité de connexion et de transit des données est lié au bon fonctionnement des serveurs tiers or on constate régulièrement chez les membres qui utilisent QuickConnect que ça ne fonctionne pas si bien que ça. C'est souvent très lent quand ça fonctionne. On ne contrôle absolument pas ce moyen de connexion et de communication. Adresse IP fixe et adresse IP dynamique : Une adresse IP, c'est un peu comme votre numéro de sécurité sociale. Elle est liée à un propriétaire (le client déclaré chez l'opérateur). C'est d'ailleurs comme ça que fonctionne la fameuse HADOPI quand ils attrapent quelqu'un sur la toile. Ils contactent l'opérateur en fournissant l'adresse IP, la date et l'heure et l'opérateur sait tout de suite quel client avait cette adresse IP à ce moment précis. Ils se fichent par contre de savoir QUI exactement utilisait la connexion à ce moment là. Ils partent du principe que le responsable, c'est le client déclaré chez l'opérateur. Aujourd'hui, il existe trois types d'adresses IP qui nous concerne quand on prend un abonnement internet chez un opérateur. IP fixe IP dynamique IP fixe partagée L'IP fixe (aussi appelée IP statique), c'est ce que tout le monde voudrait. Une IP qui ne change jamais est idéale pour héberger des services sur lesquels on voudrait un accès externe. L'IP dynamique, elle change régulièrement et ça sans prévenir. Mais on peut travailler avec un service DDNS qui sera chargé de surveiller ces changements d'IP régulièrement pour mettre à jour le système automatiquement. L'IP fixe partagée, c'est une plaie mais à ma connaissance, seul Free le fait pour certains clients et les clients peuvent facilement demander une IP fixe via le site internet de Free. Elle a pour conséquence de partager la même IP fixe entre plusieurs clients mais en séparant en plusieurs parties la plage de ports. Un premier client aura la chance d'avoir par exemple les ports 22, 80, 443 etc... quand les autres devront faire sans. La plupart des clients ne voient pas le soucis quand ils ne font que de la visite de sites/blogs ou du visionnage youtube mais pour quelqu'un utilisant ces ports pour de l'hébergement, ça devient tout de suite problématique si il a pas la chance de les avoir. D'autres soucis peuvent s'ajouter à ça comme le bannissement sur un jeu ou un site internet de l'IP à cause d'un client et c'est tous les autres clients ayant cette IP partagée qui seraient punis. Voici en gros les principaux opérateurs français et si ils offrent une IP fixe, dynamique ou partagée. Orange : IP fixe (option chère) et IP dynamique d'office (fibre et ADSL) SFR : IP fixe (fibre) et IP dynamique (ADSL) Free : IP fixe (fibre et ADSL) et IP partagée (fibre et ADSL) Bouygues : IP fixe (fibre, ADSL), IP dynamique (câble) Si vous avez une adresse IP partagée, vous pouvez demander une adresse IP fixe fullstack rien que pour vous 🙂 Pour se faire, il vous suffit d'en faire la demande sur votre espace client sur free.fr Voir ce site qu'il l'explique un peu plus en détail : https://www.freenews.fr/freenews-edition-nationale-299/fibre-optique-125/loption-ip-fixe-finalement-disponible-freebox-fibre-zmd Pourquoi prendre un nom de domaine ? Un nom de domaine est plus facile à retenir et donc à partager qu'une adresse IP. D'autant plus si cette dernière n'est pas fixe ! Un nom de domaine ne fait pas peur au grand public contrairement à une adresse du type : 98.172.34.29 On peut utiliser plusieurs domaines différents sur une même IP alors que vous ne pourrez pas utiliser plusieurs IP sur une même IP. (mondomaine1.fr, mondomaine2.com) On peut utiliser d'autres domaines sur son propre domaine (ndd.tld, video.ndd.tld, mail.ndd.tld etc...). Ça fait quand même plus professionnel. Votre adresse IP peut changer même dans le cas d'une IP fixe (changement d'opérateur ou déménagement par exemple) mais pas votre nom de domaine. On peut cacher les ports des différents services (5000, 5001, 8080 etc...) qu'on met en ligne en utilisant les ports connus 80 et 443 via un proxy inversé ou virtual host. On peut obtenir un certificat SSL pour son domaine. Est-ce facile à mettre en place ? Oui, c'est très facile à faire et ça ne prend que quelques minutes maximum. Un peu long à se valider (24h max en général et en 2h chez OVH) parce qu'il faut que votre nouveau domaine créé se propage (se fasse connaître en gros) partout sur la planète à travers une multitude de serveurs DNS. Voici la procédure : Rendons-nous sur la page officielle d'OVH pour choisir notre nouveau nom de domaine : https://www.ovh.com/fr/domaines/ Une fois le domaine libre choisi, on passe commande comme on passerait une commande sur Amazon. Pour les options, à vous de voir ce dont vous avez besoin 😉 Une fois la commande passée et finalisée, on va se rendre sur la page de configuration : https://www.ovh.com/manager/web/index.html#/configuration Le nom de domaine dans ce tuto n'est plus utilisé et sera résilié dans le courant de l'année 2019. Merci donc de ne pas le spammer par respect du potentiel prochain acquéreur. Pour une IP FIXE : Nous allons nous rendre sur notre nom de domaine puis sur notre zone DNS Il suffit d'indiquer son IP fixe dans la cible et valider. On laisse vide le champ "sous-domaine". Pour obtenir votre adresse IP fixe, on peut visiter ce site par exemple : https://ip.netysl.fr Une fois cettre entrée validée, on peut surveiller la propagation DNS afin de s'assurer qu'elle a bien été prise en compte. https://www.whatsmydns.net/ Selon les registrars, la propagation peut durer 24h environ. Chez OVH, je n'ai jamais dépassé les deux heures. Pour une IP DYNAMIQUE : C'est légèrement différent pour une IP dynamique puisqu'il faudra passer par le service DDNS. Premièrement, nous allons supprimer l'entrée A si il en existe une qui aurait été créé par OVH pendant la mise en place du domaine. C'est ici que ça se passe : Ensuite, nous allons créer une règle DynHost. Il suffit d'indiquer un domaine et son IP dynamique dans la cible et valider. Pour obtenir votre adresse IP, on peut visiter ce site par exemple : https://ip.netysl.fr Ensuite il faut créer un identifiant afin qu'il puisse gérer les changements d'IP. On indique les informations en prenant en compte ce qu'on avait déjà rempli précédemment. Maintenant, on va se rendre sur le NAS dans "Panneau de configuration > Accès externe > DDNS" puis on clique sur Ajouter : On a plus qu'à entrer ce qu'on a fait précédemment sur notre compte OVH. On teste la connexion et on devrait obtenir un statut "normal" comme ci-dessous. On clique sur Ok pour valider. Pareil que pour l'IP FIXE, on va pouvoir surveiller la propagation de notre domaine dans le monde avec le lien ci-dessous : https://www.whatsmydns.net/ Voilà, maintenant que l'on a configuré son IP avec son domaine, on peut créer le transfert de port sur notre routeur et l'ouverture sur le pare feu du NAS. Vous avez deux possibilités : Ouvrir chaque port pour chaque service et ainsi vous devrez taper votre domaine suivi du port (ex : ndd.tld:8888). Un peu chiant si on a pas mal de services... Ou alors ouvrir un seul port qui sera le port 443 (et éventuellement le port 80 avec une redirection auto vers le 443) et ça pour que ce soit fonctionnel pour chaque domaine. Pour la première option, je vous laisse vous tourner vers votre moteur de recherche préféré pour savoir comment transférer un port de votre modem/routeur à votre NAS. Pour la partie NAS, le tuto de sécurité de Fenrir parle de l'ouverture de port. Si vous avez choisi comme la plupart des membres d'accéder à tous vos services par l'unique port 443, alors il vous faudra suivre le tuto de @Kawamashi 🙂
  4. 1 point
    alan.dub

    Lecture de fichier très volumineux (x264 HDR)

    Oui je vois bien mais je persiste à dire que le problème ne vient pas de PLEX lui même mais plutôt du protocole qu'il utilise, le DLNA. Ce protocole est une vrai calamité en ce qui concerne la gestion des subtiles. Comme indiqué dans mon message précédent, des astuces existent pour retrouver un fonctionnement un tant soit peut classique, mais ça reste des astuces. Perso, mais ce n'est que mon avis, il vaut mieux utiliser une solution hardware que software, soit, utiliser un lecteur réseau capable de tout décoder nativement et qui enverra ensuite le flux via HDMI/Optique.
  5. 1 point
    shadowking

    RApidité taux de transfert

    Ben c'est normal alors, tu n'as qu'un port Gigabit, en l'état aucun périphérique ne pourra communiquer en gigabit avec ton NAS, vu qu'ils sont sur des ports 10/100. Deux solutions, tu changes ton switch 8p ou, tu ajoutes un switch 5p gigabit (20€) sur ton port gigabit, et tu y relies tous tes périphériques où la vitesse de transfert importe. EDIT : Doublé par @firlin 😛
  6. 1 point
    firlin

    RApidité taux de transfert

    Bonjour Lums, Cherche pas ton reseau est bridé à 100Mbps car il faut tous les equipement sur des ports en 1000MBps. Pour avoir de debit maxi, il te faut changer ton switch par un 10/100/1000 Mbps cela coute pas tres cher dans les 40€
  7. 1 point
    dd5992

    Free - changement d'IP

    Je crois que j'ai une piste. Dans mes tests, j'ai regardé le log des accès à mon syno et j'ai trouvé une indication de l'IP utilisée pour la connexion avec QuickConnect. Il s'agit de la 92.184.96.45, c'est à dire du même bloc que celle que tu mentionnes dans ton premier post (je me suis connecté de mon portable avec un abonnement Orange). Mon interprétation : QuickConnect t'indique les changement d'adresse IP de l'émetteur de la connexion vers ton syno et non l'adresse de ton syno. Tu peux dormir tranquille.
  8. 1 point
    Kawamashi

    [Tuto] Reverse Proxy

    Bonjour tout le monde, J'ai l'impression qu'il y a pas mal de monde intéressé par la possibilité d'utiliser un NAS Synology pour faire du Reverse proxy (depuis DSM 6.0). Je voulais ajouter ma pierre à l'édifice en complétant les tutos réalisés, sur ce topic ou ailleurs. Tout d'abord, je voulais remercier InfoYann pour son tuto et ses réponses à mes questions. Merci également à Fender, qui a écrit le 1er tuto sur le sujet. Pour finir, merci à Fenrir, pour son méga tuto de sécurisation d'un NAS (une vraie bible...), qui aborde le sujet du reverse proxy. LE REVERSE PROXY DE A à Z I. Utilité et intérêt d'un Reverse proxy Un Reverse proxy redirige des noms de domaines vers des équipements présents sur le réseau local ou des applications présentes sur le NAS. Cela permet de ne pas avoir à retenir et taper le port des différents services pour y accéder. Par conséquent, ça évite d'avoir à ouvrir sur l'extérieur autant de ports que de services : on se sert juste du port utilisé par défaut pour les connexions HTTPS, le port 443. Par exemple, si on a affecté le port 45000 à Audio Station et le 45001 à Video Station, il faut normalement taper https://nomdedomaine.fr:45000 ou https://nomdedomaine.fr:45001 pour accéder à ces 2 services. Ce n'est pas très explicite, et il faut que les ports 45000 et 45001 soient ouverts sur le routeur. Plus y il y a de services, pire c'est. Grâce à un reverse proxy, on se contente de taper https://music.nomdedomaine.fr ou https://video.nomdedomaine.fr, et tout passe par le port 443 utilisé par le protocole HTTPS. C'est beaucoup plus simple. Pour plus d'infos, consultez ce tuto et celui-là. Par contre, il faut absolument préciser https dans l'URL, sans quoi on utilise le HTTP par défaut et ça ne marche pas. Pour éviter ce problème, on va mettre en place une redirection automatique grâce à Web Station. II. Configuration du nom de domaine chez le registrar Je prends le cas d'une IP fixe car j'ai la chance de ne pas être confronté au problème des IP dynamiques ! Avoir son nom de domaine (NDD) va nous permettre d'accéder à notre réseau local depuis Internet. Une fois le NDD loué, il faut ajouter 2 entrées dans sa zone DNS : - une entrée de type A qui redirige le NDD vers l'IP fixe de la box (ndd.fr. => IP fixe) - une entrée de type CNAME qui redirigera l'ensemble des sous-domaines vers le NDD (*.ndd.fr. => ndd.fr.) Après cette étape, les tentatives de connexion à fichiers.ndd.fr, video.ndd.fr,… seront acheminées à la box. III. Configuration du routeur De l'extérieur, on a besoin que le port 443 soit ouvert pour pouvoir se connecter aux applications du NAS de manière simple (pas de port exotique à préciser) et sécurisée (car 443 = HTTPS). Let's Encrypt se connecte par le port 80 pour délivrer le certificat SSL et pour le renouveler. De plus, si on profite de Web Station pour créer un site web, il faut également ouvrir le port 80 pour autoriser les connexions à ce site en HTTP. Donc on va utiliser les ports externes 80 et 443. Du côté du NAS, le Reverse proxy "écoute" sur le port 443 ou sur le port DSM sécurisé. Vu que je ne trouve pas souhaitable d'exposer DSM sur internet, les connexions sécurisées seront redirigées vers le port 443 du NAS. Web Station utilise le port 80. On va donc rediriger les connexions externes non sécurisées vers le port 80 du NAS. En résumé, sur le routeur, il faut rediriger les ports externes 80 et 443 vers les ports internes 80 et 443 du NAS. Après cette étape, les connexions utilisant les ports 80 et 443 seront acheminées de la box au NAS. IV. Configuration du pare-feu du NAS Pour que les connexions ne soient pas rejetées par le NAS, il faut modifier son pare-feu. Plutôt que d'ouvrir complètement les ports 80 et 443 : - on ouvre les ports 80 et 443 pour le trafic en provenance de France, pour limiter les risques d'attaque. - on ouvre également le port 80 pour le trafic venant des 2 IP que Let's Encrypt utilise pour le renouvellement du certificat (64.78.149.164 et 66.133.109.36, cf ici). Ces règles sont à entrer dans le pare-feu du NAS (panneau de configuration/Connectivité/Sécurité/onglet "Pare-feu", puis "Modifier les règles"). NB : Les IP utilisées par Let's Encrypt peuvent changer. Il est donc conseillé d'ouvrir complètement le port 80 (au moins pour le trafic en provenance des Etats-Unis) avant la demande initiale de certificat ou en cas de problème de renouvellement de celui-ci. Après cette étape, les connexions pourront parvenir jusqu'au Reverse proxy du NAS (et jusqu'à WebStation). V. Configuration du portail des applications de DSM Il faut d'abord définir les ports HTTP qui seront utilisés par les applications auxquelles on veut accéder depuis l'extérieur. Pour ça, aller dans le panneau de configuration/Applications/Portail des applications/onglet "Application". NB : Il n'est pas nécessaire de définir un port HTTPS pour les applications vu que la connexion est déjà en HTTPS jusqu'au reverse proxy. En effet, il est inutile et contre-productif de doubler les chiffrements. Après cette étape, si on tape IP_locale_du_NAS:45000, on ouvre directement Audio Station. Il faut ensuite définir le reverse proxy à proprement parler, à savoir faire correspondre les différents sous-domaines avec les différentes applications. Ça se passe sur la même page, dans l'onglet "Proxy inversé". Pour chaque application, il faut renseigner : - la source (nom du sous-domaine, protocole (HTTPS) et port (443)) - la destination (nom d'hôte (localhost quand l'appli est sur le NAS, IP s'il s'agit d'un autre élément du réseau), protocole (HTTP) et port (défini à l'étape précédente)). NB : On utilise "localhost" pour désigner le NAS, car si celui-ci change d'IP, on n'aura pas besoin de reparamétrer le reverse proxy. Il faut activer le HTTP/2. Par contre, je déconseille le HSTS (c'est le navigateur qui enregistre cette information et il ne laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé). Après cette étape, quand on tape https://music.ndd.fr, on est bien redirigé vers audio station, mais avec un avertissement de sécurité du navigateur comme quoi la connexion n'est pas sûre. VI. Obtention du certificat SSL pour le domaine et ses sous-domaines Il ne faut jamais utiliser de certificat auto-signé (comme celui installé par défaut dans la plupart des équipements), tout comme accepter des exceptions de sécurité (peut provoquer des interceptions de données même sur des sites protégés par de vrais certificats). Le mieux et le plus simple est de se tourner vers une autorité de certification comme Let's Encrypt, bien intégrée chez Synology. Dans le panneau de configuration de DSM, partie "Connectivité", section "Sécurité", onglet "Certificat", cliquer sur le bouton "Ajouter". A la 2e étape, choisir de se procurer un certificat auprès de Let's Encrypt. A la 3e étape, remplir le NDD et l'adresse mail. Dans le champ "Autre nom de l'objet", mettre le nom de tous les sous-domaines, séparés par des points-virgules. Enfin, cliquer sur "Appliquer". Après cette étape, le reverse proxy fonctionne sans avertissement de sécurité. Cependant, quand on tape music.ndd.fr dans un navigateur, celui-ci ne nous redirige pas automatiquement vers https://music.ndd.fr. A la place, il nous renvoie vers ndd.fr:port_DSM_non_sécurisé (même si la connexion n'aboutit pas). Le registrar ne peut pas mettre en place de redirection car seul le nom de domaine est loué chez lui, aucun site n'est hébergé. L'option de redirection présente dans le panneau de configuration/Connectivité/Réseau/Paramètres de DSM n'est pas envisageable car elle casse le mécanisme du reverse proxy. Pour éviter ça, on va créer un site web. Ça nous permettra la création d'un fichier .htaccess, qui redirigera automatiquement les requêtes en HTTPS. VII. Auto-hébergement d'un site web et mise en place des redirections Il faut installer Web Station. Une fois que c'est fait, ouvrir l'application. Dans la partie "Statut", il faut installer les 2 versions du serveur HTTP Apache et les 2 versions de PHP. Pour ça, cliquer sur les icônes de raccourci présentes dans la colonne "Gestion". Une fois que c'est fait, on passe à la partie "Paramètres généraux". On sélectionne les versions les plus récentes d'Apache et de PHP, puis on coche la case "Activer un site web personnel" (ce n'est possible que si on a installé les 2 versions d'Apache et de PHP à l'étape précédente). On n'a pas besoin de changer les paramètres PHP ou de créer un Virtual Host (à moins d'avoir plusieurs sites web à héberger sur le même NAS). Avec l'installation de Web Station, un dossier Web a été créé à la racine du volume. Le fichier index.html est la page d'accueil du site hébergé sur le NAS. On peut en profiter pour modifier ce fichier afin que notre page d'accueil présente plusieurs liens permettant de se connecter aux différents services présents sur le NAS. Pour mettre en place la redirection automatique, il faut créer un fichier .htaccess. Pour ça, il faut créer un fichier texte dans le dossier Web. A l'intérieur de ce fichier, on écrit le code suivant : RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} On enregistre sous ".htaccess" (donc sans nom mais juste avec l'extension htaccess). Il faut ensuite redemander un certificat à Let's Encrypt, en ajoutant www.ndd.fr dans le champ 'Autre nom de l'objet" (en plus des noms de tous les sous-domaines). Après cette étape, quand on tape music.ndd.fr dans un navigateur, celui-ci nous redirige automatiquement vers https://music.ndd.fr. NB : Il faut préciser le port 443 dans le formulaire de connexion des applications mobiles, sans quoi elles n'arrivent pas à se connecter (donc music.ndd.fr:443 et non music.ndd.fr pour se connecter à DS Audio). Voir un retour intéressant ici, concernant le reverse proxy et la certification par Let's Encrypt. Si quand on tape ndd.fr on est redirigé vers l'interface de connexion à DSM (ce que je ne veux pas), il faut vérifier que la case "Activer un domaine personnalisé" dans le panneau de configuration/Connectivité/Réseau/Paramètres de DSM est décochée (ou bien qu'on a mis un autre nom de domaine que ndd.fr dans ce champ, cf tuto DNS Server). Par contre, pour se connecter à l'interface de gestion du NAS, il faudra désormais taper l'IP locale du NAS + le port DSM non sécurisé dans la barre d'adresse du navigateur (à moins d'avoir mis en place une zone DNS locale, avec une adresse comme nas.super_nom.lan qui pointe sur le NAS). J'espère que ce tuto vous sera utile. Je suis preneur de tout retour, remarque ou suggestion !
  9. 1 point
    firlin

    Lecture de fichier très volumineux (x264 HDR)

    Bonjour Mouazus918+, Pour enfoncer le clou en plus de mes deux camarades plus haut. J’aurai tendance à dire que faire du transcodage avec un nas c’est une ineptie. Ce n’est pas prévu pour même si c’est note comme supporter dans les docs de constructeur. il te faut passer par une Apple TV ou un nvidia Shield
  10. 1 point
    shadowking

    [TUTO] Monitoring NAS et réseau

    Jusque-là tout va bien. 🙂 Oui pour InfluxDB et Grafana, pas besoin pour Telegraf. Si tu regardes le script du docker-compose de Telegraf : version: "2" services: telegraf: image: telegraf container_name: telegraf hostname: telegraf volumes: - "/volume1/docker/telegraf/telegraf.conf:/etc/telegraf/telegraf.conf:ro" - "/proc:/host/proc:ro" - "/usr/share/snmp/mibs:/usr/share/snmp/mibs:ro" ports: - 8125:8125/udp - 8092:8092/udp - 8094:8094 restart: unless-stopped networks: default: external: name: data_export On ne monte nulle part un dossier data, on monte par contre le fichier telegraf.conf, pour que les données persistent. Si tu ne fais pas ça, à la moindre màj ou suppression du container, tu seras bon pour tout recommencer, car Telegraf aura généré un nouveau fichier au sein du container. Là on lui dit que celui dans le container, c'est celui qu'on a dans notre dossier. Oui, en effet 😛 Tu dois faire correspondre les champs suivants : influxdb: image: influxdb container_name: influxdb hostname: influxdb environment: - INFLUXDB_DB=nas_telegraf # InfluxDB Details : Database - INFLUXDB_ADMIN_USER=admin - INFLUXDB_ADMIN_PASSWORD=admin - INFLUXDB_USER=nas_telegraf # InfluxDB Details & Basic Auth Details : User - INFLUXDB_USER_PASSWORD=nas_telegraf # InfluxDB Details & Basic Auth Details : Password - INFLUXDB_HTTP_AUTH_ENABLED=true ... Ce qui est en majuscule, c'est le nom de la variable, après le signe égal, c'est sa valeur, et c'est toujours la valeur qui nous intéresse. INFLUXDB_DB => Nom de la variable nas_telegraf => Valeur N'hésite pas à relire le tutoriel à tête reposée, il n'est pas des plus simples et vérifie que tu as bien validé chaque étape avant Grafana, car cette dernière est triviale par rapport à ce qui la précède.
  11. 1 point
    shadowking

    [TUTO] Monitoring NAS et réseau

    Je cite le préambule du tutoriel : En se basant sur l'exemple que je donne avec telegraf, tu pourrais très bien créer un dossier influxdb dans un dossier partagé docker qui reprend les données persistantes de tous tes containers. Si ce n'est toujours pas clair n'hésite pas. Nulle part pour l'instant, tu vas le créer à partir de l'image que tu as normalement déjà téléchargée à ce stade :
  12. 1 point
    shadowking

    Lecture de fichier très volumineux (x264 HDR)

    Oui c'est la limite des NAS de manière générale, si on veut pouvoir transcoder c'est plutôt un serveur déporté suffisamment puissant pour la tâche qu'il faut employer, un bon i5 peut faire l'affaire.
  13. 1 point
    niklos0

    [Résolu]Win 10 le logiciel s ouvre et se referme

    CQFD 🙂
  14. 1 point
    BennyBoom

    [TUTO] Monitoring NAS et réseau

    Hello ! Merci pour ce tuto 🙂 J'ai du par contre ajouter les lignes suivantes dans la config de telegraf pour avoir les données pour les graphs "Disk Load" et DiskIO" du dashboard grafana : # System disk [[inputs.snmp.table]] oid = "SYNOLOGY-STORAGEIO-MIB::storageIOTable" [[inputs.snmp.table.field]] is_tag = true oid = "SYNOLOGY-STORAGEIO-MIB::storageIODevice" Après je ne sais pas si cela vient de moi qui suit en DSM 5 ou si cela vient d'ailleurs, mais si cela peut en aider certains 😉 Benny
  15. 1 point
    alan.dub

    Lecture de fichier très volumineux (x264 HDR)

    Même réponse que précédemment ^^ Ta TV ne prenant pas en charge tous les formats, un transcodage s’impose, ce qui bouffe les ressources des petits CPU équipant nos NAS. Mieux vaut partir sur un lecteur réseau capable de tout décoder nativement (nVidia Shield ou Apple TV 4K). Perso j’ai toujours tendance à conseiller l’Apple TV 4K avec Infuse (app à 50€ pour MAJ à vie). Infuse, c’est simple, il sait tout lire (fichier MKV/MP4/..., h264/h265, AC3/DTS HD/Atmos/..., HDR/Dolby Vision, de même formats les ISO). Pour info, si tu as la fibre, tu pourras aussi le faire fonctionner en WAN via WebDAV.
  16. 1 point
    Kerildan

    Fichier Host Uptobox / Host File Uptobox

    Le but du fichier host et d'intégrer au NAS les avantage d'un compte premium
  17. 1 point
    Bonjour tout le monde, merci je viens de participer ! On croise les doigts.
  18. 1 point
    Thierry94

    NAS et IP Dynamique

    Il faudra suivre le tuto qui est sur le forum Ici
  19. 1 point
    Thierry94

    NAS et IP Dynamique

    Le nom de domaine que tu as acheté est ndd.ovh … mais dsm.ndd.ovh est aussi un domaine, tout comme file.ndd.ovh, ...etc La seule particularité du domaine dsm.ndd.ovh est qu'il ne peut être géré que par le propriétaire du domaine ndd.ovh (c'est pour cela qu'on parle de "sous-domaine") Chez OVH zone DNS - ajoute un enregistrement CNAME avec sous-domaine générique * et cible ndd.ovh OU - ajoute un enregistrement CNAME pour chacun de tes sous-domaines (la première solution est plus rapide !) Chez OVH Dynhost - ne rien mettre dans sous-domaine Chez OVH dans l'identifiant Dynhost - mettre * dans sous-domaine pour qu'il s'applique au domaine et à tous ses sous-domaines Sur le NAS dans DDNS - mettre ndd.ovh dans nom d'hôte Pour accéder aux applications du NAS : - File Station : - reverse proxy : "https://file.ndd.ovh" -> "http://localhost:7000" (file est un préfixe libre) - depuis un navigateur : "https://file.ndd.ovh" - depuis DSfile : file.ndd.ovh:443 (:443 est nécessaire) - Autres application (hormis Photo Station) - reverse proxy : "https://xxx.ndd.ovh" -> "http://localhost:nnnn" (xxx est un préfixe libre) - depuis un navigateur internet : "https://xxx.ndd.ovh" - depuis DSxxxxxx : xxx.ndd.ovh:443 Photo Station est une application web donc elle utilise en standard les port http 80 et https 443 - reverse proxy : "https://photo.ndd.ovh" -> "http://localhost" (photo est un préfixe libre) - depuis un navigateur internet : "https://photo.ndd.ovh/photo" (par le reverse proxy) ou "https://ndd.ovh/photo" (hors reverse proxy) - depuis DSphoto : photo.ndd.ovh (par le reverse proxy) ou ndd.fr (hors reverse proxy) la différence entre les 2 est que via le reverse proxy on a la possibilité d'avoir le https jusqu'au NAS et ensuite du http en local vers photo station hors reverse proxy le https est de bout en bout Pour moi aussi la suite sera demain … en fin à cette heure demain est déjà aujourd'hui 😉
  20. 1 point
    xavierC

    Quel plug-in utilisez-vous pour avoir les paroles ?

    bonjour. Je n'utilise pas de plug-in dans audiostation mais je vais quand même partager mon expérience (je suis sur un système Apple, mais le principe sera le même pour Windows) J'utilise iTunes pour importer et classer ma musique (une fois tagguée avec Musicbrainz Picard) : mon dossier Music est bien rangé par artiste. Pour les paroles, il existe un logiciel "lyrics Finder" existant sur windows aussi (https://www.mediahuman.com/lyrics-finder/) qui permet de sélectionner un fichier ou un dossier et trouve automatiquement les paroles et les insère aussi automatiquement dans le fichier (voir préférences du logiciel). Comme audiostation est indexé (voir dans le panneau de configuration/service indexation), il prendra en compte les modifications automatiquement). edit : Je viens de faire un essai avec un vieux titre des années 80. "à caus' des garçons" 🙄. Il n'a pas trouvé les paroles, mais il y a possibilité ensuite de les chercher manuellement avec le logiciel sur google, bing ... au choix et de les copier dans le logiciel. Elles se retrouvent automatiquement dans ds audio à la relance.
  21. 1 point
    shadowking

    NAS et IP Dynamique

    Exactement 😉
  22. 1 point
    geoff42000

    NAS et IP Dynamique

    Donc, pour résumer : Je suis à la lettre le tuto sécurité suivant : J'enchaine avec lui pour contourner le système d'IP dynamique : Et je termine avec lui pour paramétrer mes accès aux différentes applications : Pour le coup, j'ai l'impression que je peux utiliser le module reverse proxy de mon NAS pour accéder à ma domotique, comme ce qui semble fait dans l'exemple pour le système Somfy. Sur le principe, j'ai bon ? Vivement l'application pour voir si tout fonctionne !
  23. 1 point
    Une chance infime d'être tiré au sort vu le nombre probable de participants … mais on ne sait jamais 😉 Inscription faite !
  24. 1 point
    Hé hé....moi aussi , ce modèle répond en tout point a mes besoins ....je tente aussi , 100% des gagnants ont tenté leur chance.
  25. 1 point
    Zouuuuuu, un Nas synology de ce gabarit correspondrait en tout point à mes souhaits, pro et perso ! alors pourquoi pas, je tente ma chance 😎 Rodolphe le bonjour en passant
  26. 1 point
    shadowking

    Accès externe VM

    Apparemment discourse s'exécute sur le port 80, donc juste taper l'IP dans le navigateur en local devrait suffire pour y accéder. Si tu dis que ça ne marche pas, c'est que tu as un problème à régler avant de vouloir autoriser un accès externe. Pour ce dernier, quand ton installation sera fonctionnelle, il suffira de créer une entrée dans ton proxy inversé du type discourse.domaine.tkd:443 vers ip_locale_vm:80
  27. 1 point
    firlin

    Changement de nas

    Bonjour diablinte, Oui tu dois pouvoir mais c'est fortement déconseillé car il y a trop d'écart entre les deux nas et tu gardes les limitations de ton ds410j. A savoir la taille maxi du volume de 16to et le type de formatage du volume ext4. Pour le dernier point cela peut poser des problème avec certains paquets Envoyé de mon SM-T580 en utilisant Tapatalk
  28. 1 point
    bruno78

    [TUTO] VPN Server

    Bonjour, ne pas oublier de modifier le registre windows : Si votre NAS est derrière un routeur-NAT (une box par exemple), il faut créer la valeur de registre suivante : https://support.microsoft.com/en-us/kb/926179 Clef : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent Valeur DWORD32 : AssumeUDPEncapsulationContextOnSendRule Donnée de la valeur : 2 et on reboot le PC Je pense que cela devrait régler ton problème.
  29. 1 point
    Je suis passé par pfSense, plus sécure et aussi rapide, chiffrement 4096bit, AES GCM avec TLS/Auth. Le paramétrage est un jeu d'enfant, j'ai suivi le tuto ici > https://www.samueldowling.com/2018/11/27/how-to-configure-an-openvpn-remote-access-server-in-pfsense/ Il y a un assistant pour créer sa connexion VPN dans pfSense, il créer également la régle dans le parefeu automatiquement. Il y a un package qui permet d'exporter la configuration complete, elle fait un executable avec OpenVPN et les fichiers de configuration automatiquement à l'installation. Encore plus simple que Synology, du coup je n'ai plus d'alerte MINT. Vous pouvez ajouter "auth-nocache" dans le fichier de configuration (fichier .ovpn) cela permettra d'éviter que votre mot de passe soit stocker dans le fichier de pagination (pagefile) de votre PC.
  30. 1 point
    StéphanH

    Affichage en temps réel caméras dans DS Cam

    Bonjour. DSCam 3.3.0 ? Tu es certain ? Tu n’as rien changé sur ta configuration ? Ni sur ton téléphone ? Ce téléphone est un androïd, un iOS ? As tu essayé de supprimer et réinstaller l’App ? (Rédigé avec Tapatalk)
  31. 1 point
    blade102

    Température toujours a 40°C Sur DS218+

    Bonjour, J'ai un Synology DS218+. Depuis le premier jour je suis à 40°C au niveau du CPU. Cette hiver dans cet pièce sa descend a 17°C et la semaine dernière pendant la canicule 39°C. Et le CPU est toujours a 40°C sa ne varie jamais, été comme hiver. Comment est ce possible ? Merci
  32. 1 point
    Zeus

    [TUTO] Sécuriser et paramétrer son routeur Synology.

    Bonjour, Nous allons voir dans ce petit tuto les quelques règles importantes pour configurer correctement son routeur Synology afin d'éviter qu'il ne soit ouvert aux quatre vents et par la même occasion protéger aussi notre réseau local du monde extérieur. Quelques règles importantes : S'assurer que le compte "admin" et le compte "guest" sont désactivés. Voir en image S'assurer que notre compte administrateur a un mot de passe fort. Voir recommandations de l'ANSSI S'assurer que notre routeur à l'heure à jour et qu'il est bien configuré. Voir en image S'assurer que la double authentification est activée. Voir en image S'assurer que l'accès à distance au routeur est désactivé. Voir en image Dans le cas ou vous voudriez tout de même accéder à votre routeur de l'extérieur ce qui n'est pas recommandé pour des questions de sécurité, je vous recommande vivement de : Passer par votre serveur VPN (voir tuto de Fenrir) Éventuellement passer par un domaine personnalisé via votre proxy inversé sur le port 443. Pas de nom générique du type "routeur" dans votre domaine... Lexique abrégé : Transfert de port unique (Single Port Forwarding) : lorsqu'un accès entrant doit atteindre une application particulière (programme serveur). Il faut indiquer dans le routeur un numéro du port et l'adresse IP du PC serveur. Transfert d'un ensemble de ports (Port Range Forwarding): lorsque plusieurs ports sont nécessaires pour une même application. Déclenchement de ports (Port Triggering) : pour les applications qui nécessitent que les ports soient ouverts à la demande sans pour autant préciser un appareil contrairement au port forwarding. DMZ (DeMilitarized Zone) : on autorise tous les ports à être ouvert en permanence. A ne jamais employer pour un non connaisseur en réseau. On peut éventuellement activer ce paramètre quand nous avons derrière un autre routeur qui fera le travail. UPnP (Universal Plug and Play) : on permet à n'importe quoi/qui d'ouvrir automatiquement des ports sans l'approbation du routeur/administrateur. A ne pas activer pour un non connaisseur en réseau. Vous pourrez lire sur ce forum des membres qui recommandent d'activer l'option DMZ sur un modem routeur d'un opérateur internet comme Orange ou SFR par exemple. Cela peut être utile mais c'est souvent suivi de ces deux conditions obligatoirement : Le modem routeur en question ne peut être mit en mode "bridge". Vous avez déjà un routeur derrière ce modem routeur qui fera le boulot à sa place. Partie internet : Il n'y a pas grand chose à configurer sur cette partie à part les serveurs DNS. Sécurité : Protection DoS On active la protection DoS si elle ne l'ai pas déjà. Pour les petits curieux, je vous laisse découvrir ce que c'est sur la page Wikipedia. Centre réseau > Sécurité > Général Nous ne recommandons pas la modification des Paramètres avancés si vous n'êtes pas connaisseur car ça pourrait causer des soucis sur le routeur et les appareils du réseau. DMZ On vérifie que DMZ est bien désactivé. Centre réseau > Transmission de port > DMZ Bannir un appareil Certains appareils connectés sont un peu trop bavards avec des serveurs du fabricant ou des serveurs tiers et/ou sont vendus avec des failles de sécurité comme des caméras IP, des imprimantes etc... Il peut donc être utile de leur interdire de discuter avec internet. Si on veut bannir un appareil pour qu'il ne communique pas avec internet comme une imprimante en réseau, il faut aller sur : Centre réseau > Contrôle du trafic > Généralités Là, on coche le petit globe barré afin qu'il ne soit plus grisé. Ainsi l'appareil ne peut plus communiquer avec l'extérieur ou recevoir des informations. ATTENTION : ça bloquera toutes communication entre l'appareil et internet donc ça bloquera aussi les mises à jour automatique de l'appareil. A prendre en compte ! Partie ethernet : Ne mettez sur votre réseau local câblé QUE des appareils/personnes de confiance. Une personne mal intentionnée n'aura aucun mal à récupérer vos informations en étant sur le même réseau que vous. Exactement comme un réseau wifi public (aéroports par exemple). Adresses IP privées des principaux FAI FR : B-Box > 192.168.1.254 Free-Box > 192.168.0.254 Live-Box > 192.168.1.1 SFR-Box > 192.168.1.1 En sachant celà, on va éviter de donner à notre routeur la même adresse IP privée que le modem-routeur de notre opérateur. Il est plus facile de procéder ainsi que de vouloir changer l'adresse IP privée du modem-routeur du FAI. Voici ma configuration : Pour en savoir plus sur l'IGMP, je vous laisse consulter ce lien qui sera bien plus parlant que moi. https://fr.wikipedia.org/wiki/IGMP_snooping Fixer une adresse IP privée à un appareil : Je recommande vivement d'attribuer une IP privée à votre NAS afin que ce dernier garde toujours la même adresse IP. Quoi de mieux que de laisser faire le routeur et qu'ensuite, le NAS soit configuré sur automatique ?! Pour se faire, nous nous rendons sur : Centre réseau > Réseau local > Clients DHCP Nous pouvons y voir nos appareils connectés. Il nous suffit de sélectionner le NAS puis de cliquer sur "Ajouter à la réservation d'adresse". Résultat visible ici : Centre réseau > Réseau local > Réservation DHCP On peut bien entendu ajouter manuellement un appareil si on le souhaite. Ca sera toujours sur : Centre réseau > Réseau local > Réservation DHCP On clique sur le bouton "Ajouter" puis on rempli manuellement les informations. Il faudra redémarrer l'appareil ajouté pour qu'il prenne en compte les éventuels changements. Attention : SRM est un peu capricieux avec le nom d'hôte. Il n'accepte pas certains caractères comme les espaces. Partie WIFI : Pareil que pour la partie ethernet à la différence qu'on peut activer le wifi invité pour ..... les invités 🤣 Ma configuration WIFI : NOTE : pour le canal 2.4GHz, on vous recommande de mettre 20MHz. Le 40MHz est instable ! Options avancées (reprit du site Synology) : Rotation des clés : Saisissez le nombre de secondes entre chaque rotation des clés. Largeur de canal : Sélectionnez une largeur de canal. Remarque : Cette option devient individuelle pour les différentes bandes sans fil lorsque la fonctionnalité Connexion intelligente est utilisée. Prise en charge de PMF : Choisissez parmi Désactivé, Désactivé - optionnel et Activé - requis pour permettre à votre périphérique de modifier les paramètres internes afin de répondre aux conditions de configuration. Puissance de transmission : Entrez une longueur de signal pour le réseau sans fil. Remarque : Cette option est toujours configurée sur Élevée lorsque le produit Synology rejoint un réseau mesh. DTIM : Spécifiez l'intervalle de synchronisation entre Synology Router et les clients Wi-Fi. Extended NSS : Permet d'améliorer le traitement des paquets (à activer uniquement sur RT2600AC du faite de son processeur quad core). AMPDU : Activez cette option pour que plusieurs données envoyées vers la même destination soient empaquetées ensemble. Cela contribue à améliorer les performances lorsqu'il existe de nombreux petits paquets. 802.11r : Activez cette option pour une itinérance rapide entre différents points Wi-Fi (Failles connues sur les serveurs et les clients. Résolu côté Synology mais ne le sera certainement jamais sur les clients.) Autoriser la commutation automatique sur les canaux DFS (disponible uniquement pour les bandes 5 GHz) : Activer Dynamic Frequency Selection (DFS) pour réduire le risque d'interférence des signaux. Isolement du PA : sélectionnez cette option pour activer ou désactiver cette fonctionnalité afin d'empêcher les clients connectés au réseau Wi-FI d'interagir avec d'autres périphériques connectés. MU-MIMO (disponible uniquement pour les bandes à 5 GHz) : Autoriser les périphériques clients à se connecter au réseau sans fil avec la prise en charge de MU-MIMO. Translation de multidiffusion : Activez cette option pour traduire plusieurs paquets de multidiffusion en paquets de monodiffusion pour de meilleures performances en ce qui concerne les services de diffusion. Remarque : Cette option est toujours configurée sur Activée lorsque le produit Synology rejoint un réseau mesh. Partie WIFI invité : Je vous recommande aussi de vérifier que le réseau local n'est pas accessible pour les appareils se connectant sur le réseau invité. Transmission de port et Sécurité (Pare-feu) : SRM a un ordre de priorité sur les paquets entrants qui sont : Règles de déclenchement des ports Règles de transmission des ports Règles UPnP Règles DMZ C'est ici que l'on va autoriser le transfert d'une demande d'accès sur un autre appareil du réseau local. Je m'explique... Centre réseau > Transmission de port > Transmission de port Imaginons que l'on veuille de l'extérieur de chez nous atteindre notre NAS sur le port 443, alors c'est ici qu'on donnera au routeur la règle l'autorisant. Exemple :  Un autre exemple : Il est fréquent de voir un éditeur de jeux vidéo demander que certains ports soient ouverts pour une meilleure communication entre leurs serveurs et l'appareil utilisé. Pour cette raison, je vais donc ouvrir les ports demandés pour éviter un NAT (strict) qui pourrait me porter préjudice dans mes parties de jeu comme dans la recherche de serveurs disponibles par exemple. Je pense que là, tout le monde a compris l'intérêt et surtout comment on autorise le routeur à accepter les entrées sur tel port pour tel appareil. Mais ce n'est pas tout. Sur nos routeurs Synology, on peut aussi restreindre un peu plus l'ouverture de ces ports en y ajoutant des conditions. Et là, ça se passera dans l'onglet Sécurité > Pare-feu 🙂 Pare-Feu : NOTE : en dehors de l'ouverture de ports pour le routeur uniquement, il faudra toujours ajouter les ports à la transmission de port ! On retrouve les règles de transmission de port que l'on a vu ci-dessus et on peut y trouver d'autres règles. On peut comme je l'ai dit juste avant restreindre un peu plus l'autorisation d'une règle de transmission. Exemple : Reprenons notre règle sur les ports 80 et 443 qui autorise l'accès à distance à un serveur nommé Zeus sur ces deux ports. Je voudrais par contre limiter cet accès uniquement à la FRANCE et que l'accès ne soit pas autorisé pour les autres pays. Et bien on va créer une règle pour faire ça :   Ordre de priorité : Le routeur Synology et son Pare-feu prennent en compte la priorité donnée par un administrateur. Si SRM reçoit un ordre et trouve une règle correspondante alors il arrête sa recherche et exécute l'ordre. On peut donc organiser les priorités que l'on veut voir appliquer par le système en faisant un glisser-déposer d'une règle à une autre : Protection générale du réseau : Dans les Paramètres, voici ce qu'on doit avoir : On va en profiter pour tout cocher dans le Pare-feu dans les conditions ou aucune règle n'existerait. N'oubliez pas de sauvegarder vos changements ! Surveillance du trafic en temps réel : Si on veut savoir les communications dont celles que l'on ne voit pas directement sur un appareil, il suffit d'aller sur : Centre réseau > Contrôle du trafic > Surveiller Il faut activer sur "Paramètres" les options comme ci-dessous. Pour la durée de conservation, je vous laisse juger en fonction de vos besoins et votre mémoire. Là, on peut sélectionner en haut à droite "Domaine" puis un appareil : En cliquant sur le petit +, on peut ajouter ce domaine dans les blocages de Safe Access 🙂 ATTENTION : faites bien attention à ce que vous bloquez. Autant on peut bloquer des services de publicité comme de télémétrie, autant on peut aussi bloquer un site complet ou un service de mise à jour. Divers : Blocage auto On peut comme sur nos NAS bloquer automatiquement une IP qui serait un peu trop curieuse. Perso, je fonctionne avec 2 tentatives sous 1 minute ce qui peut faire peu si vous n'êtes pas doués pour taper vos mots de passe. Vous pouvez toujours changer cette valeur mais ne la mettez pas trop haute. Centre réseau > Sécurité > Blocage auto Nous pouvons aussi enregistrer des adresses IP privées ou publiques (local ou internet) afin d'éviter qu'une personne se bannisse d'elle même. Ex : on peut mettre son smartphone ou son ordinateur. Pour des raisons de maintenance en cas de problème, nous pouvons activer le protocole de communication SSH. Pour des raisons de sécurité, je ne vous recommande pas d'ouvrir le port dans votre Pare-feu ! Panneau de configuration > Services > System Services Petite astuce en cas de faille ou si on est un peu trop parano, on peut rediriger le port SSH sur une adresse IP privée non attribuée. Je ne suis pas un expert en réseau mais juste un passionné d'informatique. C'est pourquoi si vous constatez des erreurs ou que vous voudriez apporter votre pierre à ce petit édifice, vous serez les bienvenus 🙂 Merci à Einsteinium pour l'aide apportée dans l'édition de ce tuto 😉
  33. 1 point
    shadowking

    Configuration Portainer

    2ème screen, ce n'est pas remote, mais local qu'il faut choisir.
  34. 1 point
    Oui pour jackett. Non pour ouroboros. Là tu utilises la variable LABELS_ONLY, donc par conséquent il ne se basera que sur ce critère pour mettre à jour les containers, MONITOR sera donc complètement ignoré. Ce que tu peux faire c'est avoir LABEL_ENABLE=true, ne pas utiliser LABELS_ONLY (donc false par définition), et laisser MONITOR, même si ça n'a pas beaucoup de sens à mon goût. Pour moi, les deux "bonnes" solutions sont : version: "2" services: ouroboros: image: pyouroboros/ouroboros container_name: ouroboros network_mode: bridge environment: - CLEANUP=true - SELF_UPDATE=true - LOG_LEVEL=debug - LABEL_ENABLE=true - LABELS_ONLY=true - CRON="0 * * * *" - TZ=Europe/Madrid labels: - "com.ouroboros.enable=true" volumes: - "/var/run/docker.sock:/var/run/docker.sock" restart: unless-stopped et t'assurer que les autres containers (jackett, influxdb, telegraf, grafana) ont bien le label "com.ouroboros.enable=true". Ou bien : version: "2" services: ouroboros: image: pyouroboros/ouroboros container_name: ouroboros network_mode: bridge environment: - CLEANUP=true - SELF_UPDATE=true - LOG_LEVEL=debug - CRON="0 * * * *" - TZ=Europe/Madrid - MONITOR="jackett influxdb grafana telegraf" labels: - "com.ouroboros.enable=true" volumes: - "/var/run/docker.sock:/var/run/docker.sock" restart: unless-stopped Pour le coup je me dis qu'ajouter le label à ouroboros lui-même ne doit pas être utile, car SELF_UPDATE va gérer l'auto màj. Ça peut être utile si un autre container ouroboros devait mettre à jour celui-ci, cas peu probable... 😛
  35. 1 point
    firlin

    2 disques mais un seul initialisé

    Bonjour tharmine, Si tu rajoute ton disque au groupe de stockage tu vas passé en SHR avec protection des données ( Raid1) . Dans ton cas si tu veux utilisé l'espace maxi avec tes deux disques c'est de crée un nouveau groupe de stockage avec ton disque 1 et donc un volume. c'est le plus simple et le plus sécure.
  36. 1 point
    Thierry94

    Applications DS non fonctionnelles en local

    Et bien ça c'est bon à savoir ! Content que ton problème soit résolu 🙂👍
  37. 1 point
    seagate_surfer

    Bonjour !

    Bonjour Yohann83, Sois le bienvenu dans la communauté. Bien cordialement,
  38. 1 point
    firlin

    Upgrade vieille version de DSM

    Bonjour nounours18200, Pour info tu ne peux pas passer d'un DSM5.2 en 6.2 directement ça va coincer. il faut passer par une 6.0 comme le fait remarquer @dd5992 puis mettre la 6.2 Dans tous les cas je te conseille d'aller faire un tour sur le centre de téléchargement de synology ici https://www.synology.com/fr-fr/support/download/DS413#firmware En bas tu peux choisir de quelle version tu veux partir vers quelle version tu veux aller et il te donne les étapes intermédiaire.
  39. 1 point
    Zeus

    [TUTO] Pourquoi et comment utiliser un nom de domaine ?

    Je confirme, tu as résolu ton soucis pour les photos publiques 😉
  40. 1 point
    Zeus

    Bonjour !

    Bonjour et bienvenu sur le forum 🙂
  41. 1 point
    Jeannot38

    Hello

    hello, Je suis l'heureux possesseur d'un Synology DS 918+ avec 3 Disque WD 4 To. J'ai découvert ce forum grâce a ces nombreux et bon tuto. je me sert de mon nas principalement pour : -Serveur multimedia -Partage de fichier -Serveur Web A bientot Jeannot
  42. 1 point
    Zeus

    Droits accès fichiers & emplacement illisible

    Bonjour, Étrange soucis que tu as là... As-tu une sauvegarde de ces données assez ancienne ? Si oui, essaie de restaurer un de ces fichiers pour voir si ça passe. Peut-être qu'il y a une corruption de données, je ne sais pas.
  43. 1 point
    firlin

    [TUTO] Remplacer un disque en SHR

    Bonjour Ch@rly, c'est dans l'onglet groupe de stockage qu'il te faut aller pour reparer ton goupe de stockage et ton volumes. Ps : c'est noté dans ta 1er capture.
  44. 1 point
    niklos0

    WD RED : température à éviter

    D'après ce site : https://www.storagereview.com/wd_red_8tb_review Ils fonctionneraient sans problème jusque 65°C. Toujours est-il que 40°C, aucun problème. Par contre, l'augmentation de température soudaine est étonnante. La température de la pièce a t'elle augmentée d'un coup (effet canicule ??)?
  45. 1 point
    MichelVP14

    Présentation MichelVP14

    Bonjour à tous. Michel 63 ans de Caen, j' en suis à mon troisième NAS Synology que j' utilise comme sauvegarde et serveur vidéo pour moi et des amis, mon débit internet fibré me le permet 😉 C' est un DS916+, j' ai aussi un routeur RT 1900AC. Merci pour tous les renseignements que l' on trouve ici.
  46. 1 point
    @jacques56 Bien évidemment, il est dans mon intérêt de trouver une solution à l'amiable, j'ai d'autre choses à faire qu'un recours juridique. J'ai donc posé dans mon ticket de support la question des "solutions" mais la réponse a été plutôt abrupte, il n'y en a pas, mon NAS est bon pour la poubelle. Je vais maintenant faire un joli courrier à Synology pour demander un geste 'commercial' et si la réponse est à nouveau négative, le courrier suivant viendra d'un avocat. J'ai la chance de ne pas avoir d'application "critique" donc j'ai du temps. Par contre, pour ce qui est de faire un retour sur le forum après cette procédure, vous ne m'en voudrez pas mais vu l'accueil, franchement j'hésite... si c'est pour entendre parler de Karma ( @Einsteinium ) ou m'accuser d'être prétentieux (pourquoi d'ailleurs, il faudrait développer...) ( @dardevil91 ) je préfère m'abstenir.
  47. 1 point
    Je remplace très souvent des alim en tout genre dans mon boulot , les alim a découpage ( il n' y a que de l' électronique ) et coutent beaucoup moins cher qu'une alim conventionnelle avec transfo. Pas trop d' accord avec toi , les alim a transfo tombe aussi en panne , régulateur , diode , circuit imprimé du a la surchauffe , le primaire du transfo claque aussi ils ont aussi leur fusible caché au point millieu Pour des raisons écologiques et économiques et d'encombrement je préfère à découpage.
  48. 1 point
    sapique

    FTP seedbox vers synology ?

    Bonjour, je souhaiterais relevé le contenues de ma seedbox via le ftp du synology est-ce possible? De plus je souhaiterais pas la même occasion faire le transfert directement dans un dossier spécifique dans file station. Merci La je suis obligé de récupéré le contenues sur mon pc pour ensuite le charger sur file station , y a t'il pas une autre manipulation plus rapide et autonome ? SOLUTION : Hello, Depuis la MAJ en 5.1 DSM possède un FTP client intégré à Filestation. Filestation - Outils - Connecter Puis renseigner les champs ... sauvegarder la config ... Et voila
  • Lettre d’informations

    Voulez-vous être tenu au courant de nos dernières nouvelles et informations ?
    S’inscrire