Classement

Bonjour à tous, Nous allons voir dans ce tutoriel comment mettre en place rapidement un certificat Let's Encrypt avec la méthode acme.sh en utilisant l'api Ovh en Docker, si vous êtes rapide, en 10 minutes c'est en place. Pourquoi en docker ? Car je suis contre la pollution du DSM, des corruptions par update, mais aussi par simplicité et rapidité. 1) On commence par la création de clé d'api chez ovh : https://api.ovh.com/createToken/?GET=/domain/zone/mydomain.com/*&POST=/domain/zone/mydomain.com/*&PUT=/domain/zone/mydomain.com/*&GET=/domain/zone/mydomain.com&DELETE=/domain/zone/mydomain.com/record/* On remplit donc le formulaire, pour "Validity" (1) on choisit "Unlimited", pour "Rights" (2) on remplace dans les champs "mydomain.com" par le vôtre et dans "Restricted IPs" (3), on rajoute son IP afin qu'en cas de vol des clés, elles ne puissent être exploitées et votre domaine détourné. (NB : Si vous n'avez pas une IP fixe, on passe ce dernier point) On garde les clés retournées en résultat sous la main pour la suite. 2) Passons maintenant au docker : A) On commence par la création d'un dossier "Acme" dans le dossier docker. B) La création du fichier de config : On crée avec l'éditeur de texte du DSM (Codage UTF-8) le fichier "account.conf" à la racine de notre dossier "Acme" contenant : LOG_FILE="/acme.sh/acme.sh.log" LOG_LEVEL=1 AUTO_UPGRADE='1' #NO_TIMESTAMP=1 USER_PATH='/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin' SAVED_OVH_AK='XXXXXXX' SAVED_OVH_AS='XXXXXXX' SAVED_OVH_CK='XXXXXXX' DEFAULT_ACME_SERVER='https://acme-v02.api.letsencrypt.org/directory' On remplace dedans le contenu des 3 variables "SAVED_OVH_**" par nos clés obtenues précédemment par OVH. C) La création du docker : On va mettre un petit peu de code pour la création du docker et son actualisation journalière via le gestionnaire de tâche... Panneau de configuration / Planificateur de tâches / Créer / Tâche planifiée / Script défini par l'utilisateur Utilisateur : Root On programme pour une exécution par jour la nuit (5h c'est bien) Exécuter la commande : docker pull neilpang/acme.sh:latest docker stop Acme docker rm Acme docker image prune -f docker volume ls -qf dangling=true | xargs -r docker volume rm docker run -d --cpu-shares=10 --memory=134217728 --name=Acme -v /volume1/docker/Acme:/acme.sh:rw --restart unless-stopped neilpang/acme.sh:latest daemon On exécute manuellement la tâche une première fois pour la création du docker. C Bis) Le docker-compose.yml : version: "2.1" services: acme: cpu_shares: 10 mem_limit: 128M container_name: Acme network_mode: bridge labels: - com.centurylinklabs.watchtower.enable=true volumes: - /volume1/docker/Acme:/acme.sh:rw restart: unless-stopped image: neilpang/acme.sh:latest command: daemon D) Création du certificat : Avec le planificateur de tâche en exécution unique (cf point 2C) ou en ssh (root) en remplaçant "mydomain.com" : docker exec Acme sh -c "acme.sh --issue --keylength 4096 -d 'mydomain.com' -d '*.mydomain.com' --dns dns_ovh" Il n'y a rien à détailler pour expliquer cette commande, le keylenght peut être, on double la valeur par défaut qui est aujourd'hui considérée comme faible à 2048. /!\ Renouvellement automatique du certificat sans action de votre part 3) Installation des certificats : A) Importation manuel : Vos certificats seront disponibles directement dans filestation "docker/Acme/votredomaine" et ce qui nous intéresse dedans : Certificat : mydomain.com.cer Clé privée : mydomain.com.key Certificat intermédiaire : ca.cer On va maintenant faire leur import manuellement, dans "Panneau de configuration/Sécurité/Certificat". En cas d'import manuel, vous pouvez activer la notification mail, mais cette action se réalise toujours 1 mois avant expiration : https://github.com/acmesh-official/acme.sh/wiki/notify B) Déploiement automatique : NB : Faire un premier déploiement manuel avant le déploiement automatique, afin de bien le mettre par défaut et supprimer celui de synology par défaut. 1) Création d'un compte que l'on rajoutera dans le groupe admin, on lui mettra aucun acces à tous les dossiers et refuser à toutes les applications, on active pas la double authentification qui sera inutile. 2) On ré édite notre fichier "account.conf" créé au point 2B, on y rajoute : SAVED_SYNO_Scheme='http' SAVED_SYNO_Hostname='172.17.0.1' SAVED_SYNO_Port='5000' SAVED_SYNO_Username='nom utilisateur' SAVED_SYNO_Password='le password' SAVED_SYNO_DID='' SAVED_SYNO_Certificate='description du certificat mise dans le DSM' 3) Ensuite une fois les modifications faites, avec le planificateur de tâche en exécution unique (Cf point 2C) ou en ssh (root) : docker exec Acme sh -c "acme.sh --deploy -d 'mydomain.com' --deploy-hook synology_dsm" Guide officiel : https://github.com/acmesh-official/acme.sh/wiki/Synology-NAS-Guide Pour d'autres API que ovh : https://github.com/acmesh-official/acme.sh/wiki/dnsapi 😉

Non, ça n'a aucun rapport avec le port. C'est le NAS qui ajoute cette en-tête HTTP avant d'envoyer une requête à la Freebox. Il n'y a aucun intérêt à chiffrer les échanges entre le NAS et la Freebox, mais les deux fonctionnent (tcp/80 ou tcp/443). Je n'ai pas cherché à comprendre pourquoi la Freebox a un comportement différent en HTTP et en HTTPS, et ça ne m'intéresse pas. Orange faisait la même chose avec les Livebox v4 où il fallait l'en-tête Host: 192.168.1.1 pour y accéder, je ne sais pas si c'est le cas sur les modèles plus récents.

L'en-tête personnalisé sert uniquement à tromper la Freebox en lui faisant croire que le nom d'hôte mafreebox.freebox.fr a été utilisé pour l'atteindre. C'est pour contourner l'erreur que tu avais indiquée : Ça n'a rien à voir avec le port 80. Si le NAS n'est pas accessible en IPv6, ça ne peut pas fonctionner. Le pare-feu IPv6 des Freebox (hors Freebox Pro) est un honte : c'est un gros interrupteur qui bloque ou autorise tout le trafic IPv6. Il n'y aucun moyen de filtrer le trafic sans rajouter un pare-feu digne de ce nom derrière la Freebox.

Tu n'as que le port tcp/443 à ouvrir à destination du NAS sur la Freebox. Ensuite, tout se fait dans le proxy inversé. Par exemple : dsm.domain.synology.me > localhost:5000 freebox.domain.synology.me > 192.168.1.254:80 Si les restrictions d'accès du pare-feu ne sont pas suffisantes, je te conseille vivement de configurer des profils de contrôle d'accès dans le proxy inversé.

Si le port est bien ouvert sur la Freebox, ça ne vient pas de la Freebox. Je pencherais plutôt pour un blocage du port sortant depuis la connexion en Allemagne. Je ne connais aucune entreprise sérieuse qui laisse du trafic utilisateur sortir sur d'autres ports que les suivants (hors besoins exotiques) : HTTP (tcp/80) HTTPS/DoH (tcp/443) QUIC/DoQ (udp/443) D'où l'intérêt d'utiliser systématiquement le proxy inversé pour toutes les interfaces web (DSM inclus).

Le mieux est d'utiliser tcpdump : tcpdump -nq 'port (443 or 1234 or 5001)'Ça affiche le trafic en amont du pare-feu du NAS. Donc ça permet de savoir si le trafic parvient bien jusqu'au NAS, peu importe qu'il soit bloqué ou non par le pare-feu.

Les domaines ayant pour TLD .me sont souvent bloqués, il s'agit peut-être d'un blocage DNS de ton entreprise. Vérifie que la résolution de domaine.synology.me retourne bien ton adresse IP : > nslookup domaine.synology.meou > Resolve-DnsName domaine.synology.me Et aussi celui sur la sécurité : https://www.nas-forum.com/forum/topic/77493-tuto-pas-%C3%A0-pas-s%C3%A9curisation-du-nas-pour-dsm-7/

Bonjour Il faudrait revoir le tuto sur le reverse proxy. L'intérêt du reverse proxy est de limiter l'ouverture des ports. Seuls 443 doit être ouvert éventuellement 80 si tu n'as pas de redirection http vers https et quelques autres exceptions.

Mystérieusement cela a repris vers 4h ce matin. Je me demande si l'ip du vpn n'a pas été Blacklist chez eux. Tout est rentré dans l'ordre pour moi et Milles Merci d'avoir pris le temps de répondre

Bonjour, Je me trouve dans une situation qui me paraît ubuesque, je m'explique : Hier matin, je vois des messages provenant de mon Syno "Le système a détecté une panne d'alimentation anormale qui s'est produite sur Disque 2 dans Volume 1." Et ceci avec les disques 1, 2 et 4. Plusieurs dizaines de messages dans ma boîte mail. Je me connecte et j'ai une alerte me disant de lancer une vérification ce que je fais bien sûr le volume est encore accessible. Dans la matinée, je suis au boulot, mais plus de mails la vérification est en cours pour moi, au pire, je me dis que c'est peut-être un des disques qui est HS. À midi retour des mails, mais impossible de me connecter à distance sur mon NAS (message du style nas occupé connexion impossible). En rentrant, je vais sur le PC, je me connecte et la douche froide, j'arrive sur l'interface DSM un seul disque sur les 4 de reconnu. Je redémarre plusieurs fois, j'essaie de débrancher un disque, mais rien n'y fais. Pour préciser, j'ai 2 disques de 4 To et 2 disques de 12 To, aucun n'a été acheté en même temps pour éviter un problème sur un lot. J'ai un DS918+. Je me demande comment c'est possible d'avoir 3 disques qui lâche en même temps. Je lance cette bouteille à la mer si quelqu'un a une idée de ce qui a pu se passer et/ou de comment récupérer mes données ?

J'en suis conscient. Il n'y a pas de véritable justification autre que le "défi technique". 🙄 Avoir 8 ou 10Gbs de connexion fibre et n'utiliser qu'1Gbs, ça m'agace un peu. C'est comme avoir une voiture qui peut rouler à 300km/h et se limiter à 130 sur autoroute. Le 10Gbs c'est mon autobahn allemande ou ma sortie circuit😜

Comme je disais plus haut le répertoire « Image » n’existe pas, c’est le répertoire « Picture » qui existe physiquement ….

Bonsoir 🙂, Bon la solution n'a pas l'air simple ou bien le sujet n'inspire pas beaucoup ! Je me penche sur une solution dans le week-end. Si je trouve je poste la solution si cela peut servir. @+ tard.

Il y en a une, mais elle est intégrée dans MailPlus : https://kb.synology.com/fr-fr/DSM/help/DSmail/Android?version=7#b_18

Bonjour, Je me suis inscrit sur le forum il y a quelques années, et il me semble que je ne me suis jamais présenté. Mieux vaut tard que jamais, Lionel 38 ans, ingénieur informatique (depuis 18 ans environ). J'ai un vieux NAS 212J, depuis plus de 10 ans, dont je ne me sers plus et que je compte upgrader. Mon usage serait faire du stockage photo / video, mais également faire des labo via des machines virtuelles. Je fais également de la musique, donc ça me permettra de stocker également ce que je produis. A très vite. Cordialement,

je répond à mes questions 😁 j'ai installé une barrette de 2 Go et cela fonctionne. C'est aussi le max possible le TS-859 pro est un NAS ancien et ne supporte que la version QTS 4.2.6 build 20240618 Pas de virtualisation ni Container, uniquement disque pour VMware ESx @+

Désolé. C'est tellement simple que j'en suis confus. Pour personnaliser le bureau il faut aller avec Préférences d'affichage dans le menu Personnaliser sur le bureau. Pour le Synology Secure Signin, tout à coup cela a fonctionné sans que je comprenne pourquoi. Suite à cela j'ai désactivé l'option d'authentification 2FA pour ne plus rencontrer ce type de difficulté. J'ai totalement revu la configuration de mon NAS grâce aux tutos et j'ai l'impression que maintenant tout est en ordre.

J'abandonne. Ce n'est pas un forum de devinettes. Relisez vos demandes en vous mettant à la place de quelqu'un qui ne connaît pas votre installation votre système et votre besoin, c'est incompréhensible. Je ne suis pas devant votre écran ni dans votre tête. Ce que vous demandez relève à priori du tuto sur le reverse proxy et si vous avez des questions dessus c'est sur ce tuto qu'il faut les poser. Vous parlez d'Ubuntu. Ubuntu est un système d'exploitation qui tourne sur PC ou sur une VM. Ce n'est pas une application. Aussi, je ne comprends pas votre demande. Mais si vous n'êtes pas en mesure de clarifier ce que vous souhaitez faire, où se trouve la destination, etc.... on ne peut pas vous aider. Aussi, vous avez raison, je ne vais pas continuer à "chercher la petite bête" et je verrouille ce sujet car les réponses aux questions de départ ont été apportées.

J'ai demandé à ChatGPT son avis sur notre discussion : Ce que j’ai relevé de la discussion La discussion du forum “L’IA remplacera‑t‑elle les forums d’entraide ?” sur NAS‑Forum présente plusieurs points intéressants et bien formulés. Quelques idées exprimées : Un utilisateur (Jeff777) partage son expérience : il a posé un problème technique (sur DSM7.3 et ses paquets) à ChatGPT, a été surpris par la qualité de la réponse, et se demande si, à terme, on abandonnera les forums classiques pour résoudre les problèmes. NAS-Forum Un autre intervenant (church) distingue deux usages : l’IA pour les questions “factuelles” / techniques simples, et la communauté pour des solutions contextuelles poussées. NAS-Forum PiwiLAbruti fait remarquer que l’IA ne peut pas créer du contenu à partir de rien — elle s’appuie sur ce qui est déjà en ligne (ou du moins sur ce sur quoi elle a été entraînée) — et pose la question des limites pour les cas jamais rencontrés. NAS-Forum StéphanH rappelle que l’IA “ne sait rien” au sens de conscience, intuition, etc. Il nuance le pouvoir des IA. NAS-Forum On voit aussi des critiques : l’IA peut donner des réponses “plausibles mais fausses” et avec un certain aplomb (erreur sur des sujets techniques). NAS-Forum Enfin, la discussion amène des questionnements métaphysiques ou philosophiques : qu’est‑ce que “savoir” pour une IA, la place du “contact humain” dans l’entraide, etc. NAS-Forum Donc, la discussion est plutôt bien équilibrée : les partisans et les sceptiques ont la parole, et les arguments sont variés (techniques, philosophiques, pratiques). Mes réflexions / critique Je partage beaucoup des doutes exprimés, mais je vois aussi des opportunités fortes. Voici ce que je retiens — et ce que j’aimerais ajouter ou nuancer : Ce qui me paraît juste dans les arguments du forum Capacité de l’IA à donner des “réponses plausibles mais incorrectes” C’est un biais connu (les “hallucinations” : générer des assertions incorrectes). Surtout sur des cas très techniques, pointus ou récents, l’IA peut faire des erreurs crédibles. Limitation dans les cas inédits / très spécifiques Si personne n’a documenté un cas particulier (ou peu), l’IA aura du mal à générer une solution fiable. L’expérience humaine, l’intuition, le “retour de terrain”, c’est là que les utilisateurs experts brillent. Valeur de la communauté / expérience Un forum permet — en plus de la réponse — le témoignage, l’échange, la nuance, les astuces bâties sur l’expérience réelle. C’est souvent ce “petit plus” que l’IA ne peut pas remplacer facilement. L’IA comme complément, pas forcément suppression totale Le bon point soulevé : l’IA peut devenir un “super moteur” synthétisant la connaissance existante, tandis que les forums ou communautés subsisteraient pour les cas extrêmes, l’échange humain, la validation. Ce que la discussion omet ou minimise — ce que j’ajouterais L’évolution des IA dans le temps L’IA d’aujourd’hui est limitée, mais les modèles futurs pourraient être meilleurs pour des cas plus spécifiques, ou s’intégrer mieux avec des bases de données en temps réel, des systèmes de retour (feedback humain) pour corriger leurs erreurs. Donc certaines affirmations trop définitives (“jamais remplacera”) pourraient être réévaluées plus tard. La question des responsabilités / confiance Si on se repose trop sur l’IA, qui vérifie les réponses, qui corrige les erreurs ? Dans les forums, les utilisateurs alertent souvent sur des erreurs. Avec l’IA, il faudrait des systèmes de vérification, de traçabilité. L’accès à des sources privées / spécialisées Une IA “grand public” peut ne pas avoir accès (ou légalement ne pas pouvoir utiliser) à des bases de données payantes, des brevets, ou des documents internes d’entreprises, ce qui limite sa capacité pour certains problèmes techniques très spécialisés. Qualité des données d’entraînement, biais et “angle mort” L’IA est entraînée sur ce qu’elle a pu “voir” (textes, forums, articles). Si certains sujets sont mal documentés ou biaisés, l’IA sera moins performante dans ces domaines. Les forums spécialisés peuvent combler ce vide. Aspects sociaux, motivation, ego Faire partie d’une communauté, aider les autres, se sentir reconnu : ces dimensions humaines motivent les contributeurs de forums. L’IA ne “ressent” rien, ne s’investit pas. Si les humains cessent d’alimenter les forums, ces ressources se tariront. Mon verdict (pour l’instant) Je pense que, dans de nombreux cas, l’IA (et notamment les modèles de type ChatGPT) va remplacer certains usages “simples” des forums : trouver rapidement une solution à un problème courant, clarifier une notion, expliquer un paramètre. Mais remplacer complètement les forums d’entraide, je n’y crois pas — du moins pas dans un futur proche moyen. Les forums continueront d’avoir une valeur, particulièrement : pour les cas rares, complexes, spécifiques pour les retours d’expérience concrets pour l’aspect humain, le soutien social, l’échange entre passionnés pour vérifier, nuancer, critiquer les réponses données L’IA pourrait devenir un outil intégré aux forums : par exemple, proposer une réponse automatique référencée, puis laisser la communauté confirmer ou corriger. Ou servir de “première passe”, que les humains affinent.

La réponse est dans ce poste https://kb.synology.com/en-global/DSM/tutorial/How_do_I_protect_my_folders_in_the_quot_web_quot_shared_folder_from_unprivileged_access

Bon bah, l'intuition était la bonne, j'ai désactivé le Wake on Lane, plus de problème de latence sur la télé.