Classement

Refonte du tutoriel pour la V6, amélioration du fichier compose et mise à jour des impressions d'écran.

Pour qui ? Depuis plusieurs années, ce tutoriel rédigé par @Fenrir est LA référence en matière de sécurisation des accès à un NAS. C'est de loin le tutoriel le plus lu du forum, et c'est une bonne chose, car cela signifie que les utilisateurs de NAS Synology se préoccupent de sécuriser leurs données. Néanmoins, bien que le tutoriel soit toujours d'actualité, certaines sections de DSM sont organisées différemment depuis l'arrivée de DSM 7. En outre, certaines informations importantes se trouvent dans les innombrables pages de commentaires, ce qui ne facilite pas la tâche aux nouveaux venus. A l'usage, on remarque également qu'il peut : parfois aller trop vite sur certains points pour des néophytes être a contrario trop succinct pour des utilisateurs souhaitant aller plus loin dans la sécurisation des accès. Il a donc été convenu de rédiger deux versions du tutoriel : cette version, une version plus pas-à-pas, reprenant l'essentiel du tutoriel original, destinée à permettre une rapide mise en service d'un NAS de manière sécurisée. C'est l'objet du tutoriel que vous allez maintenant suivre. une version plus avancée, pour utilisateurs avertis Le tutoriel s'inspire grandement du tutoriel original, merci encore à @Fenrir son rédacteur. Préambule et recommandations Définition Mais commençons par un peu de vocabulaire, un produit labélisé NAS chez Synology est en réalité un serveur, disposant d'un OS, d'un processeur et de mémoire, permettant : La mise à disposition en réseau de données par de nombreux protocoles : HTTP, HTTPS, CIFS, NFS, SSH, etc... L'hébergement de services divers et variés : nativement (Centre de paquets) par conteneurisation (Container Manager) (plus d'info ici) par virtualisation (Virtual Machine Manager) Dans la suite du tutoriel, nous emploierons improprement le terme NAS par commodité. Cahier des charges Ce que ce tutoriel couvre : La configuration des protocoles utilisés pour les accès au NAS La configuration du pare-feu La mise en place d'un certificat TLS La configuration d'un service de notification La protection des accès utilisateurs La configuration des cartes réseau Ce que ce tutoriel ne couvre pas : La configuration de votre box pour un accès distant La mise en place d'un proxy inversé La mise en place d'un serveur VPN Le chiffrement de volume ou de dossier partagé La sauvegarde et la restauration de données (outre la configuration du système) // IMPORTANT \\ En appliquant ce tutoriel, vous coupez votre NAS de tout accès extérieur. Pour accéder à votre NAS à distance, il existe plusieurs méthodes : Utilisation du relais QuickConnect de Synology, point abordé dans la partie Accès externe. Accès par nom de domaine (point abordé dans la partie Accès externe également) + redirection de ports (avec ou sans proxy inversé) Utilisation d'un serveur VPN sur le NAS pour le transfert de fichiers uniquement : FTP, SFTP, WebDAV, etc... Veuillez vous référez aux liens fournis pour la mise en place d'un accès externe sécurisé. Prérequis et méthode Le vocabulaire dédié au monde du réseau est spécifique, il est conseillé de lire le sujet rédigé par @Kramlech, ces notions seront utiles pour la compréhension de la suite du tutoriel. De plus, ce tutoriel renverra vers d'autres tutoriels pour ceux qui souhaitent aller plus loin. Si une catégorie ou un onglet ne sont pas mentionnés, c'est qu'ils ne présentent pas d'intérêt dans le cadre de ce tutoriel. Lorsque des explications supplémentaires mais non nécessaires sont proposées, elles sont cachées dans des balises spoiler : Lisez ce tutoriel en diagonale une première fois pour avoir une vision globale des modifications que vous vous apprêtez à effectuer La plupart des fenêtres que vous ouvrirez dans DSM possède une aide intégrée, celle-ci est généralement bien documentée et traduite, cela vous permettra de connaître plus en détail les fonctionnalités offertes par les divers champs activables : Précautions Sauvegarde de la configuration Que vous veniez d'installer DSM sur votre NAS, ou que vous ayez déjà une instance de DSM en production, il est impératif de réaliser une sauvegarde de la configuration avant de commencer, pour cela, on va dans Démarrer -> Panneau de configuration -> Mise à jour et restauration -> Sauvegarde de configuration -> Exportation manuelle : Cliquez sur Exporter et sauvegarder le fichier sur votre ordinateur. En cas de problème, il sera possible de restaurer la configuration précédemment exportée en cliquant sur Restauration. J'ai tout cassé Si vous n'arrivez plus à avoir accès à votre NAS suite à un réglage effectué au cours du tutoriel, vous pouvez toujours effectuer un reset mode 1 du NAS. Celui-ci est suffisant dans l'extrême majorité des cas, et il a l'avantage de réinitialiser un nombre limité de réglages qui sont susceptibles de provoquer une perte d'accès à DSM. _________________________________________________________________________________________________________________________________________________________________________________________ Sécurité Cette section sera abordée plus en détail par après, mais dans un premier temps il est impératif de sécuriser les accès à votre NAS. Pare-feu - Accès locaux Par défaut, le pare-feu n'est pas activé, et donc tous les accès sont permis. L'idée générale est d'autoriser les accès depuis le réseau local, et de le fermer aux accès distants. Au fil des années, nous avons pu constater que la pratique habituelle de créer des règles pour toutes les interfaces pouvaient avoir des effets de bord indésirables, notamment dans le cadre de l'utilisation d'un serveur VPN, il est donc plus sécurisé de créer le minimum de règles pour chaque interface séparément. Et c'est la méthode que nous allons détailler. Pour configurer le pare-feu, il faut cocher Activer le pare-feu. Il est conseillé de laisser les notifications du pare-feu tout en les refusant quand elles apparaitront à l'installation de paquets, afin d'être informé des ports utilisés par les dits paquets. On va ensuite cliquer dans la liste déroulante contenant les profils de pare-feu, et cliquer sur Gérer le profil du pare-feu. On va cliquer sur Créer pour créer un nouveau profil, et on le nomme par-interface : On sélectionne l'interface qu'on souhaite configurer, ici pour l'exemple LAN 1. On va tout d'abord ajouter quatre règles garantissant un accès local complet à votre NAS : Pour ce faire, on procède ainsi : On clique sur Créer On coche IP spécifique puis on clique sur Sélectionnez On choisit Sous-réseau et on entre 192.168.0.0 dans Adresse IP, et 255.255.0.0 dans Masque de sous-réseau ATTENTION : si vous le souhaitez, vous pouvez restreindre à votre réseau local. Ici on couvre toute la plage locale possible en 192.168. Par exemple, si le réseau de votre box est 192.168.1.x, alors vous pouvez entrer 192.168.1.0/255.255.255.0 On valide : On répète la même opération pour les deux autres règles, 172.16.0.0/255.240.0.0 et 10.0.0.0/255.0.0.0 On ajoute une règle pour les accès locaux en IPv6 : A elles quatre, ces règles permettent à tous les clients utilisant des IP privées d'accéder à tous les services du NAS (attention, ils sont toujours toutefois soumis aux processus d'authentification, ces règles leur permettent uniquement de ne pas faire se refouler à l'entrée). Dernier point, mais le plus important, on choisit Refuser l'accès comme comportement du pare-feu en cas de requête non déclenchée par les règles précédemment ajoutées : _________________________________________________________________________________________________________________________________________________________________________________________ Notifications Celles-ci sont requise pour certaines fonctionnalités comme l'authentification à deux facteurs ou plus simplement pour que vous soyez prévenu dès qu'un problème survient dans le système. On va dans Panneau de configuration -> Notification : Dans Compte Synology, cochez Recevez des notifications directement dans votre compte Synology lorsque l'état du système change ou lorsque des erreurs se produisent En activant l'option, vous serez invité à vous connecter à votre compte Synology. Cela nécessite la création ou l'association à un compte Synology Dans Email, on clique sur Configurer, et on choisit un fournisseur SMTP ou on configure le sien si on en a un Dans Profils de destinataires, on peut choisir des adresses mail différentes suivant la criticité des événements. On clique sur Ajouter. On utilise la règle Warning et on entre l'email de destination, il peut être le même que l'expéditeur Dans Paramètres d'email, on peut personnaliser le préfixe de l'objet du mail On clique sur Envoyer un e-mail de test dans Profils de destinataires pour vérifier que tout fonctionne. Vérifier votre boîte de spam si rien n'arrive _________________________________________________________________________________________________________________________________________________________________________________________ Services de fichiers On va dans Panneau de configuration -> Services de fichiers SMB Général SMB (ou Samba dans sa déclinaison Linux) est le protocole utilisé par Windows lorsqu'on monte un lecteur réseau dans l'explorateur de fichiers. Mais même sous Linux, il est le protocole à privilégier lorsqu'on se connecte à un NAS. Dans Paramètres SMB, cochez Activez le journal des transferts On coche Masquer les dossiers partagés pour les utilisateurs ne disposant pas d'autorisation Dans WS-Discovery, on coche Activer la découverte de réseau Windows pour autoriser l'accès aux fichiers via SMB : On clique sur Paramères avancés et on définit le protocole SMB minimum sur SMB2 et Large MTU, SMB1 a de nombreuses failles de sécurité et n'est plus nativement par défaut activé dans DSM : Autres On coche les 3 options suivantes : Si on souhaite activer SMB3 multicanal, on doit cocher Activer SMB3 multicanal et Activer la lecture asynchrone, le service est ensuite redémarré. AFP, NFS, FTP, rsync et Avancés N'activez que les protocoles et options dont vous avez besoin, autrement laissez les réglages par défaut. _________________________________________________________________________________________________________________________________________________________________________________________ Utilisateur et groupe Utilisateur / Groupe Ce tutoriel n'aborde pas dans le détail la gestion des groupes et utilisateurs, gardez toutefois à l'esprit que : Rationalisez les permissions. Dans le cas d'utilisateurs similaires, créer un groupe reprenant les permissions partagées est plus élégant que de configurer manuellement les droits de chaque utilisateur Limitez les permissions d'un utilisateur ou un groupe au strict nécessaire Compte administrateur alternatif Lors du passage à DSM 7, ou lors d'une nouvelle installation, vous êtes invités à créer un nouveau compte administrateur si votre seul compte administrateur est le compte "admin". Cela permet d'avoir un compte administrateur avec des accès plus robustes (voir Politique de mot de passe), et de désactiver le compte "admin" par défaut, sur lequel vous ne pourrez plus vous connecter. /!\ CETTE ÉTAPE EST OBLIGATOIRE /!\ Configuration du mot de passe On se dirige vers l'onglet Avancé -> Configuration du mot de passe : Espace personnel de l'utilisateur Au bas du menu Avancé on coche Activer le service d'accueil de l'utilisateur, afin que chaque utilisateur dispose de son propre dossier personnel dans homes (homes n'est visible que des membres du groupe administrateurs). ATTENTION : Il est primordial de ne pas toucher aux permissions du dossier homes (visible uniquement par les administrateurs) et aux dossiers home (pour les utilisateurs non administrateurs). _________________________________________________________________________________________________________________________________________________________________________________________ Accès externe QuickConnect Si vous ne souhaitez pas accéder à votre NAS en dehors de votre domicile, désactivez Quickconnect. DDNS Si vous ne souhaitez pas accéder à votre NAS en dehors de votre domicile, vous pouvez ignorer ce passage. Configuration du routeur Ne cliquez pas ici, ça fait partie des options que Synology devrait vraiment retirer de ses boitiers. C'est très dangereux du point de vue sécurité. Ça sert à ouvrir automatiquement des ports dans votre routeur/box, ça peut paraitre sympa comme ça mais en pratique c'est une faille de sécurité très importante. Deux exemples pour essayer de vous convaincre : pour que cette fonction marche, votre routeur doit gérer l'UPnP, donc tous les équipements de votre réseau pourront faire de l'ouverture dynamique de port, le PC qui vient d'être vérolé pourra automatiquement, sans la moindre notification, ouvrir un port permettant à un attaquant d'entrer dans votre réseau de même, si vous avez configuré des redirections de ports pour plusieurs équipements, ces redirections risquent de sauter si une requête UPnP demande le même port Avancé Un onglet que beaucoup oublient de configurer, il n'est pas obligatoire et pas lié (pas directement du moins) à la sécurité mais ça permet d'éviter de chercher des heures la raison pour laquelle un lien de partage (par exemple) ne fonctionne pas : REMARQUE : si vous utilisez le proxy inversé ou le portail des applications de DSM, il n'est pas utilie de configurer ce menu. _________________________________________________________________________________________________________________________________________________________________________________________ Réseau L'onglet Réseau dans le panneau de configuration permet de régler la connectivité de votre appareil et ses interfaces. Interface réseau IPv4 Dans l'onglet Interface réseau, on sélectionne l'interface qu'on souhaite configurer et on clique sur Modifier : Pour obtenir une IP, deux méthodes existent : Le NAS acquiert son IP grâce au serveur DHCP, généralement votre box ou votre routeur. Pour s'assurer que cette IP ne change pas d'une fois à l'autre, il faut faire ce qu'on appelle une réservation statique d'IP dans votre serveur DHCP. Concrètement, cela signifie que pour une adresse MAC donnée (le numéro d'identité de votre carte réseau en quelque sorte), le serveur DHCP attribuera toujours la même adresse IP. On fixe l'IP du NAS directement sur celui-ci, pour cela on choisit Utiliser la configuration manuelle et on choisit une IP. ATTENTION : il faut que l'IP choisie : soit dans la plage IP de votre réseau local soit hors de la plage DHCP d'attribution de votre box/modem. La première méthode a l'avantage qu'en cas de : changement de box de modification de sous-réseau (passer de 192.168.1.0 à 192.168.10.0 par exemple) de déménagement Le NAS restera accessible car il obtiendra une IP dans tous les cas avec un nouveau modem, il ne vous restera plus qu'à le trouver via Synology Assistant. IPv6 A l'heure actuelle, l'IPv6 est bien plus prise en charge par les FAI qu'au temps de la rédaction du tutoriel original, certains mêmes ne proposent plus que de l'IPv6 nativement. Si vous souhaitez l'activer, choisissez Auto : Général Dans l'onglet Général de la catégorie Réseau : Dans Paramètres avancés : Cochez Répondre à la demande ARP si l'adresse IP cible est identique à une adresse locale configurée sur l'interface entrante, cela permet de faire en sorte que les données sortent par leurs interfaces respectives. Cochez Activer la détection des conflits IP, vous aurez des notifications dans DSM si votre NAS rencontre des problèmes de conflit d'IP. Connectivité Cochez Activer HTTP/2 _________________________________________________________________________________________________________________________________________________________________________________________ Sécurité A n'en pas douter la catégorie la plus importante de ce tutoriel ! Le pare-feu a été configuré pour un accès local en tout début de tutoriel. Général Vous pouvez laisser les réglages par défaut Compte Authentification à deux facteurs (2FA) L'authentification à deux facteurs apporte une couche de sécurité supplémentaire, mais elle n'est en aucun cas un remède palliatif à des accès utilisateurs trop faibles. L'authentification à deux facteurs est également plus contraignante en cas de perte du périphérique sur lequel elle est configurée, s'il s'avérait être le seul. Un code de récupération est fourni par DSM pour y retrouver accès, il est impératif de le noter. Si vous souhaitez activer l'authentification à deux facteurs, suivez les étapes suivantes : Adaptive MFA Cochez Activer l'authentification multifacteur adaptative pour les utilisateurs appartenant au groupe administrateurs (pour version de DSM > 7.2) Protection du compte Cochez Activez la protection du compte : Ajuster les valeurs proposées par défaut à votre convenance. Pare-feu - Accès distant Cette section est restreinte au minimum, car le but est ici de sécuriser les accès à votre NAS. A partir du moment où le NAS est accessible depuis l'extérieur, sa surface d'exposition est bien plus importante. Mais vu que nous allons voir comment obtenir un certificat pour votre NAS, il paraît naturel d'évoquer la mise en place d'un accès distant sur celui-ci, pour en savoir plus, c'est par ici : Protection Cochez Activer le blocage auto, ainsi que Activer l'expiration des blocages avec les réglages suivants : Cliquez ensuite sur Autoriser/Bloquer la liste, sélectionnez Créer -> Ajouter une adresse IP, choisissez Sous-réseau et ajouter les deux entrées suivantes : REMARQUE : Si vous avez mis un sous-réseau et masque plus restrictifs que 192.168.0.0/255.255.0.0 dans vos règles de pare-feu, par exemple pour vous conformer au réseau utilisé par votre box, supposons 192.168.1.0/255.255.255.0, vous pouvez dans ce cas spécifier 192.168.1.0/24 dans le menu ci-dessus. Enfin, cochez également Activer la protection DoS. Certificat La mise en place d'un certificat est utile pour : établir un accès distant sécurisé (chiffré) vers votre NAS la mise en place d'un serveur DNS local la mise en place d'un proxy inversé Si les uns et les autres ne vous sont d'aucune utilité, passez à la section suivante. Avancé Dans cet onglet, nous allons régler le niveau de sécurité de chiffrement des services systèmes : La compatibilité moderne correspond à TLS 1.3 qui est maintenant assez répandu, si vous avez des smartphones relativement récents vous ne devriez pas rencontrer de problème. La compatibilité intermédiaire prend en charge TLS 1.3 et 1.2, c'est le choix qui couvrira le plus de périphériques. Depuis la version 7.1 de DSM, il est possible via le menu Paramètres personnalisés de définir séparément le niveau de sécurité utilisé par les applications. _________________________________________________________________________________________________________________________________________________________________________________________ Terminal & SNMP Avancé Je recommande de cocher Activer le service SSH, cela vous donne une porte de secours en cas de problème d'accès à DSM. Si vous deviez rendre accessible le terminal de votre NAS depuis l'extérieur, je recommande très fortement de ne pas faire une simple redirection de port au niveau de votre box mais d'utiliser un serveur VPN, par exemple via le paquet VPN Server. _________________________________________________________________________________________________________________________________________________________________________________________ Portail de connexion DSM Vous pouvez cocher la case Rediriger automatiquement les connexions HTTP vers HTTPS pour le bureau DSM pour vous connecter automatiquement en HTTPS même si l'adresse entrée commence par HTTP. Il est préférable d'avoir mis en place un certificat avant d'activer cette option pour éviter les avertissements de sécurité du navigateur. REMARQUE : Ne pas activer cette option si vous utiliser un proxy inversé pour accéder à vos services DSM. _________________________________________________________________________________________________________________________________________________________________________________________ Options régionales Pour que l'authentification à deux facteurs fonctionne correctement, il est important que vos périphériques soient synchronisés temporellement. Assurez-vous de régler la synchronisation temporelle du NAS sur une source sure, dans Temps puis Paramètres de l'heure, cochez Synchroniser avec un serveur NTP et entrez manuellement l'adresse fr.pool.ntp.org par exemple si vous résidez en France, ou ntp.fdn.org. La liste complète des serveurs NTP peut se trouver à l'adresse suivante : https://www.ntppool.org/zone/@ _________________________________________________________________________________________________________________________________________________________________________________________ Mise à jour et restauration Mise à jour du DSM On clique sur Options de mise à jour, puis on choisit M'avertir et me laisser décider d'installer la nouvelle mise à jour : Synology est coutumière de déploiements erratiques de ses mises à jour, donc suivez ces quelques conseils : Prenez le temps de lire les notes de patch lors de la sortie d'une nouvelle version de l'OS, il se peut qu'elle n'apporte rien dans votre utilisation du NAS N'appliquez de préférence une mise à jour que si elle est proposée automatiquement par le système (évitez les mises à jour manuelles) Sauf correctifs de sécurité importants, ne vous précipitez pas pour appliquer une mise à jour, laissez le temps aux développeurs et aux autre utilisateurs le soin de se casser les dents dessus, il y en a suffisamment sur le forum. 😉 Sauvegarde de configuration Si vous avez lié votre compte Synology à votre NAS, par le biais de la configuration du DDNS ou via la section Compte Synology dans le panneau de configuration, vous avez la possibilité d'enregistrer automatiquement la configuration de votre NAS dans votre espace client Synology. C'est une option intéressante et je recommande de l'activer : IMPORTANT : Avoir une sauvegarde automatique de la configuration dans le cloud ne dispense pas de disposer d'une version locale de celle-ci. En cas de changement notable dans votre configuration, pensez à faire une Exportation manuelle de la configuration, et à la copier sur un ou plusieurs périphériques : PC, clé USB, disque externe, etc... _________________________________________________________________________________________________________________________________________________________________________________________ Privilèges d'application Pas de recommandation spécifique à ce sujet, vous pouvez décider de restreindre les privilèges accordés par défaut à TOUS les utilisateurs dans cette catégorie, ou bien laisser les autorisations et restreindre au niveau de permissions de groupe et d'utilisateur. A titre personnel, je trouve plus simple de régler de façon granulaire les accès des groupes et utilisateurs dans la catégorie Utilisateur et groupe. _________________________________________________________________________________________________________________________________________________________________________________________ MAJ : 07/11/2023

Bonjour, Je viens de voir que dsm 7.3 est en vue. Ce sera la dernière mise à jour pour mon DS 218+ 😞

Salut @.Shad., Le problème avec les serveurs DNS c'est que leur hiérarchie n'est pas respectée. Le client peut faire appel à n'importe quel serveur de la liste. Si le DHCP distribue plusieurs IP DNS, il vaut mieux que ces serveurs résolvent les requêtes de la même manière. Je suis plutôt pour une deuxième instance pi-hole (ce que j'ai), ou bien à la limite passer par le serveur DNS du NAS avec une zone correctement paramétrée. Surtout pas d'autres serveurs externes qui sont incapables de résoudre les adresses locales.

Hello, j'ai aussi fait la migration il y a quelques semaines et ça s'est très bien passé. Je vais essayer de trouver le temps de mettre à jour le tutoriel, je devrais retrouver des disponibilités à partir de fin juin...

cd /volume1/@appdata Un simple cd / est plus efficace.

Il y a aussi Domoticz que j'utilise sur un Rasp PI4. A mon avis, que ce soit home assistant, jeedom ou domoticz ou d'autres, mieux vaut ne pas solliciter le NAS pour ces applications qui sont en général nativement adaptées et parfaitement intégrées sur des plateformes type Rasp.

Par défaut, un paquet WoL n'est diffusé que sur le segment réseau de l'émetteur. Dans le cas présent, le smartphone n'émet ce paquet que sur le réseau 192.168.68.0/24 (broadcast à destination de 192.168.68.255 ou 255.255.255.255). Le paquet ne peut donc pas parvenir au NAS situé sur un autre segment (192.168.1.0/24). Il est très peu probable que le routeur Mesh propose un proxy WoL pour propager la diffusion du paquet sur les autres segments qui y sont connectés. La solution la plus simple est de connecter le NAS derrière le routeur mesh (attention au changement d'adressage IP). La solution la plus propre est de configurer un unique segment réseau en configurant les appareils réseau du réseau mesh en points d'accès Wi-Fi.

Bonjour, Je n'ai pas tout compris...

Attention toutefois, dans le tuto donné par @firlin, la résistance est à 100ohm. Il faut remplacer cette valeur par 300ohm environ pour limiter le courant dans le transistor (voir ce fil de discussion)

Click droit sur la touche Windows et lancer l'application Terminal suffit. Puis faire la commande : K.I.S.S.

Donne-moi un seul cas d'usage où un débit >1Gbps sur internet est nécessaire sur ton NAS.

J'ai repris la configuration de sécurité : et cela a visiblement corrigé mon problème...

J'ouvre de nouveau ce sujet pour vous donner des nouvelles. Apple a reconnu un souci avec la gestion des codes OTP sur des machines ayant le même suffixe DNS (ce qui est le cas si l'on utilise plusieurs NAS dont le nom est fournir par le DDNS de Synology). Ce problème est inexistant avec les clé d'accès. J'attends des nouvelles la semaine prochaine… A suivre ...

"Il" a un nom ... 😉 Ce n'est pas limité à ça. Le RAID n'est qu'un support de stockage des données réparties sur plusieurs disques. C'est la seule différence avec un support monodisque. Alors oui, si un disque tombe en panne dans un RAID, on le remplace et on répare sans perte de données ni de service (le NAS continue de fonctionner pendant la réparation). C'est ce qu'on appelle la continuité de service. Mais que ce soit sur un seul disque ou sur un groupe de disques, nul n'est à l'abri d'erreurs entre l'écran et le clavier que je décris plus haut (effacement, corruption, etc...), ou de panne de plusieurs disques, ou même d'un incendie, dégât des eaux, choc mécanique et j'en passe. Dans tous ces cas de figures, RAID ou pas, les données sont perdues. Par ailleurs, un RAID est beaucoup plus sensible aux erreurs internes qu'un simple disque. Le taux de pannes (essentiellement provoquées par des pertes de parité) est plus élevé sur un RAID que sur un monodisque. Il est donc essentiel de mettre en place des sauvegardes périodiques des données, au moins les plus importantes. Si vous vous contentez du seul NAS pour stocker vos données, alors vous vous exposez à des pertes partielles ou totales de ces dernières. La sauvegarde fait partie intégrante d'une bonne gestion des données.

oui c'est possible que le disque neuf soit HS, mais je pense qu'il faut commencer par éliminer ce raid qui est en panne. "on apprend à marcher avant de courir"

oui, mais ce qu'il veut dire c'est que tu n'ai pas à l'abris d'un crash complet (c'est quand même rare) j'espère que ton NAS est sur un onduleur!!!! Donc faire une sauvegarde sur un autre support permet de vraiment rien perdre=> par exemple un boitier DS119 ou autre avec un disque qui te permet de faire un hyper backup

il te faut faire un raid en SHR pour optimiser le stockage Je pense que ton NAS ne vois que un seul disque tant que tu as pas réparer, il le voit comme "hotspare" secours à chaud. Donc oui rapidement mettre ton 6To à la place de ton disque en panne => réparer Une fois le raid réparer, insertion des autre disque que tu as et attribuer ces disques pour agrandir le volume

Pour la moultième fois et ce n'est malheureusement pas la dernière, un RAID n'est pas une sauvegarde !!!!!! Dans le cas d'un RAID1 il s'agit d'un miroir. Un RAID 1, 5, 6 etc.. permet d'assurer la continuité de service en cas de panne de disque. C'est tout ! Ce n'est absolument pas une sauvegarde qui elle est obligatoirement isolée de la source une fois les données sauvegardées. Sur un RAID, si les données sont effacées, corrompues ou cryptolockées, elles le sont sur tous les disques, et il n'y a qu'une vraie sauvegarde pour pouvoir les récupérer.

Je plussoie, et c'est même obligatoire. Le passage d'un RAID1 à un RAID5 nécessite un gros travail sur les disques avec une restructuration complète des données puisqu'on passe d'un stockage en miroir à un stockage en agrégation par bande à parité répartie. Il faut impérativement que les disques soient sains avant de lancer une telle opération. Le mot d'ordre c'est toujours réparation avant extension.

Immense Merci Kazaatele pour ton aide. Je te souhaite de bonnes fête a toi et à tes proches.

oui c'est exactement ça Par contre même taille au minimum ou plus mais de la marque que tu veux

il va falloir commencer à réparer déjà ton raid avant quoi que ce soit. tu peux pas agrandir un raid qui est en défaut Donc tu retire ton disque HS et tu met ton nouveau et tu répare

alors tu aura un raid SHR, en ajoutant ton disque tu aura une tolérance de panne sur un disque Quand tu vas valider, il va ce formater tout seul

avec un deux baies tu ne gagnera pas de place sur ton disque 1 Avec "gérer les disque disponible" soit: - Tu met ton disque dans le volume 1 mais tu gagneras pas de place que de la sécurité en cas de panne d'un disque - tu fais un volume 2 tu gagne 9.1 To mais ton disque 1 reste plein et pas protégé

Est-ce que la double authentification est désactivée dans l'onglet sécurité ?

Une partie de mes questions sont ici https://communaute.red-by-sfr.fr/t5/Box-décodeur-TV/IPV6-avec-Routeur-et-SFR-7-Fibre-ou-SFR-8-en-zone-CGNAT/td-p/605454 Autant dire que ce n'est pas aussi simple que ça, je ne l'aurais pas inventé. Mon routeur fonctionne, j'ai réussi le test de https://test-ipv6.com/index.html.fr_FR avec mon Pc derrière le routeur Pour autant VPN Server ne fonctionne pas encore, et encore moins les applis Photo et audio de mon NAS Edit: De ce que je vois sur d'autres forum c'est pas gagné l'affaire. Même pas sûr que ce soit faisable. Simple sur le papier mais ça ne se configure pas automatiquement, ça dépend des box et en plus j'ai un routeur entre les deux! Une autre solution serait de faire un VPN avec un service extérieur payant à condition qu'il supporte la translation de port, pour que moi j'accède directement par une adresse photo.moi.domaine.fr pour le port de DSPhoto et audio.moi.domaine.fr pour DSAudio . J'ai un VPN qui ne le fait pas mais avant de changer j'aurais aimer tester une connexion VPN normale mais encore un truc qui ne fonctionne pas! Un truc comme QuickConnect mais plus rapide pour les transfert ftp

Bonjour, Pouvez-vous préciser votre configuration réseau ? Comment est paramétré le réseau sur le NAS ? Quels sont les équipements de votre réseau local ? Comment est connecté votre ordinateur au réseau local ? Quel est le débit théorique de vos interfaces réseau (PC, ports de la box, NAS,...) ? Pour votre information, le fait d'avoir une box connectée en fibre ou en ADSL ne change rien aux performances du réseau local.

Bonjour Le protocole samba est d'avantage utilisé pour un accès interne (réseau local) Certes on peut router ce protocole mais ce n'est pas une bonne solution en terme de sécurité pour le reste du réseau local Le plus simple est d'utiliser le protocole webdav en sécurisé hhtps Depuis le nas et depuis infuse Ça fonctionne très bien y compris en interne

Tous mes équipements utilisent IPv6 par défaut sauf deux switches (Netgear GS105PE) qui ne supportent que IPv4 pour l'accès à l'interface d'administration. Le saut vers IPv6 est fait depuis que les opérateurs l'ont déployé jusqu'à la box de l'abonné il y a plusieurs années maintenant. Tous utilisent IPv6 par défaut et IPv4 est relégué au second plan puisqu'il est souvent encapsulé dans un tunnel IPv6 (4in6) IPv6 est activé par défaut sur les box, donc les équipements du réseau local obtiennent automatiquement une adresse IPv6 globale (2000::/3) en plus de l'adresse locale (fe80::/10). Il faut obligatoirement activer les pares-feux sur tous les équipements de votre réseau, ajuster les règles de pare-feu du NAS (similaire à ce qui est déjà fait pour IPv4), et faire pointer vos noms de domaine vers des adresses IPv6 (en plus de l'IPv4) : device.domain.tld AAAA 2abc:defg::wxyz device.domain.tld A a.b.c.d Vous ne risquez pas de bloquer quoi que ce soit puisque IPv6 vient en plus d'IPv4. Donc tout ce qui fonctionne actuellement en IPv4 continuera de fonctionner. Attention si vous utilisez un routeur derrière la box, selon l'opérateur il peut être nécessaire d'indiquer à la box de déléguer un /64 à votre routeur (voir le site lafibre.info).

Ce serait bien de faire un tuto sur le sujet "IPV6 et NAS Synology" car la demande est croissante et je serais le premier à le lire vu mes connaissances proches de zéro en la matière.

@Skarabaus, @philam30 Tout d'abord, merci de ne pas citer inutilement le message auquel vous répondrez. Ca n'a pas de sens et ça charge le sujet. Interpelez simplement votre interlocuteur comme je viens de le faire en début de ce message , ou à la limite en citant seulement le passage auquel vous répondez comme ci après. Ce n'est pas le fait que ce soit sur le LAN et ça ne se limite pas aux seules adresses IP locales mais à toutes les IP, qu'elles soient publiques ou privées. Un certificat ne couvre qu'un nom de domaine et les domaines de niveaux inférieurs pour lesquels il a été créé. Il n'a que faire des IPs. Si vous voulez utiliser localement vos ndd et que ce soit la même adresse en local et à distance, il faut passer par un serveur DNS local qui se charge de résoudre les adresses qu'il gère dans son périmètre. Il y a un tuto sur le serveur DNS dans la section des tutoriels.

Je ne vais pas faire un cours sur les réseaux ici. Pour moi l'objectif est que ton WoL fonctionne, c'est tout. Il est inutile d'utiliser WireGuard pour envoyer un paquet WoL car ce dernier n'a rien de bien confidentiel. Donc fais les tests sans WireGuard. Seul le WoL doit être activé sur la Freebox. S'il existe une redirection de port concernant le WoL (udp/7 ou udp/9), il faut la supprimer. Le paquet WoL doit être envoyé à destination de l'adresse IP publique de la box (ou un nom de domaine pointant vers cette adresse). La box se chargera ensuite de la diffusion du paquet sur le réseau local, ce que j'ai décrit comme "redirection implicite" (c'est concrètement ce qui est activé par l'option WoL de la box). Toutes les machines connectées au réseau local reçoivent ce paquet WoL, mais seule celle dont l'adresse MAC correspond à celle indiquée dans le paquet l'interprêtera.

Une fois connecté, tu dois voir les règles de routage suivantes sur ton Mac (commande netstat -rn dans le Terminal) : Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique 192.168.27.64 255.255.255.224 On-link 192.168.27.88 5 192.168.27.88 255.255.255.255 On-link 192.168.27.88 261 192.168.27.95 255.255.255.255 On-link 192.168.27.88 261 192.168.1.0 255.255.255.0 On-link 192.168.27.88 5 192.168.1.255 255.255.255.255 On-link 192.168.27.88 261 Essaye également de faire un ping vers différentes machines de ton réseau distant (192.168.1.x).

En SHR comme en RAID classique, il faut toujours commencer un groupe par les disques les plus petits. Dans le cas présent, ce sont les 6To à mettre en premier. C'est bien cela, mais ce ne sont pas des volumes mais des groupes. C'est exact si le disque le plus petit est toujours dans la grappe. Mais en supposant que le disque le plus petit ait été remplacé, on peut toujours rajouter un disque de même capacité parce que le SHR incorpore un RAID de cette capacité. C'est le disque le plus petit avec lequel la grappe a été construite qui compte 😉.

Oui, il faut impérativement que les disques ajoutés à la grappe soient de taille égale ou supérieure à la taille du plus petit disque de la grappe…

Donc je ferme !

Non, seulement vers le numéro de la ligne.

Il ne sert à rien de changer les ports de jellyfin puisque ce sont des ports internes dont tu ne donnes pas accès depuis l'extérieur (j'espère). Ensuite c'est ton reverse proxy qui doit pointer vers un des ports internes. Par exemple ton proxy défini par HTTPS://jellyfin.***.synology.me:443 doit avoir comme destination http://192.168.x.yyy:8096. Inutile de pointer vers ton HTTPS local. Si tu as un certificat sur ton NAS, il faut qu'il soit wildcard si tu veux que le reverse proxy fonctionne. Les certificats LE pour synology.me sont wildcard, il faut le créer sur xxx.synology.me et ajouter *.xxx.synology.me sur le même certificat pour que tous tes reverse proxy, existent et à venir soient associés à ce certificat. Autre point, avec un certificat LE sur un nom de domaine synology.me, il n'y a pas besoin d'ouvrir le port 80 pour le renouvellement du certificat. Tu peux donc gérer et accéder à tout ton NAS avec uniquement le port 443 ouvert. Question sécurité c'est appréciable.

Je plussoie. La première manip n'avait qu'un seul but : pouvoir retrouver les données, les sauvegarder et refaire une installation neuve. Plusieurs raisons à cela : Le format des groupes est maintenant en BTRFS et sauf erreur, celui du1512+ est encore en ext4. De ce fait, vous ne pouvez pas bénéficier des avantages du BTRFS (instantanés, active backup, meilleure gestion de l'espace disque notamment pour Drive, etc...) Vous importez les limitations de taille maxi de volume du 1512 De nombreuses applications nécessitent le BTRFS pour pouvoir être chargées et utilisées Et par dessus tout ça, il y a la taille du dossier système qui a été modifiée dans les dernières versions de DSM pour passer de 2.3Go à 7.9Go. Il est impossible de la changer sans une réinstallation complète. L'ancienne partition fonctionne encore (avec quelques difficultés lors des mises à jour pour certains) mais il y a fort à parier que les prochaines versions majeures de DSM nécessiteront une partition étendue pour pouvoir être installées et fonctionner correctement. A vous de voir si vous voulez pleinement exploiter les capacités de votre nouveau NAS ou si vous voulez utiliser une Ferrari pour rouler sur des chemins forestiers. Si c'est ce que vous voulez, alors je vous recommande de vous tourner vers le support pour demander comment supprimer vos applications obsolètes.

Bonjour @Jeck Roy, Comme je l'ai dit dans mon précèdent post le montage des tes ancien disque issue du DS1512+ dans le nouveau nas c'est pour récupère les données et en Aucun cas faire une migration de nas. Car tu as trop d'écart entre les deux nas et tu risque d'être bloque pour certain application évolution, ce que tu es en train d'expérimenté. Dans ce cas il faut faire une installation de Zero. Pour cela il faut faire une sauvegarde des toutes les données avec Hyper backup dans ton cas voir ici https://kb.synology.com/fr-fr/DSM/tutorial/How_to_migrate_between_Synology_NAS_DSM_6_0_Hyper_Backup ensuite sortir els disque du nas et les formater ( supprimer les 3 partition présentes sur ceux-ci ). Puis remonter les donner les disque et faire la migration dans l'autre sens, voici les grandes lignes

Voir ici pour les détails de la configuration à utiliser : https://assistance.free.fr/articles/609

Raid 3 ou 4 (?) Quez a ko ! Et moi je pense que c'était du SHR - RAID5 et que c'en est toujours un avec un disque en panne qui a été sorti. @melanie.c.s, le disque que vous avez rajouté et qui a formé un groupe 2 ne fait que 2To et n'a pas la capacité suffisante pour pouvoir être incorporer au groupe 1. Il faut mettre un disque de capacité au moins équivalente au disque le plus petit du groupe pour pouvoir le réparer. Dans votre cas, il faut donc un 4To. P.S. : il y a des sections sur ce forum pour différents thèmes. Votre question n'a rien à voir avec l'accès aux données. Je déplace. Merci de vérifier où vous postez la prochaine fois.

Merci à vous @.Shad. et @CyberFr @CyberFr : il me semble m'être servi de ce tutoriel lors de l'achat de mon NAS il y a peu. Il était en favori dans mon navigateur en tout cas 😄 @.Shad. je me suis trompé, je viens de vérifier, j'ai bien choisi du RAID5 lors de la MES de mon NAS.

Oui il est bien vu Il fonctionne correctement mais avec beaucoup trop de lenteur Puis ça fini par apparaître C’est agaçant

Bonjour @Ch@rly, cherche pas c'est tes boitier CPL qui provoque ca. Si tu peux déplace ton nas près de la box et relie le à celle-ci avec un câble RJ45 cela devrait solutionner ton problème. Pour information les boitier CPL sont tributaire de ton installation électrique

Merci @Jeff777 ! Je ne dois pas réinstaller pour le moment mais je garde ton post sous le coude... Georges.

Bonjour et bienvenue à toi

Vu que c'est du HTTPS, si le certificat n'est pas valide (le nom du certificat ne correspond pas à l'url par exemple), il faut d'abord indiquer à chrome qu'on accepte le risque. Du coup, il faut d'abord ouvrir l'url du syno directement sur un nouveau onglet chrome : ca va afficher un message comme quoi le site n'est pas secure et il faudra cliquer sur le bouton "paramètre avancé" puis "continuer sur ce site (dangereux)"

Je ne m'étais pas intéressé à la chose, mais dernièrement mes disques étaient pleins à 86%. Je me suis dit qu'il serait bon de faire le ménage dans des dossiers et fichiers non utilisés avant de penser qu'il faudrait sans doute que je prenne des disques plus gros. Pour commencer le ménage, j'ai mis en place un vidage journalier des corbeilles automatique sur tous les fichiers de plus de 30 jours. Je pensais ainsi gagner quelques pourcents. Le lendemain, je n'en n'ai pas cru mes yeux : mon stockage est tombé à 57% ! J'ai d'abord cru que c'était une blague. Et puis non, toutes mes données étaient bien là, mais plus de 4 ans de remplissage de corbeille, ça pèse, et dans mon cas ça représente 30% de stockage. Du coup, plus besoin de supprimer quoi que ce soit, ni de changer mes disques. On a tendance à oublier combien les corbeilles peuvent tenir de la place !