Classement

J'en ai terminé avec OpenVPN. J'ai utilisé pour la première fois VPN Server et j'ai installé dans la foulée un reverse proxy afin de me connecter en toute sécurité à DSM. Certains membres du forum - ils se reconnaitront - m'ont bien aidé sur ce coup là. J'ai dit il y a peu que c'en était fini mais j'ai donné un dernier coup de collier afin que le certificat LE soit bien pris en compte dans le fichier de config d'OpenVPN. L'avertissement sur l'absence de certificat externe lors de l'établissement de la connexion m'embêtait un peu car il traduisait une faille de sécurité. J'ai intégré le certificat aussi bien sur le Mac (même si ça ne sert pas à grand chose à part à tester) que sur l'iPhone, je passe donc à autre chose satisfait d'en avoir terminé. Et satisfait surtout que ça fonctionne.

Bonjour, Les DS2422+ et DS3622xs+ arrivent en remplacement des DS2419+ II et DS3617xs+ II. Le DS2422+ dispose du CPU AMD Ryzen V1500B (4Coeurs/8Threads comme pour les DS1621+ et DS1821+...), 4 ports Giga, mais pas de 10Gbit ou d'emplacements M.2 de série, il faut passer par une extension PCIe. Le DS3622xs+ dispose du CPU Intel Xeon D-1531 de 6Coeurs/12Threads, 2 ports 10Gbit/s... https://www.synology.com/en-me/products/DS2422+ https://global.download.synology.com/download/Document/Hardware/DataSheet/DiskStation/22-year/DS2422%2B/enu/Synology_DS2422%2B_Data_Sheet_enu.pdf https://www.synology.com/en-me/products/DS3622xs+ https://global.download.synology.com/download/Document/Hardware/DataSheet/DiskStation/22-year/DS3622xs%2B/enu/Synology_DS3622xs%2B_Data_Sheet_enu.pdf Edit: Il y a aussi la nouvelle extension DX1222 avec une nouvelle connectique compatible avec les DS2422+ et DS3622xs+ https://www.synology.com/en-me/products/DX1222#features

Le proxy inversé associé à un contrôle d'accès fonctionne dans tous les cas de figure, chez moi, en 4G ou sur un WI-FI hors de chez moi. Le journal des connexions affiche systématiquement une adresse en 10.8.0.X. Champagne ! J'en ai bavé des ronds de chapeau mais sans les connaissances techniques de ceux qui sont intervenus dans cette discussion, sans votre aide et votre patience, je n'y serais jamais parvenu. Un grand merci a tous. À @oracle7, à @Jeff777 et à @.Shad.. Maintenant je vais prendre une année sabbatique

@CyberFr Bonjour, Du coup as-tu rester l'ajout de la commande " redirect-gateway ipv6 " spécifique aux Apple ainsi que la commande " client-cert-not-required " ? Cordialement oracle7

Salut @KevM J'ai découvert Alexa chez des amis en Angleterre alors que cette petit boîte n'était pas encore commercialisée en France. Au tout début mon épouse et moi nous étions bluffés et nous nous sommes amusés à lui faire chanter des chansons françaises en les citant avec un accent british (sinon Alexa ne pigeait que dalle). De retour en France nous nous sommes dit que la performance était intéressante mais que le bénéfice récolté ne valait pas le risque d'être branchés et écoutés en permanence sur Amazon (et deux réseaux séparés n'y changerait rien). Je ne suis pas du genre parano sur la sécurité informatique mais j'évite de transmettre inutilement des données personnelles (je ne suis pas abonné à Facebook, Twitter? Instagram ou autre...et ce forum est le seul où je participe). "J'évite" ne veut pas dire qu'il n'y a pas d'entorse volontaire ou involontaire ( ma webcam est tournée vers le mur mais pas toujours débranchée) mais j'essaie d'être vigilant. J'avoue que mon précédent post manquait d'argumentation. Voilà qui est réparé J'espère que tu auras d'autres réactions dans un sens ou l'autre. Bonne journée

Salut, Pour moi la sécurité c'est de laissé Alexa à la porte de chez moi. Bonne soirée @KevM

Avec ça je suis habillé pour l'hiver

Je me shoot à l'adrénaline

Tout est dit. Pas mieux

Moi j'attends que que @Jeff777 et @MilesTEG1 fassent la maj, et ensuite je la fais Plus sérieusement, c'est vrai que j'aime bien avoir le dernier niveau, surtout si ça corrige des choses, mais vu mon utilisation, généralement, peu d'impacts.

@.Shad. @oracle7 Bonjour, Merci pour ta proposition @.Shad. mais je ne peux pas être disponible le soir. Je pense peut-être avoir trouvé ce qui causait mon problème : J'ai supprimé et recréé le réseau monitoring de plusieurs façons: via DSM selon le TUTO ; via SSH sans l'option de nommage du réseau br_monitoring ; via SSH sans cette option. Dans les 2 premiers cas, il n'y a pas de problème de communication entre le NAS et Telegraf. Dans le dernier cas, le problème est réapparu. Tu avais mis le doigt dessus @oracle7 ! Je me suis rendu compte aussi que dans le cas 3, le réseau monitoring apparait dans DSM avec une adresse IPv6 (La configuration DSM d'IPv6 de monitoring est sur "Auto"). Or dans ma config DSM sur mon réseau LAN physique, j'ai désactivé l'IPv6 après avoir suivi le TUTO de @Fenrir "Sécuriser les accès à son NAS". Peut-être y a-t-il conflit ? En tout cas, je vais maintenant pouvoir m'atteler à continuer le TUTO et configurer Grafana que j'arrive à joindre sans souci sur mon navigateur . Merci beaucoup à vous 2 pour le temps passé sur mon problème. Cordialement, milkyway

Bonjour a tous pour information j'ai réussi a migrer mon DS1010+ sous DSM 6.2 très facilement grâce a ce post du coup la traduction : installer le dernier DSM sur le DS1010+ (5.2) Activer le SSH se connecter en SSH au système en tant que root vi /etc.defaults/synoinfo.conf i pour entrer en mode insert Changer unique="synology_x86_1010+" en unique="synology_x86_1511+" Faire esc pour sortir du mode insert :wq pour sauvegarder et quiter Updater le bootloader (Voir en dessous) - Sinon vous allez tomber sur l'assitant d'installation vous disant que vous migrer d'un DS1010+ vers un DS1010+ Reboot du DS1010+ et l'assisant vous dis que vous migrer les disques d'un DS1010+ vers un DS1511+ J'ai laissé l'assistant installer directement la dernière version de DSM (6.2.4-25556 update 2) et tout fonctionne sans problèmes même si je n'utilise ce nas que pour synchroniser mon nas principal Pour la partie sensible l'upgrade du bootloader , il faut commencer par le sauvegarder toujour en ssh en tant que root dd if=/dev/synoboot of=/volume1/synoboot.img Sauvegarder le fichier /volume1/synoboot.img sur une autres machine , vous en aurez besoin en cas d'erreur apres monter le synoboot ( pour un raison bizarre il faut rentrer dans /dev pour pouvoir le faire) mkdir /mnt/boot cd /dev mount synoboot1 /mnt/boot vi /mnt/boot/boot/grub/grub.conf Éditer grub.conf et ajouter le bon hw_model et syno_hw_version et surtout ajouter les 2 # serial --unit=0 --speed=115200 terminal serial default 1 timeout 3 hiddenmenu fallback 0 title SYNOLOGY_1 root (hd0,0) hw_model=DS1511+ kernel /zImage root=/dev/ram0 ihd_num=0 netif_num=1 syno_hw_version=DS1511+ initrd /rd.gz title SYNOLOGY_2 root (hd0,1) # cksum /grub_cksum.syno vender /vender show # hw_model kernel /zImage root=/dev/md0 ihd_num=0 netif_num=1 syno_hw_version=DS1511+ initrd /rd.gz sauvegarder et démonter umount /mnt/boot

Effectivement, c'est résolu, le backup automatique d'hier soir s'est bien passé. Le proverbe est encore une fois vérifié : Dans le doute tu rebootes, si ça rate tu formates.

Aujourd'hui sort une mise à jour pour Photoprism qui intègre la détection faciale. Le logiciel embarquait déjà la reconnaissance des objets. Il pourrait devenir une vraie alternative à Synology Photos si Synology ne change pas sa politique.

C'est mon drive perso, ma photothèque et mon centre multimédia. Ca reste peut-être encore basique mais pour moi c'est déjà très bien

Bonjour, Est-il possible de planifier un arrêt/démarrage d'un container? J'ai des containers qui non pas besoin de tourner H24. Merci [EDIT] J'ai trouvé. J'ai créé une tache dans le planificateur du DSM avec les commandes docker start /le nom du countainer/ docker stop /le nom du countainer/ Ce n’était donc pas très bien compliqué

+1 avec @DaffY Il faut ouvrir le port 6690 sur ta box. Tu as bien un certificat LE valide pour ton nom de domaine ? Sur iOS tu as bien mis le nom de domaine et pas l'adresse IP LAN du NAS ?

Bonsoir, Il vaut mieux le réactiver ou l'activer.

Free économise les adresses IPV4 et mutualise entre plusieurs clients en distribuant des tranches de port (et non de porc ). Il est possible que le port 1194 ne soit pas disponible pour toi. Le plus simple c'est de réclamer une adresse full-stack (avec tous les ports). Il est possible que cela change ton adresse IP.

Bonjour @Jeff777, Justement c'est la différence, sur iOS il est difficile d'importer un fichier sans passer par iTunes (Big Brother). Ce que j'ai fait sans problème sur le Mac. Et quand j'ai tenté d'importer le fichier .p12 (ou .pfx), OpenVPN Connect l'a bien reconnu sur iOS mais à moitié puisqu'il n'a pas affiché le nom réel du certificat qui est celui du nom de domaine. Dans le doute j'ai fait un copier coller du contenu de cert.perm et de privkey.perm directement dans le fichier de config. Et je n'ai plus l'avertissement sur l'absence de certificat.

Je ne les ai pas mis. mon fichier de config : dev tun tls-client remote-cert-tls server auth-nocache remote openvpn.ndd 1194 # reverse proxy redirect-gateway def1 dhcp-option DNS 78.xxx.xxx.xxx dhcp-option DNS 2a01:... pull proto udp script-security 2 comp-lzo reneg-sec 0 cipher AES-256-CBC auth SHA256 auth-user-pass <ca> -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- </ca> Sur Android lorsque j'ai eu la notification continuer ou installer un certificat .pfx j'ai installé ce certificat (cert.pem et privkey.pem convertis) Je n'ai pas de notification dans les logs concernant une absence de certificat externe. @CyberFr en quoi ta démarche est-elle différente..si elle l'est !..tu n'es pas obligé de répondre si tu en as ras la casquette

Au moment de l'enregistrement si on renomme le .OVF en .OVA c'est bon Alors c'est plutôt que j'ai des lignes spéciales dans mon VMX sur VMWare puisque c'est une machine macOS avec un processeur Ryzen, et je souhaiterai les remettres

Bonjour @oracle7, Je vais employer le verbe suivre dans deux sens différents. Pour répondre à ta question, oui, je te suis. Par ailleurs, je sais par expérience que l'on a toujours intérêt à te suivre dans tes propositions.

@MilesTEG1 Bonjour, Rassures-toi, c'était une c..ie de ma part car j'avais interprété à l'envers tes données du haut vers le bas et évidemment j'étais à coté de la plaque en voyant une augmentation de débit à travers la dalle béton ce qui m'étonnait quelque peu. Cordialement oracle7

@Vaad@bliz Bonjour, Voilà ce qui ce passe selon que la ligne "#redirect-gateway def1" est commentée (avec #) ou non : Commentée --> VPN Split-Tunnel : le trafic n'est envoyé via votre réseau que s'il tente d'accéder à une ressource interne. Votre adresse IP lorsque vous naviguez vers un site en dehors de votre réseau sera l'adresse IP du réseau sur lequel vous vous trouvez actuellement. Non commentée --> VPN Full-Tunnel : tout le trafic est envoyé via votre réseau domestique. Votre adresse IP pour les requêtes internes et externes sera votre réseau domestique. En clair cela donne ceci : Tu clic-droit sur l'icone de OpenVPN GUI dans la barre des tâches et tu sélectionnes "Voir le log" sinon le fichier en lui même est : soit dans C:\Users\<tonUserWin>\OpenVPN\log soit dans le répertoire que tu as désigné par : clic-droit icône OpenVPN GUI / Configuration / Onglet Avancé. EDIT : Avant toutes choses pour le VPN, il conviendrait de t'assurer que ton NAS est bien accessible de l'extérieur avec ton domaine. On est bien d'accord que ton DDNS est défini sur ce domaine : "ddns.synology.me" et qu'il pointe bien vers ton @IP Externe (i.e. @IP Box). Je pars sur cette hypothèse pour la suite. On vérifies que ton DDNS pointe bien chez toi, en passant la commande "ping ddns.synology.me" depuis ton PC . La réponse doit être ton @IP Externe. On vérifie aussi dans un terminal SSH via PuTTY ou WinSCP, sous user root que nslookup ddns.synology.me 8.8.8.8, ça doit aussi te faire tomber sur ton @IP Externe. Depuis l'extérieur (tél 4G par ex), dans un navigateur Web : taper l'URL http://ddns.synology.me:5000 --> tu dois atteindre le NAS. Tout doit être OK avant d'aller plus loin avec le VPN. Cordialement oracle7

Comme prévu j’ai fait un ticket auprès de Synology en début de semaine pour nous aider à faire remonter le volume en panne. Ils ont répondu dans les 48h et on réussi à le faire monter. Maintenant il faut attendre que le volume se répare tout seul (+72h) avant de crier victoire J’en ai profité pour mettre un disque en spare au cas ou Merci à vous je tenais à vous tenir informé Bonne soirée

Entre les problèmes de DNS chez Facebook et l'erreur humaine chez OVH, je me dis qu'ils devraient lire certains tutos du forum

@MilesTEG1 C'est, par intuition, exactement ce que je viens de faire durant les minutes qui se sont écoulées entre mon post et le tien ^^ Résultat des courses : j'ai maintenant mon Vaultwarden (je fais très bien la différence, t'inquiète, j'ai simplement mentionné "Bitwarden" par abus de langage), mon ADG et mon Watchtower qui sont en "stack" avec le label "watchtower". Ce simple label va suffire à mettre à jour automatiquement tous mes containeurs ? Donc à les supprimer puis les recréer dans mon dos sans que je ne me préoccupe plus de quoi que ce soit ? Valable pour Watchtower lui-même ? Est-il possible de watchtowerisé également le Portainer ? Encore merci pour tout !

@Jeff777 Bonjour, SI cela peut te rassurer, tu n'est pas le seul dans ce cas, toujours est-il il y a un palliatif mais au prix de quelques manipulations à chaque fois que tu veux insérer une image dans un post. Pour cela regardes les échanges que j'ai eu avec @MilesTEG1 sur le sujet dans ce post. Si tu as des questions, n'hésites pas .... Pour infos, le problème a déjà été soulevé ici mais sans suite ... J'ai fait aussi un post dans la rubrique "Aide et Support technique" mais toujours pas validé ????? On est bien d'accord ! Cordialement oracle7

Oui, tu peux avoir x certificats pour un même domaine, ça ne pose aucun souci, il n'y a pas de critère d'unicité.

Normalement si tu te connectes en VPN depuis son wifi tu devrais voir une adresse en 10.x.x.x : Si ce n'est pas le cas ( et il y a des chances que ce ne le soit pas, sinon tu pourrais aussi te connecter en remettant le contrôle d'accès) nous aurons peut-être une piste pour l'origine du problème.

@molinadiaz Essaie d'ajouter les lignes suivantes dans ton fichier ovpn : dhcp-option DNS IP_LOCALE_ADGUARD Donc l'IP de ton NAS. J'imagine que tu as déjà décommenté la ligne redirect-gateway def1 ? EDIT : Grillé par @MilesTEG1

@Jeff777 Bonjour, bah voilà une bonne nouvelle ! Juste encore un peu de patience ... le bout du tunnel n'est pas loin. Sinon masque ton patronyme dans le message. Cordialement oracle7

Normalement, lors d'une migration de Livebox à Livebox, rien à faire... Le masque de sous réseau est le même. Le configuration de l'ancienne Box est reprise , donc pas besoin de refaire les règles NAT, ni de redéfinir les adresses statiques. Il se peut qu'il y ait des subtilités de gestion de l'IPv6 entre la LB4 et la 5 ... dans le doute, vérifies la conf du FireWall V6 si tu utilises ce protocole ...

Antivirus Essential > Paramètres > Activer l'analyse intelligente

@YOliv Bonjour, Deux choses à ne pas mélanger si je puis dire : Avec le GeoFence activé (mode Home dans SS) quand tu es à la maison, ce sont les paramètres d'enregistrement du mode Home qui priment. Quand tu es hors de ta maison alors ce sont les paramètres d'enregistrement de la caméra dans SS et sa planification qui sont pris en compte. En clair quand je suis à la maison j'ai planifié dans le mode Home, de la détection de mouvement durant la nuit seulement et quand je suis à l'extérieur, là j'ai de la détection de mouvement H24 dans SS. Cela marche très bien comme cela. Quand tu n'as aucune planification de configurée dans SS, alors il te faut vérifier ce qui configuré directement dans le logiciel "usine" de gestion de la caméra car c'est lui alors le pilote dans l'avion et ce d'autant plus si dans SS, tu as aussi mis la caméra comme source de l’algorithme de détection (onglet "Mouvement" de la partie "Détection de mouvement" dans les réglages de la caméra. Tout est répercuté alors dans SS. Tu me suis ? Cordialement oracle7

@CyberFr Bonjour, Dans la configuration OpenVPN, as-tu cochée la case : "Autoriser aux clients l'accès au serveur LAN" ? Dans le fichier .ovpn : est-ce que la ligne "redirect-gateway def1" est bien décochée ? as-tu ajouter une ligne "dhcp-option DNS 10.8.0.1" ? Fais aussi une capture de trames sur le Synology (à faire en root sous SSH) : tcpdump -n -q "udp dst port 1194" pour voir s'il n'y a pas de filtrage entre ton client et ton NAS. Si tu as DNS Server d'installé sur ton NAS, penses à définir une vue pour le VPN. Au fait par sécurité, masques ton @IP externe dans ta dernière copie d'écran. Cordialement oracle7

@CyberFr Bonjour, Sur quel type d'appareil tu as installé ton client OpenVPN ? Si c'est sur Android alors j'ai ceci en magasin : il suffit d'installer le fichier « .ovpn » normalement, ensuite quand il demande le fameux certificat SSL, là il faut exporter le certificat depuis DSM (onglet sécurité/certificat), qui nous sort des fichiers « .pem » et il faut les convertir en « .pfx » ou en « .p12 » ! Quand l'appli demande le certificat il suffit d'aller le chercher là où tu l'a enregistré et le tour est joué. Tu peux supprimer le fichier « .pfx » par la suite Openvpn a enregistré le certificat je ne sais pas trop où, mais il est conseillé de supprimer celui que tu as importé comme ça, seul l'application Openvpn a accès à ces données. Pour convertir un fichier ".crt" ou ".pem" en ".p12" ou "pfx", il faut passer par un outil comme OpenSSL sur Windows en ligne de commandes. Pour cela il faut : · Installer sur le PC "OpenSSL". · Touche Win + X : et ouvrir une fenêtre de CMD en mode Admin · Faire un "cd" sur le répertoire contenant les fichiers .pem · Taper la commande : "openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem" Ensuite tu importes ton certificat ".p12" sur le smartphone et là il devrait être reconnu par OpenVPN client. Si c'est sur iOS, désolé je ne connais pas la solution. Peut-être du même genre, je ne sais pas ... Enfin, pour OpenVPN, il y a toutes les chances que tu ais une @IP dans le sous-réseau 10.8.0.0/24 donc pour le contrôle de profil d'accès il te faut aussi autoriser ce sous-réseau. Cordialement oracle7

Euh tu peux me dire comment est ton reverse proxy. Normalement du style https://dsm.ndd:443 ==>http:// iplocalnas:port_http_dsm

@oracle7 nous avons tout deux raison. Tout dépend de ce que l'on attend de l'usage de son NAS.

Réponse : Ben c'est bien pour cela que j'essaie de la maintenir à flot...tu verras dans 6 ans

@Jeff777@MilesTEG1 Bonjour, Je suis vos échanges avec intérêt, mais une question me revient : finalement quel est l'intérêt pour nous, simples utilisateurs d'un modeste réseau local, d'implémenter IpV6 et de gérer les @IP correspondantes sur notre réseau local ? J'avoue avoir un peu de mal à en voir les avantages, pour l'instant et c'est tout autre, mais je suis dans la même position que @MilesTEG1 vis à vis d'appréhender la chose. Avec l'age, la "comprenette" a plus de mal à se mettre en place ... Cordialement oracle7

Tu es trop modeste Il est intéressant de voir le parcours des uns et des autres, leur progression. Il y a beaucoup de points communs au départ même si à l'arrivée je suis bien loin derrière certains cadors.

Je ne sais pas....c'est pour cela que j'ai écrit "soi-disant".

J'ai découvert cette conversation par hasard et je me suis inscrit pour la suivre

Le problème du remplissage de /dev/md0 vient souvent des logs dans /var/log. Poste ici le résultat de la commande sudo du -chd 2 /var/log

@CyberFr Bonjour, C'est normal ce message, un certificat est définit pour un nom de domaine et JAMAIS pour une @IP. Et comme tu as installé DSN Serveur tu as donc une zone DNS locale qui résolvera tous tes domaines, en conséquence je dirais même que tu as même intérêt à utiliser ces derniers tout le temps en conjonction du Reverse Proxy comme te l'as dit justement @Jeff777. Cordialement oracle7

On en trouve sur leboncoin : https://www.leboncoin.fr/recherche?text=Edgerouter

Bonjour, oui il y a une possibilité en installant le paquet "drive". C'est un cloud qui se synchronise "en temps réel" sur tout les périphériques sur lequel il est installé.

Moi je pense que ça marcherait sans problème tant que tu ne transcodes pas. Et puis, si tu transcodes en 4K, de toute façon, aucun NAS grand publique ne sera en mesure de faire quoique ce soit de correct... Quand tu vois qu'un Ryzen 3800x en est incapable...