This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

Classement


Contenu populaire

Affichage du contenu avec la meilleure réputation depuis le 17/06/2009 dans toutes les zones

  1. 19 points
    Fenrir

    [TUTO] Sécuriser les accès à son nas

    Préambule L'objectif de ce tutoriel est de vous aider à correctement sécuriser votre boitier et en particulier les accès à ce dernier. Il ne s'agira pas ici d'un guide permettant d'avoir un haut niveau de sécurité (il n'y a pas de qu'il faut dans nos boitiers), mais simplement d'une énumération des différentes étapes permettant de limiter les risques à un seuil acceptable. Tous les points ne sont pas nécessairement à suivre, chacun est libre d'appliquer ou non ces recommandations, l'important étant de comprendre de quoi il s'agit. Voyez ce TUTO comme une liste de restrictions qu'il est possible de mettre en place, selon vos besoins, certains réglages pourront ne pas convenir. Comme depuis quelques années le terme NAS est de moins en moins compris par la plupart des utilisateurs et est détourné par les fabricants, un petit rappel s'impose. Un NAS (Network Attached Storage ou boîtier de stockage en réseau) est un système permettant de stocker des fichiers et d'y accéder via le réseau. C'est tout, terminé. Si nos boitiers ne faisaient que ça, ce tutoriel aurait eu un tout autre aspect (on aurait parlé de RAID, de TRIM, d’instantanés, d'onduleur, ...), mais on constate que sous cette appellation se trouvent de nombreuses fonctions qui n'ont rien à voir avec un NAS, ce sont des fonctionnalités de serveur (hébergement de site, streaming, messagerie, applications, ...) et un serveur a souvent vocation à être consulté depuis n'importe où (ou presque). Il faut donc en sécuriser les accès. Notes de lectures Je fais emploi de la première personne du singulier dans de nombreux points pour indiquer qu'il s'agit d'avis personnels Par soucis de compréhension, malgré son utilisation impropre, le terme NAS sera employé par la suite Plusieurs liens sont présents dans ce tutoriel, je vous invite à les consulter au fur et à mesure Je vous recommande fortement de lire ce tutoriel en entier une première fois avant de commencer à faire des modifications, puis de le reprendre étape par étape par la suite. De même, faites une sauvegarde de la configuration avant de commencer Afin de limiter le texte, vous trouverez de nombreuses copies d'écran avec les réglages que je recommande. Enfin, vous avez parfaitement le droit de ne pas être d'accord avec mes recommandations, n'hésitez pas en m'en faire part dans les commentaires. Sécurité ? La sécurité est un domaine très vaste en informatique et probablement celui qui revêt le plus d'aspects, mais force est de constater que c'est aussi le sujet le moins prioritaire pour la plupart des utilisateurs. Je vois 2 raisons à ça : les consommateurs sont de plus en plus en attente de produits simples et prêts à l'emploi dès le déballage hors de question de lire la documentation => erreur hors de question de se former (ou pire, d'être formé) => erreur et de toute manière on ne court aucun risque => erreur la sécurité est perçue comme une contrainte que des empêcheurs de tourner en rond essayent d'imposer c'est trop compliqué => ce point est souvent vrai ça fait perdre trop de temps => erreur et de toute manière on ne cours aucun risque (bis) => erreur Ces points ne sont que des exemples qui concernent à peine 95% des acheteurs de matériel informatique en tout genre. Il est probable que "vous" qui lirez ces lignes êtes dans les 5% restant. Faites votre possible pour convaincre les autres. Un constat assez curieux, c'est que dès qu'on parle de sécurité dans un domaine non informatique (chambre de bébé, maison, compte en banque, ...), la plupart des personnes sont réceptives si ce n'est volontaires, mais dès que ça touche à l’informatique, il n'y a plus personne pour écouter et surtout entendre. C'est un vrai problème car de nos jours, nos bébés sont sous vidéo-surveillance, nos enfants ont des ordinateurs (une tablette est un ordinateur, même si très limité), notre maison dispose d'une alarme connectée et nos comptes en banque sont accessibles de partout. Mais curieusement, les gens ne font pas le rapprochement . Sans oublier la meilleure des réponses - "Je n'ai rien à cacher". Quoi sécuriser ? Vous êtes maintenant convaincu que la sécurité est un point à ne pas négliger, y compris en informatique ? Que devez-vous sécuriser ? Comme indiqué plus haut, en informatique, la sécurité couvre de nombreux domaines, dans le cas de nos NAS/serveurs, il y a 3 principaux domaines sur lesquels on peut agir : sécurité des accès physique : je serais surpris que votre boitier se trouve sur votre pas de porte de même, je pense que votre nas est au sec reste à gérer la problématique des vols, ou pire, des enfants, mais c'est un autre sujet sécurité des données : 2 mots => sauvegarde + chiffrement sauvegarde : ayez toujours vos données sur au moins 2 supports distincts (nas+disque externe par exemple) chiffrement : si vous avez des données privées et/ou confidentielles, le chiffrement des partages est à envisager sécurité des accès distants : c'est le sujet qu'on va aborder dès maintenant Comment faire ? La plupart des réglages sont à faire dans le panneau de configuration, donc commencez par l'ouvrir : nb : certaines applications disposent aussi de paramètres liés à la sécurité, il ne faudra pas oublier d'aller les vérifier ######################################### "Il nous baratine sur plusieurs paragraphes à propos de la sécurité et voilà qu'il commence à parler d'heure ?" En informatique et plus particulièrement sur l'aspect sécurité, l'heure est un maillon essentiel. Une machine qui n'a pas un système horaire fiable va rencontrer un jour ou l'autre les problèmes suivants : problèmes de connexion : les systèmes d’authentification et de chiffrement utilisent l'heure dans les plupart des traitements problèmes de mise à jour : l'heure est une composante importante pour les tâches planifiées et la gestion des caches problèmes de sauvegarde : comment savoir ce qui a changé depuis la dernière sauvegarde si l'heure n'est pas fiable problèmes de diagnostic : si l'heure du système n'est pas fiable, celle des journaux (logs) ne le sera pas non plus Notez bien que je parle d'heure fiable, pas nécessairement d'heure juste. L'important n'est pas d'être à la bonne heure, mais que la pendule avance à la bonne vitesse et soit en accord avec celle des autres systèmes qui y sont connectés (en gros votre pc, les serveurs de Synology, ...). Vous avez donc le choix de mettre une heure fantaisiste à la condition d'aller régler les horloges de tous les autres équipements liés (par effet ricochet, vous allez devoir régler l'heure des satellites en orbite autour de Mars ...). Le plus simple reste d'être à l'heure juste à mon avis Ça se passe ici : Sélectionnez bien votre fuseau horaire et entrez l'adresse d'un serveur de temps fiable (vous en trouverez plusieurs ici) ou choisissez en un dans la liste proposée. Comme cette synchronisation va passer par Internet, il est recommandé de choisir un serveur de sa zone géographique (pool.ntp.org le fait tout seul) : Vous pouvez aussi activer la fonction de serveur NTP de votre boitier si vous souhaitez que vos autres équipements (vos caméras de surveillance par exemple) s'en servent comme horloge de référence : Il suffira alors de les configurer pour utiliser votre NAS comme serveur de temps (ça peut aussi être fait via le DHCP, options 004 et 042). ######################################### En sécurité, une des règles d'or consiste à réduire la surface d'attaque. Moins il y a des programmes qui tournent, mieux c'est. Accessoirement ça libérera des ressources (donc il sera plus rapide, il consommera moins et il chauffera moins). Dans cette section, n'activez que les services que vous utilisez. Si vous n'utilisez pas le FTP ou le NFS ou ... désactivez les. À noter que certains protocoles disposent d'options liées au chiffrement ou à la sécurité en générale, par exemple choisir SMB3 (dans Service de fichiers Windows) permet de chiffrer la communication en AES (pour Windows 8 et plus récent, les distributions GNU/Linux avec un noyau > 3.12 et les dernières versions de MacOS) : ######################################### On peut lire un peu partout qu'il faut renommer ou désactiver le compte admin car il sera attaqué. La recommandation est, partiellement, valable, mais la raison est mauvaise. C'est une bonne chose de créer un (ou plusieurs) compte(s) d'administrateur(s) et de ne pas utiliser (ni modifier) celui par défaut : s'il y a plusieurs personnes amenées à administrer un équipement ça permet une meilleure traçabilité, ça évite de devoir se refiler le mot de passe et ça permet de couper un administrateur en particulier si besoin sans impacter les autres si vous êtes seul à administrer votre équipement ça a au moins le mérite de laisser intact le compte par défaut La raison est mauvaise car les attaques ne s’arrêtent pas si le compte admin ne marche pas, elles s’arrêtent lorsque l'attaquant a testé tous les login/password de sa liste. Un autre point qui est souvent oublié c'est que le compte admin reste obligatoire pour certaines opérations avec les anciennes versions de DSM (inférieurs à DSM6.0). nb : certaines applications ne sont pleinement fonctionnelles qu'avec des droits d'administrateurs (ce n'est pas normal mais c'est comme ça) Nous allons donc créer un nouvel administrateur, mais un peu particulier : Choisissez un login explicite mais pas celui que vous utilisez tous les jours : Il faut bien entendu qu'il soit membre du groupes "administrators" : Ici je bloque les accès à tous les partages, certains vont penser que ça ne sert à rien puisqu'un membre du groupe "administrators" peut toujours se remettre les droits et c'est vrai. L'intérêt est que, si pour une raison ou une autre, ce compte arrive à accéder une des applications de gestion des fichiers (FileStation par exemple), il ne puisse pas faire grand-chose. nb : si vous utilisez PhotoStation, vous ne pourrez pas changer les droits de ce dossier, il faut le faire directement depuis les paramètres de l'application avec un compte administrateur On ne peut pas placer de quota sur un admin, donc on passe : Comme plusieurs protections valent mieux qu'une, on peut aussi bloquer l'accès à toutes les applications, mais dans ce cas, vous ne pourrez plus les administrer (c'est logique !). Personnellement je n'ai coupé l'administration que pour les applications qui sont accessibles depuis Internet en direct (chez moi la liste est courte, il n'y en a qu'une) et quand je veux administrer cette application (c'est rare), je me connecte avec cet administrateur, je lui donne les droits, je fais mon réglage et je retire les droits. À adapter en fonction de vos besoins (au début c'est très contraignant, mais une fois que le NAS est bien configuré, on n'y prête plus vraiment attention). Dans tous les cas, autorisez l'accès au "Bureau" à votre super admin afin de conserver l'accès au panneau de configuration : Avec un peu de parano, on peut aussi ralentir les opérations sur les fichiers pour décourager l'attaquant (ça vous demandera d'activer le contrôle du trafic) : Et on applique : Une fois notre administrateur créé, on vérifie qu'il fonctionne, donc on se déconnecte et on se reconnecte avec ce nouveau compte. Si ça fonctionne et qu'il accède bien au panneau de configuration comme un administrateur on peut continuer en spécifiant une politique pour les mots de passe. Un bon mot de passe c'est un mot de passe facile à retenir ou à retrouver de tête (donc pas sur un post-it) et relativement long. On lit souvent qu'il faut utiliser des caractères spéciaux car ça rend les mots de passe plus complexe. C'est vrai si ces 3 conditions sont réunies : les utilisateurs arrivent à s'en souvenir sans le noter les utilisateurs arrivent à le taper (clavier mobile, braille, étranger, ...) sa longueur est d'au moins 12 caractères Je trouve pour ma part qu'il est plus facile d'utiliser un long mot de passe avec des lettres, des chiffres et des majuscules qu'un mot de passe avec des caractères spéciaux. Pour ce qui est de la sécurité, imposer des caractères spéciaux à un mot de passe ne le complexifie que d'un "bit" en équivalent cryptographique. Ajouter 2 caractères "normaux" le complexifie de 11 bits. Pour un humain, deviner une chaine de 10 caractères spéciaux est très complexe, pour une machine c'est plus facile qu'une chaine de 10 caractères "normaux". Je ne dis pas qu'il ne faille pas inclure des caractères spéciaux, je recommande juste de ne pas l'imposer car ça facilite la vie des utilisateurs : En activant la vérification en 2 étapes, un assistant va se lancer, suivez le guide : Je recommande FreeOTP pour gérer vos jetons (il fonctionne aussi pour FaceBook, Google, ...) mais il existe d'autres applications similaires. Entrez le code généré par l'application (si votre NAS ou votre client ne sont pas à la même heure, ça échouera probablement) : Renseignez une adresse fiable et sécurisée ici : Et on valide : Encore une fois, on teste avant de continuer, donc on se déconnecte et on se reconnecte : Cette fois ci avec une étape supplémentaire : C'en est terminé de la création de notre administrateur, on peut maintenant couper celui par défaut : Arrivez ici vous allez penser que ce compte (monadmin) est inutilisable. C'est faux, c'est un compte d’administrateur qui peut effectuer toutes les tâches d'administration, il n'a pas besoin de voir des vidéos, d'envoyer des photos, ... Donc maintenant vous pouvez/devez créer des comptes "normaux" (sans les droits d'administration) et le compte d'administration sera réservé aux tâches d'administration. Je recommande aussi de créer des comptes utilitaires pour les besoins spécifiques. À titre d'exemple, sur mes NAS j'ai créé plusieurs comptes de ce type, dont : routeur (non admin) : ce compte sert à mon routeur pour exporter les modifications de configuration, il a juste le droit de faire du FTPs dans un dossier spécifique sauvegarde (admin) : ce compte est dédié aux tâches de sauvegardes, il a un mot de passe de 64 caractères (merci Keepass) En complément j'ai plusieurs comptes "normaux" pour l'utilisation au quotidien (ma famille et moi). Ça peut paraitre contraignant, mais normalement, enfin je l'espère pour vous, vous ne passez pas votre temps à faire des tâches d’administration sur votre NAS, donc vous ne devriez pas en avoir besoin souvent. Encore une fois il ne s'agit là que de recommandations, vous êtes libres d'utiliser le login admin avec le mot de passe "1234" pour consulter vos données privées depuis la Chine. ######################################### Ici on va aller vite, je déconseille d'activer ce service si on tient un tant soit peu à la sécurité. Pour informations, voici comme fonctionne QuickConnect : votre NAS établi un tunnel OpenVPN avec un serveur tiers loué par Synology (donc de fait, ils ont un accès direct au NAS s'ils le souhaitent) en parallèle il créé et met à jour un enregistrement DNS avec votre IP public (comme un DynDNS) lorsque vous entrez l'adresse QuickConnect de votre boitier, votre client va essayer de déterminer si vous pouvez vous connecter en direct si ce n'est pas le cas, votre trafic sera dirigé sur un serveur de Synology qui se chargera de router le trafic dans le tunnel du point 1 (donc ils peuvent voir tout ce qui passe) Le résultat est un trafic souvent très lent, relativement instable et difficile à maitriser. Néanmoins, si vous souhaitez conserver QuickConnect, pensez à limiter les applications accessibles, en particulier, n'autorisez pas DSM (en pratique l'accès à DSM on s'en fiche, ce qui est important dans un NAS ce sont les fichiers, mais bloquer l'accès aux fichiers sur un NAS limite grandement son utilité ...). ######################################### Il y a 3 sections dans ce menu : Cette section vous permet de configurer un service de DNS dynamique, c'est pratique pour ceux qui n'ont pas d'adresse IP fixe, rien de compliqué ici : Ne cliquez pas ici, ça fait partie des options que Synology devrait vraiment retirer de ses boitiers. C'est très dangereux du point de vue sécurité. Ça sert à ouvrir automatiquement des ports dans votre routeur/box, ça peut paraitre sympa comme ça mais en pratique c'est une faille de sécurité très importante. Là on entre en plein dans les comportements que je décrivais au début de ce tutoriel : les gens veulent du "clef en main" et la sécurité ça complique les choses ! 2 exemples pour essayer de vous convaincre : pour que cette fonction marche, votre routeur doit gérer l'UPnP, donc tous les équipements de votre réseau pourront faire de l'ouverture dynamique de port, le PC qui vient de se prendre un virus pourra automatiquement, sans la moindre notification, ouvrir un port permettant à un attaquant d'entrer dans votre réseau de même, si vous avez configuré des redirections de ports pour plusieurs équipements, ces redirections risquent de sauter si une requête UPnP demande le même port Un petit menu que beaucoup oublient de configurer, il n'est pas obligatoire et pas lié (pas directement du moins) à la sécurité mais ça permet d'éviter de chercher des heures la raison pour laquelle un lien de partage (par exemple) ne fonctionne pas. Attention, il faut vider ces champs si vous utilisez des noms de domaine ou des ports spécifiques (portail des application, reverse proxy, ...). nb : si vous avez changé les ports de DSM (directement ou via votre routeur), il faut l'indiquer ici ######################################### On ne peut pas parler d'accès distant sans parler d'IP, donc allons y : Du point de vue confort, fiabilité et sécurité, l'attribution dynamique (DHCP) est recommandée, néanmoins, certains services nécessitent d'avoir une adresse IP fixe (c'est le cas du DKIM avec MailServer mais aussi du serveur DHCP et quelques autres applications), donc à choisir en fonction de vos besoins. Si vous choisissez DHCP, fixez l'adresse dans votre serveur DHCP (votre box probablement), si vous choisissez l'IP en dur, prenez une IP en dehors de la plage DHCP. Pour l'IPv6, même si je ne devrais pas le dire (car l'IPv6 c'est bien), du point de vue sécurité je vous recommande de le désactiver pour le moment. Le problème ne vient pas de Synology (qui permet de régler le pare-feu en IPv6), c'est plus général (j'en parle ici). Une fois que vous aurez bien compris ce que ça implique, vous pourrez revenir l'activer. Merci de ne pas changer les ports par défaut, ça n'apporte presque rien du point de vue sécurité (on gagne moins d'une seconde face à un scanner) et ça complique les usages. Si vraiment vous souhaitez les changer depuis Internet, faites-le sur votre box ou avec un "reverse proxy". Je ne redirige pas automatiquement les connexions HTTP vers HTTPS car je n'expose pas DSM directement sur Internet (il y a un serveur VPN pour ça), mais si vous le faites, activez la redirection. Attention, j'ai pu constater qu'activer la redirection HTTP vers HTTPS cassait certains mécanismes, au moins le reverse proxy pour les applications de base (audio/download/file/surveillance/video - station). Si vous souhaitez profiter de la redirection sans casser le reverse proxy, le plus simple est de créer un petit fichier php à la racine de Webstation (/web/index.php) pour gérer cette redirection : <?php $http_host = $_SERVER['HTTP_HOST']; // 307 Temporary Redirect header("Location: https://$http_host",TRUE,307); exit; ?> Vous pouvez bien entendu adapter le script pour utiliser des ports différents si besoin. Pour la dernière option, l'HSTS, ne l'activez que si vous n'accédez jamais à votre NAS autrement qu'en HTTPS (c'est votre navigateur qui enregistrera cette information et il ne vous laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé). ######################################### J'ai pris les menus dans l'ordre (ou presque), donc la section "Sécurité" n'arrive que maintenant, pourtant tout ce que l'on a vu précédemment est aussi lié à la sécurité ... Ces réglages devraient convenir à la plupart des utilisateurs : Pour le pare-feu, même si votre NAS n'est pas exposé sur Internet, activez-le, ça ne coute presque rien en ressources et ça limitera la casse si un jour il est exposé (une box qui passe en bridge, une erreur de manipulation, ...). Vous pouvez laisser les notifications activées, mais ne vous en servez pas (ne cliquez pas sur le bouton OK lorsqu'elles apparaissent), utilisez-les simplement comme un rappel que vous avez tel ou tel port à ouvrir. Les règles de pare-feu ci-dessous seront valable chez pratiquement tout le monde, en toute rigueur, il ne faudrait autoriser que les adresses "fiables" sur des services précis, mais sauf à avoir des espions dans son réseau, ça ne devrait pas poser de problèmes. On va dire que c'est un compromis entre confort et sécurité. nb : si vous souhaitez faire de l'IPv6, pensez à ajouter les adresses locales (fe80::/10 et ff00::/8) Dans un premier temps, je vous recommande vivement de configurer votre pare feu avec les 4 règles ci-dessous, à l'identique !! nb : dans les 3 premières règles, il faut bien choisir "Sous-réseau" et pas "Hôte unique" ni "Plage d'IP" ici j'utilise uniquement la table "Toutes les interfaces" car c'est plus simple à gérer et suffisant pour la plupart des besoins, si vous souhaitez utiliser les règles par interfaces, lisez ceci Une fois ces 4 règles en place, vous pourrez ajouter les autres règles dont vous avez besoin (il faut les ajouter juste avant la dernière règle) si vous souhaitez que certains services de votre NAS soient accessibles depuis Internet. Les règles ci-dessus n'autorisent que les réseaux locaux et bloquent tout le trafic venant d'Internet. Voici un exemple plus complet qui n'est pas à reprendre aveuglement, c'est juste pour illustrer : En plus des réseaux locaux (ou privés), j'autorise les services suivants : ports TCP 80 et 443 depuis l'adresse 192.0.2.3 (il s'agit d'une adresse IP public d'exemple, ce n'est pas une adresse privée => https://tools.ietf.org/html/rfc5737) port UDP 1194 (OpenVPN) uniquement depuis la France ports UDP 500, 1701 et 4500 (L2TP/IPSec) uniquement depuis la France et les ports TCP 7000 et 7001 que j'ai associé à une application, autorisés depuis la France la Guyane française nb : les règles sont évaluées dans l'ordre, de haut en bas ps : si votre NAS est derrière une Box, il faudra aussi transférer (forward) les ports sur cette dernière Une recommandation, n'autorisez pas l'accès en direct à DSM (ports TCP 5000 et 5001 par défaut) depuis Internet mais servez vous du portail des applications (cf plus bas) pour limiter les accès aux seules applications nécessaires. Si vous devez administrer votre NAS depuis Internet, l'utilisation du Serveur VPN est vivement conseillée. Une petite case à cocher pour limiter les chances que votre boitier soit rendu inaccessible suite à un certain type d'attaque : A adapter selon vos interfaces connectées. Cette fonction bloquera les adresses IP des personnes ayants fait trop d'erreurs d'authentification (ça ne fonctionne qu'avec certaines applications, mais c'est déjà ça). nb : n'ajoutez pas d'adresses dans la liste des autorisations, si vous vous bloquez vous même, changez juste l'adresse de votre poste pour le débloquer ou attendez l'expiration du blocage Un peu plus haut on a parlé d'HTTPS, or qui dit HTTPS dit certificat. Ici on se heurte à un vrai problème du point de vue de la sécurité. Il est assez difficile de l'expliquer sans en faire des pages, mais pour faire simple, n'utilisez jamais un certificat auto-signé (comme celui installé par défaut dans la plupart des équipements). La solution la plus sécurisée consiste à créer votre propre autorité de certification et à émettre vous-même vos certificats. Cette méthode présente quelques avantages mais aussi quelques inconvénients : Avantages : vous n'avez pas à faire confiance à une entreprise que vous ne connaissez pas vous n'avez pas à payer cette entreprise pour vos certificats (même si avec LetsEncrypt et quelques autres entités, c'est gratuit) vous pouvez émettre autant de certificats que nécessaire vous pouvez choisir ce qu'ils acceptent (wildcard ou multi domaine par exemple) Inconvénients : vous devez savoir le faire vous devez installer votre autorité partout où vous l'utilisez (dans vos navigateurs, smartphones, ...) La solution recommandée est donc d'utiliser un certificat signé par une autorité reconnue en standard (Synology vous permet de créer un certificat signé par LetsEncrypt, c'est gratuit et ça marche assez bien). Dans un cas comme dans l'autre, supprimez le certificat installé par défaut. Enfin, la solution qui n'en est pas une consiste à accepter les avertissements de sécurité, en faisant ça, vous installez dans votre navigateur des certificats qui n'ont été validés par personne. C'est très dangereux mais il est assez difficile de vous expliquer pourquoi en quelques mots, gardez juste à l'esprit qu'accepter un certificat non reconnu peut permettre à un attaquant d'intercepter toutes vos communications vers le site de votre banque, même si ce dernier est protégé par un vrai certificat. ps : en passant, 2 modules pour Firefox que je recommande : Y U no validate et SSleuth Donc pour la plupart d'entre vous, le bon choix est de passer par l'assistant pour créer un certificat signé par LetsEncrypt (le port 80 doit être ouvert le temps de la génération du certificat et tous les 3 mois pour son renouvellement). N'activez jamais la compression HTTP (il y a une faille de sécurité dans ce protocole qui rend l'HTTPS inefficace) et utilisez les suites de chiffrement "moderne". ######################################### Un point important en sécurité consiste à être prévenu lorsqu’un problème survient. Le paramétrage des notifications est fait pour ça. Ici j'ai configuré les notifications par mail, mais vous pouvez utiliser les SMS (si vous avez un abonnement compatible comme FreeMobile) ou encore par Push (je déconseille ce mode car il est peu pratique à l'usage). Dans le dernier onglet, vous pouvez choisir le type de notification à activer pour la plupart des événements pouvant se produire. Au début cochez tout, puis en fonction de votre usage, vous pourrez décocher certaines notifications (chez moi j'ai désactivé les notifications pour les sauvegardes réussies). ######################################### Maintenir ses équipements à jour est un moyen assez simple de limiter les problèmes de sécurité. Je recommande de laisser le NAS détecter et télécharger les mises à jour automatiquement mais de ne pas le laisser les installer tout seul. Synology sort des mises à jour de bonne qualité en général, mais il arrive, surtout pour les mises à jour majeurs, que des problèmes surviennent (en clair, elles sont parfois boguées). Laissez le NAS vous prévenir qu'une mise à jour est disponible et renseignez-vous sur d'éventuels soucis de compatibilité avant de l'installer. nb : désactivez aussi les mises à jour automatique dans le Centre de paquets pour la même raison Parmi les actions à effectuer de temps en temps, surtout lorsque vous vous apprêtez à faire de gros changements (comme en suivant ce tutoriel), la sauvegarde de la configuration n'est pas à omettre. ps : pour information, le fichier de sauvegarde est une archive tar.xz contenant une base sqlite, il est donc possible de le consulter pour récupérer un élément de configuration précis Notez en passant que seuls certains paramètres sont sauvegardés, pensez à sauvegarder le reste d'une manière ou d'une autre : ps : cette sauvegarde de la configuration du NAS n'est pas à sauvegarder sur le NAS lui-même ######################################### Ici vous avez la possibilité de restreindre l'accès à certaines applications pour certains comptes. Par exemple si vous vous servez de votre NAS comme d'un système de dépose de fichiers pour des clients, via FileStation, il n'est pas nécessaire de leur laisser accès à vos vidéos de vacances avec VideoStation. De même il est peut être utile de limiter les accès à certaines machines. Sélectionnez une application et cliquez sur Modifier, la suite est assez explicite. ######################################### Par défaut la plupart des applications sont accessibles via DSM (ports 5000 et 5001) et l'adresse de votre nas, mais si vous souhaitez que seule telle ou telle application soit accessible depuis Internet, ou dispose d'une adresse spécifique ou écoute sur un port particulier, ou encore tout ça à la fois, c'est ici qu'il faut se rendre. Vous avez 2 menus : Applications : ça permet de configurer l'adresse et le port d'écoute de certaines applications Synology Proxy Inversé : ça permet de faire la même chose pour les autres applications ou faire des configurations plus avancées Ces options vous permettent, par exemple, de faire écouter les différentes applications sur des ports précis et ainsi, grâce au pare-feu, de limiter leurs accès aux seules adresses autorisées. Ci-dessous un exemple un peu plus complexe (la seconde partie n'est réalisable qu'avec du loopback ou si vous avez un DNS en interne ou qui gère les vues, j'en parle à la fin du tuto VPN) Dans un premier temps j'ai déclaré des ports spécifiques pour chacune des applications que j'utilise : => depuis un navigateur, si j'entre l'adresse de mon nas en précisant le port 7043 je tombe directement sur Audio Station J'ai ensuite configuré le Proxy inversé pour faire correspondre les différentes applications avec des noms de domaine différents mais sur un seul port (tcp 443/https). J'ai aussi créé une entrée pour une application non Synology (il s'agit ici d'un Docker) : => depuis DSAudio, j'entre l'adresse dsaudio.mon.domaine:443 nb : dans les applications mobiles, il ne faut pas oublier le numéro de port dans l'adresse pour que ça fonctionne de partout (en interne comme depuis Internet), sinon certaines d'entre elles essayent systématiquement de trouver une configuration QuickConnect (qui n'existe pas chez moi) ps : cette configuration ne fonctionnera pas si vous avez activé la redirection HTTP vers HTTPS de DSM (cf remarque un peu plus haut) ######################################### Même si vous n'avez pas l'intention de vous en servir, activez le SSH. En cas de problème d'accès à DSM, c'est souvent la seule manière de débloquer la situation sans devoir faire un reset du NAS. Par contre ne l'ouvrez pas depuis Internet, limitez son accès à votre seul réseau local. Et en passant, choisissez le mode de chiffrement le plus élevé : ######################################### Synology a eu la bonne idée (de mémoire avec DSM 5.2) d'ajouter l'application "Conseiller en sécurité". Cette application analyse certains fichiers et certains réglages de votre NAS afin de vous prévenir en cas d'anomalies. Elle ne va pas encore assez loin à mon gout, d'où ce tutoriel, mais c'est déjà pas mal. Globalement elle fait bien son travail, donc il serait dommage de s'en passer (n'oubliez pas de planifier une analyse régulière) : Néanmoins je ne suis pas d'accord avec 3 des recommandations de Synology, celles concernant les changements de ports, donc je les désactive (tout le reste devrait être activé) : Lancez l'analyse une première fois, si vous avez suivi mes recommandations, tout devrait être au vert.
  2. 19 points
    lolosam

    T411.al.dlm

    Version 1.0.8

    2 273 téléchargements

    Moteur de recherche T411.al pour Download Station : - Identification de l'utilisateur. - Limitation des recherches aux 500 premiers résultats. - Utilisation de l'API T411 en https (Merci à xes pour l'info) - Mise à jour du dlm développé par giov : Remplacement de t411.me par t411.io ; t411.io par t411.in ; t411.in par t411.ch ; t411.ch par t411.li ; t411.li par t411.ai ; t411.ai par t411.al ----- Procédure d'installation ----- 1 - Importer le module t411.dlm dans Download Station : Download Station -> Paramètres -> Recherche BT -> Ajouter 2 - Paramétrage des identifiants de connexion : Sélectionner la ligne "t411.al" puis cliquer sur "Modifier".
  3. 14 points
    warkx

    Fichier Host 1Fichier / Host File 1Fichier

    J'ai développé ce fichier host qui permettra à Download Station de télécharger sur 1fichier en gratuit et premium Il fonctionne avec les URL sous la forme http(s)://blabla.1fichier.com et http(s)://1fichier.com/?blabla Cliquez sur suivre ce sujet en haut à droite pour recevoir les notifications de mises à jours. Téléchargement module gratuit + premium 2.0.1 https://1fichier.com/?bht462waff 2.2 https://1fichier.com/?o5efxrcn5y 2.2.1 https://1fichier.com/?tao7iz27w3 2.4 https://1fichier.com/?0k8x5swylm 2.5 https://1fichier.com/?9hf3iuix1i 2.6 https://1fichier.com/?4073fzh6u6 2.7 https://1fichier.com/?crn251z11r 2.7.1 https://1fichier.com/?9vuldwduwh 2.7.3 https://1fichier.com/?bvk6o45nx0 2.8 https://1fichier.com/?ll3lw2aur9 2.8.1 https://1fichier.com/?kepc3qxn4p 2.8.2 https://1fichier.com/?64ycvwkjox 2.9 https://1fichier.com/?0egei1mkmd 3.2.5 https://1fichier.com/?07iuyct5dethfvtd32ha (Developpé par @badasss38) Changelogs 2.5 Authentification basique faite en PHP au lieu dêtre faite par le navigateur. Plus fiable. D'autres corrections sont faite dans cette version. 2.6 Fonctionne en gratuit avec les changements de code source sur 1fichier.com 2.7 Corrige une erreur de code pour les comptes premium par rapport à la 2.6 2.7.1 Optimisation du code + conversion en UTF8 (conseillé par synology) 2.7.3 Lorsqu'un compte est bloqué par 1fichier, le NAS télécharge comme ci l'utilisateur n'avait pas de compte. 2.8 Correction d'un bug lorsque l'on utilise un compte gratuit. (Avant cela n'utilisait pas le compte pour lancer le téléchargement). Fonctionne en premium avec le menu de téléchargement. (Je conseille toutefois de le laissé activé) 2.8.1 Prise en charge des comptes payant non premium 2.8.2 Corrige un bug d'attente dans download station 2.9 Fonctionne avec la maj fichier pour les gratuits + mode debug 3.2.5 Fonctionne avec les CDN, premium et gratuit (Developpé par @badasss38) Informations Avec DSM 5.1 le module n'attends pas entre les téléchargements. Vous pouvez activer le mode debug en ajoutant /debug à la fin de l'URL. Le log sera stocké dans /tmp/1fichier.log. Un reboot du nas supprime le log Comptes premium : Le Menu de téléchargement doit être désactivé dans les paramètres du compte sur 1fichier. Comptes gratuit : Si le nas est réglé sur plusieurs téléchargement en même temps et que vous téléchargez plusieurs fichiers à la fois sur 1fichier Mettez 1 lien 1fichier, attendez 10 secondes et mettez tous les autres d'un coup si vous le souhaitez. Le NAS lance tous les fichiers en même temps, cela veux dire que tous les fichiers peuvent etre téléchargé au moment ou le module fait le scan sur 1fichier, mais après le lancement du 1er fichier, les autres ne sont plus et les fichiers suivants peuvent planter. Ne vous trompez pas lors de l'ajout de votre compte / mot de passe sinon 1fichier peut vous bloquer durant 1 heure. Vous pouvez contribuer au développement et/ou aux mises à jours de mes modules sur Github https://github.com/warkx/Synology-DownloadStation-Hosts Installation Lisez la partie Informations Connectez vous sur votre NAS Synology Ouvrez Download Station Allez dans la partie paramètres Allez dans Hebergement de fichier Cliquez sur Ajouter et selectionnez votre fichier Host Une fois ajouté, cliquez sur modifier et ajouter votre compte si vous en avez un. Problèmes connus Si le module ne fonctionne pas, faites ces tests avant de poster Lisez la partie Informations Faites vos tests avec des liens différents. Supprimez le module, redémarrez votre NAS et remettez le. Vérifiez que vous avez bien la dernière version du module. (Essayez une version antérieure si la dernière version est boggué) Désactivez tous les autres modules, redémarrez votre NAS et réessayez. Faites vos tests sans extensions. Passer directement par Download Station. Si le module verrouille votre compte 1fichier Vous devez désactiver tous les téléchargements 1fichier qui ne sont pas en cours. Attendez que votre compte soit debloqué (1heure en général) et remettez votre compte / mot de passe sur le fichier host dans download station. Si les téléchargements sont trop lents : HTTPS doit être désactivé dans les paramètres du compte sur 1fichier. Par défaut il est activé. Les lenteurs de téléchargements ne viennent pas de ce module. Celui-ci ne fait qu'envoyer une URL à download station.
  4. 12 points
    Fenrir

    [TUTO] DNS Server

    Préambule L'objectif de ce tutoriel est de vous aider à mettre en place votre propre serveur DNS en interne (dans votre réseau local). Pour ce qui est de l’intérêt de disposer d'un serveur DNS en interne, voici quelques exemples : c'est plus fiable : vous n'êtes plus dépendant de la (non) fiabilité des DNS de votre opérateur (cf pannes d'Orange et de Free par exemple) c'est plus fiable (bis) : vous n'êtes plus soumis aux mensonges des DNS de votre opérateur (cf panne d'Orange et filtrage étatique) c'est plus rapide : grâce aux mécanismes de cache, vous ferez moins de requêtes DNS vers Internet c'est plus confortable : ça vous permet, par exemple, d'éviter de faire du loopback ou encore d'adresser vos équipements interne avec un nom au lieu d'une IP et enfin, ça vous permettra de remplacer une bonne partie des fonctions de QuickConnect (il faudra juste ouvrir les ports) et donc de couper ce dernier C'est surtout les 2 derniers points qui devrait vous intéresser car en remplaçant le loopback et Quickconnect vous gagnerez en sécurité, en fiabilité, en confort et en performances. Il ne s'agira pas d'un guide sur le protocole DNS, il y aurait beaucoup trop de choses à détailler (bien plus que sur mes précédents tuto combinés). Je vais donc prendre pas mal de libertés sur les termes employés afin de faciliter ma rédaction et votre compréhension. Pour la même raison, je serai assez avars en détails et en explications. Gardez juste à l'esprit qu'Internet repose sur 2 protocoles : BGP et DNS. Quand l'un des 2 attrape froid, tout Internet tombe malade (c'est déjà arrivé, y compris récemment). Si vous souhaitez gérer de A à Z vos DNS, renseignez-vous sur ces termes (c'est vraiment le strict minimum) : zone/resolver/XFER/glue/root/cache/split-horizon/pinpoint zone/DDNS/TTL/SOA/NS/A/AAAA/PTR/CNAME/TCP/UDP - et pour ceux qui s'intéressent à la sécurité : DNSSEC/DANE/HPKP/CAA. Petite précision tout de même, la notion de "sous-domaine" qu'on voit un peu partout n'existe pas. L'adresse www.nas-forum.com est un domaine au même titre que nas-forum.com. À la fin de ce tutoriel, vous aurez les éléments pour accéder à votre nas (ou à tout autre équipement) avec le même nom DNS que vous soyez chez vous, à distance via un VPN ou directement depuis Internet. Le DNS vous renverra à chaque fois la bonne adresse en fonction de votre emplacement. Mais je préfère vous avertir tout de suite, le DNS est un sujet bien plus complexe qu'il n'y parait. ###################################################################################### Notes de lecture Pour l'exemple, j'ai indiqué des valeurs fictives, il faudra donc les remplacer chez vous : fenrir.tuto : à remplacer par votre nom de domaine 192.168.0.2 : à remplacer par l'adresse IP privée de votre nas 192.0.2.3 : à remplacer par votre adresse IP publique (à ne pas confondre avec 192.168.x.y) www.fenrir.tuto : c'est un enregistrement d'exemple, vous pouvez en créer autant que nécessaire ns.registrar.externe : c'est le nom d'un serveur DNS qui fera office de serveur secondaire 1.2.3.4 : adresse IP d'un serveur qui fera office de serveur secondaire nb : les exemples sont en IPv4, mais le fonctionnement en IPv6 reste identique (il faut juste changer les adresses et remplacer les A par des AAAA). Ce tuto comporte 3 parties, par ordre croissant de difficulté : Cache DNS local : tout le monde devrait pouvoir y arriver en quelques cliques Zone DNS locale : cette partie devrait être abordable pour la plupart des utilisateurs Zone DNS publique : on change totalement d’échelle de difficulté ici, le principe est simple, mais la mise en œuvre peut être complexe Il n'y a aucune raison technique qui nécessite de faire la dernière partie, elle est là pour illustrer un peu plus le fonctionnement d'une architecture DNS, mais elle n'est en aucun cas nécessaire. Certains points ne seront pas abordés ou détaillés, mais il peut être utile, voir nécessaire de les mettre en œuvre, en particulier les zones de type "esclave" et inverses. Vous trouverez aussi pas mal d'informations complémentaires dans les commentaires, en particulier un retour très complet de @Mic13710 : --> cliquez ici <-- ###################################################################################### Pré requis Savoir faire des requêtes DNS, ça peut paraitre bateau dit comme ça, mais ce n'est pas aussi simple qu'un ping. Vous pouvez utiliser la commande "nslookup", elle est présente par défaut sur la plupart des systèmes (y compris les Synology). Je ne vais pas vous faire une doc, mais les 3 commandes importantes sont : demander les informations de zone : nslookup -querytype=SOA fenrir.tuto 192.168.0.2 demander la liste des serveurs de zone : nslookup -querytype=NS fenrir.tuto 192.168.0.2 demander la valeur d'un enregistrement : nslookup www.fenrir.tuto 192.168.0.2 Pour utiliser votre NAS comme serveur DNS, pour devrez modifier la configuration DNS de vos clients, le plus simple reste de le faire avec votre serveur DHCP, si vous utilisez une "box", ça ne sera surement pas possible, dans ce cas, utilisez le serveur DHCP du NAS (il est intégré par défaut dans tous les Synology depuis DSM 6.0 ou sous forme de paquet dans les versions précédentes). Si vous souhaitez héberger la résolution de votre domaine du point de vu d'Internet (donc être SOA et/ou NS), vous devez avoir une adresse IP fixe et disposer d'un second serveur DNS ailleurs. ###################################################################################### Cache DNS local Un cache DNS est un serveur DNS qui garde en mémoire les précédentes résolutions qu'il a du faire afin d'y répondre plus vite lors de nouvelles demandes. L'autre intérêt de disposer de son propre cache local et de s'affranchir des pannes et autres filtrages des serveurs DNS de votre opérateur Internet. Ce cache joue alors le rôle de "résolveur". C'est très rapide à mettre en place et ça consomme très peu de ressources, donc faites-le ! Commencez par installer et lancer le paquet DNS Server. Puis allez dans : Et configurez les options comme suit : nb : j'utilise les DNS de FDN comme "redirecteurs", car ils sont fiables et respectent votre vie privée (contrairement à ceux d'OpenDNS par exemple), mais vous êtes libre d'utiliser les serveurs de votre choix, voir aucun, votre serveur se chargera alors de l’ensemble des résolutions (ce n'est pas toujours très efficace). Il est primordial de cocher la case "Limiter le service IP source" et de bien configurer son contenu. Si vous ne le faites pas, tout le monde pourra utiliser votre serveur DNS pour résoudre n'importe quel enregistrement, votre NAS en souffrira et sera peut-être utilisé pour des attaques vers d'autres cibles. Dans la "Liste d'IP source", mettez ces adresses : Maintenant il faut tester que ce serveur fonctionne correctement, le plus simple reste de lui poser une question : nslookup nas-forum.com 192.168.0.2 Vous devriez obtenir une adresse IP (au moment de la rédaction de ce tuto, c'est 5.196.244.24). Si vous n'obtenez pas de réponse ("timeout" ou encore "No response from server") c'est que vous n'arrivez pas à contacter le serveur DNS, dans ce cas il faut vérifier qu'il est bien lancé, que c'est la bonne IP, que le firewall autorise bien le trafic ...) Si vous obtenez une réponse du type "Query refused" c'est qu'il y a bien un serveur DNS en face, mais qu'il refuse votre question, donc soit vous lui parlez mal, soit il n'est pas autorisé à vous répondre (cf "Liste d'IP source" juste au dessus) Si le serveur vous répond correctement, vous en avez terminé pour le cache DNS et vous disposez maintenant d'un résolveur DNS local utilisable par tous vos clients (y compris ceux en VPN). N'oubliez pas de modifier votre serveur DHCP pour qu'il renseigne vos clients sur l'adresse de votre serveur DNS. ###################################################################################### Zone DNS locale Une zone DNS est un fichier dans lequel sont inscrits les enregistrements DNS d'un domaine. Un des avantages d'une zone locale c'est qu'elle n'a pas besoin d'exister sur Internet. Un usage courant de ce type de zone est de s'en servir pour donner des noms à ses équipements, plus simple facile à retenir que des adresses IP. Vous pouvez par exemple créer une zone "maison", elle sera fonctionnelle dans votre réseau pour faire nas.maison, routeur.maison, ... Vous pouvez aussi créer un domaine enfant du premier (par exemple cam.maison qui contiendrait vos caméras IP, comme salon.cam.maison) et qui sera soumis à d'autres restrictions. Néanmoins, je vous déconseille fortement d'utiliser un nom de domaine que vous ne possédez pas car ça risque de créer des problèmes de sécurité. Préférez l'usage d'un domaine que vous possédez, si vous n'en avez pas ça ne coute que quelques euros par an (on en trouve à 1€/an), même si vous n'avez pas prévu de vous en servir sur Internet. nb : il ne faut jamais utiliser le suffixe ".local", même en interne Si vous ne souhaitez pas acheter un nom de domaine, vous pouvez utiliser sans risques les noms suivants : .test, .example, .invalid et .localhost Pour la suite, j'ai utilisé le gTLD .tuto car il n'est pas enregistré au moment de la rédaction de cet article, mais rien ne dit qu'il ne le sera pas quand vous lirez ces lignes. Allez dans : Puis "Créez" => "Zone master" : Et configurez-la comme suit : Pour la "Liste d'IP source", mettez ceci : Puis sélectionnez votre zone et faites "Modifier" => "Enregistrement de ressource" : Enfin, créez une (ou plusieurs) ressource(s) du type CNAME : Par exemple : Vous devriez obtenir ça : Le nom www.fenrir.tuto renverra l'adresse de ns.fenrir.tuto, donc l'adresse IP privée de votre nas. Voici un exemple plus complet : Il se lit comme suit : fenrir.tuto de type NS : cet enregistrement indique que le serveur de nom (NS) pour le domaine "fenrir.tuto" est ns.fenrir.tuto ici j'ai gardé le nom créé par Synology, ns.fenrir.tuto, mais si vous souhaitez que votre NS s’appelle ratatouille.fenrir.tuto, aucun soucis (il faudra juste modifier le type A correspondant) nas.fenrir.tuto : il s'agit d'un "alias" qui renvoi la même chose que ns.fenrir.tuto c'est plus parlant que ns pour un nas wordpress.fenrir.tuto : un autre alias pour l'utiliser avec WebStation (vhost) ou avec un reverse proxy tv.fenrir.tuto : j'ai donné un nom à la tv on se demande bien pourquoi faire ? mail.fenrir.tuto : adresse du serveur de messagerie pour vos utilisateurs c'est un type A (pas un alias) car c'est important pour les enregistrements MX ns.fenrir.tuto : l'adresse du serveur DNS (l'enregistrement de la première ligne) il doit toujours s'agir d'un type A fenrir.tuto : il indique l'adresse du serveur de messagerie pour les autres serveurs de messagerie un MX doit pointer sur un type A Vous pouvez voir que j'ai indiqué plusieurs enregistrements avec le même nom mais un type différent ou encore plusieurs noms différents qui pointent sur la même IP, c'est parfaitement valable et ne pose aucun problème si vous restez cohérents. J'aurai aussi pu mettre des IP publique pour "nommer" des ressources externes (par exemple donner un nom à un autre nas hébergé je ne sais où). Notez aussi que les TTL ne sont pas tous les mêmes. nb : avant d'aller plus loin, faites des tests avec "nslookup" pour vérifier que tout fonctionne correctement. C'est terminé pour cette zone, mais nous allons lui associer une vue pour plus de sécurité et de contrôle. ###################################################################################### Vue DNS locale Pour simplifier, considérez qu'une vue DNS est un mécanisme permettent de donner des réponses différentes en fonction de l'adresse des clients. Ça revient à peu près à disposer de plusieurs serveurs DNS au même endroit, mais avec des données et des droits différents. Nous allons créer une vue pour nos clients locaux (ou vpn), ce n'est pas une obligation, mais ça simplifiera les choses pour la suite tout en ajoutant un peu de sécurité. Allez dans : Puis "Créer" : Ici on va limiter cette vue aux seuls clients locaux (ou vpn). Enfin, on sélectionne les zones qui seront dans cette vue : nb : encore une fois, il faut tester que tout fonctionne avant de continuer. Voilà, vous avez maintenant un serveur DNS local pleinement fonctionnel pour les rôles de cache, de résolveur et de serveur de zone. Mais vous pouvez faire pleins d'autres choses, tout dépend de votre niveau de connaissances et de compétences comme par exemple du filtrage de contenu indésirable (pub, facebook, malware, ...), du MitM, un annuaire, ... nb : vous pouvez aussi créer une vue dédiée à vos clients VPN afin qu'ils puissent atteindre votre nas via son adresse en 10.x (cf tuto vpn) simplement en entrant un nom DNS, il faudra juste bien penser à le limiter aux adresses VPN (en 10.x). ###################################################################################### Zone DNS publique Jusqu'à présent on ne s'est occupé que de nos clients locaux ou VPN mais pour permettre à un client sur Internet de résoudre une adresse, il faut créer une zone publique. Ici vous avez 3 possibilités. Utiliser des serveurs sur Internet, généralement ceux de votre bureau d'enregistrement, en tant que SOA et NS, dans ce cas la suite n'est pas nécessaire. Utiliser des serveurs sur Internet, généralement ceux de votre bureau d'enregistrement, en tant que NS, mais vous êtes SOA, ça peut être assez complexe à faire Être à la fois serveur SOA et NS, c'est le choix de l'indépendance, mais c'est aussi le plus complexe à faire Ici je vais prendre l'exemple d'un auto hébergement complet, vous êtes donc SOA et NS pour votre domaine. À ne faire que si vous commencez à être bien à l'aise avec les DNS ou pour tester et apprendre. Cette opération n'est pas triviale et nécessite plusieurs prérequis, pas toujours accessibles, je recommande donc de choisir la première option, elle devrait convenir à la plupart d'entre vous. Le résultat sera le même du point de vue résolution, cette étape n'est en aucun cas obligatoire pour se passer de QuickConnect ou pour avoir des réponses différentes entre le LAN et Internet. nb : il faut une adresse IP fixe et un autre serveur DNS pour la suite, si ce n'est pas votre cas, ceci ne fonctionnera pas, ou mal. Allez dans : Puis "Créez" => "Zone master" : Et configurez-la comme suit : nb : 192.0.2.3 est une adresse publique (réservée pour les documentations), à ne pas confondre avec 192.168.x.y On garde le même nom de domaine, mais on déclare l'IP publique pour le serveur DNS principal, par contre on ne limite pas le service à certaines IP source. Vous devriez obtenir ceci : La nouvelle zone est nommée fenrir.tuto(2). On va devoir faire un peu plus de réglages pour qu'elle soit fonctionnelle : Ici on doit bien faire attention aux différentes valeurs (par exemple l'adresse mail doit exister, mais attention, elle sera visible de tous) : nb : les valeurs ci-dessous peuvent ne pas convenir à tous les usages, adaptez-les si besoin Ensuite on procède comme précédemment pour créer les ressources : Cette fois ci, www.fenrir.tuto renverra l'adresse IP publique de votre NAS. (edit) : ce n'est pas dans la capture, mais il faut aussi créer un enregistrement pour le "naked domain", le domaine lui même, ça doit être un type A Nom : fenrir.tuto Type : A TTL : à vous de voir Information : 192.0.2.3 Quelques remarques sur le TTL : Un TTL (Time To Live) est la durée de validité d'une ressource, passé ce délai, les serveurs DNS vont supprimer cette entrée de leurs caches si vous mettez une valeur trop petite, vous ne profiterez pas du cache si vous mettez une valeur trop grande, les modifications mettront du temps à se propager ne mettez JAMAIS la valeur 0 sous peine de ne plus jamais pouvoir corriger un enregistrement ou qu'il ne fonctionne pas (selon les implémentations, 0 peut être considéré comme invalide, donc l'enregistrement sera rejeté ou pire, il sera considéré comme n'expirant jamais) ###################################################################################### Vue DNS publique Comme pour la zone locale, nous allons associer une vue à cette zone publique, cette fois-ci destinée à nos clients Internet. Allez dans : Puis faites "Créer" : Et sélectionnez bien la zone publique : Vous devriez obtenir ceci : Les clients avec des adresses privées se verront proposer le contenu de la vue LAN, donc de la zone fenrir.tuto Les autres clients se verront proposer le contenu de la vue WAN, donc de la zone fenrir.tuto(2) Il faut maintenant permettre aux clients sur Internet d'accéder à votre serveur. Ouvrez l'interface de votre routeur pour créer 2 règles de redirection de port : port 53 en TCP vers votre nas port 53 en UDP vers votre nas Il faudra aussi autoriser ces ports dans le firewall de votre NAS. Vous avez maintenant votre zone publique, que tout le monde peut consulter, sauf que personne n'en connait l'adresse ! ###################################################################################### NS public Pour que votre serveur DNS, donc votre NAS, soit référencé, il faut le déclarer dans les serveurs de votre TLD (pour un .fr, c'est l'AFNIC). C'est à faire auprès de votre bureau d'enregistrement (probablement là où vous avez acheté votre domaine). C'est une opération administrative, qui est soumise à certains contrôles techniques. Donc avant de commencer, vous devez vérifier que votre zone publique est bien configurée. Le plus simple et de faire le test sur https://www.zonemaster.fr/ Choisissez l'option "Test d'un domaine non délégué" et remplissez les différents champs comme suit : Vous ne devez avoir aucune erreur (les avertissements ne devraient pas être bloquants), mais si vous avez suivi le tuto, vous allez en avoir au moins une : Une architecture DNS se doit de disposer d'au moins 2 serveurs de nom (NS) pour une zone donnée. Il vous faut donc configurer un autre serveur DNS qui contiendra les mêmes valeurs que celles présentent dans votre NAS (le serveur secondaire recevra les données depuis votre NAS). nb : un DNS secondaire (on parle plutôt d'esclave ou slave en anglais) est un serveur qui contient une copie du fichier de zone, il ne peut pas en modifier le contenu Le plus simple pour ça et d'utiliser les serveurs DNS de votre bureau d'enregistrement, certains permettent de faire DNS "secondaire". Si ce n'est pas le cas il faudra trouver un autre serveur DNS acceptant de jouer ce rôle pour votre zone. Si vous avez plusieurs adresses IP publiques, il vous suffit de monter un autre serveur derrière l'une des autres adresses Vous pouvez aussi demander à un ami ou à de la famille de le faire (enfin, vous allez devoir le faire pour eux ), s'ils ont un Synology vous savez déjà comment vous y prendre Si vous êtes coincés, je peux faire office de NS secondaire, au moins le temps de la mise en place de votre architecture (envoyez moi un MP pour en discuter) Vous avez donc 3 choses à faire : Autoriser un autre serveur DNS à se synchroniser sur votre NAS (transfert de zone) L'ajouter comme serveur NS de la zone Et lui indiquer l'adresse de votre NAS pour qu'il se mette à jour (on parle ici de quelques ko maximum à transférer) Rendez-vous dans Sélectionnez la zone publique : Puis cliquez sur "Modifier" => "Paramètres de zone" : Activez le transfert de zone : Et spécifiez les adresses des serveurs qui vont faire office de DNS secondaire : Une fois ceci fait, il faut déclarer ces serveurs comme NS dans votre zone (toujours la zone publique de votre NAS) : Indiquez l'adresse du serveur secondaire : Vous devriez avoir ceci : Et enfin, configurez votre DNS secondaire pour qu'il se synchronise avec votre SOA (votre NAS), il suffit de créer une zone de type "slave" et de lui indiquer les bons paramètres. Une fois tout ceci en place, refaites le test zonemaster en indiquant vos 2 serveurs NS (votre NAS et le DNS de votre prestataire/ami/...) : Idéalement vous devriez obtenir un résultat similaire à celui-ci : nb : jusqu'à présent, tout ce que vous avez configuré n'est valable que pour vous et n'a aucun impact pour le reste des utilisateurs sur Internet, si vous avez un doute, c'est le moment ou jamais de faire pause. Si et seulement si le test est concluant (pas d'erreur bloquante), il faudra vous rendre une dernière fois sur l'interface de votre bureau d'enregistrement afin d'y spécifier les adresses de vos serveurs NS. L'opération prend en général quelques jours pour être appliquée partout. nb : vous serez peut être amenés à déclarer un enregistrement de type GLUE pour que ns.fenrir.tuto soit reconnu et puisse fonctionner comme NS de la zone fenrir.tuto, le problème est assez simple, si vous ne le voyez pas, documentez-vous avant de continuer Dernière précision, les vues isolent les zones, c'est le principe, donc si vous voulez voir apparaitre un même enregistrement dans les différentes vues, il faut le créer dans les différentes zones (comme le www.fenrir.tuto de mon exemple).
  5. 12 points
    Fenrir

    [TUTO] VPN Server

    Préambule Le but de ce tutoriel est de vous aider à mettre en place un réseau privé virtuel (VPN) entre vous et votre NAS depuis Internet. nb : il ne s'agit pas ici de "masquer" votre adresse IP pour effectuer des opérations illicites ou de manière anonyme, l'adresse IP qui sera visible depuis Internet sera celle de votre NAS (ou de votre box) Si vous ne savez pas ce qu'est vraiment un VPN, vous devriez vous renseigner avant de lire la suite. Mais comme peu de personnes feront cette démarche, en voici une description très approximative : c'est un ensemble de techniques permettant de relier 2 équipements réseau, par exemple votre PC et votre NAS généralement, il fonctionne au dessus du protocole IP et peut donc passer par Internet le tout saupoudré de diverses techniques de chiffrement (plus ou moins efficace) =>on peut donc voir ça comme un très grand câble réseau avec des barbelés autour À quoi cela peut-il servir ? Quelques exemples : Accéder de manière sécurisée à votre NAS et/ou à d'autres équipements de votre réseau local depuis Internet par exemple aux services d'administration du nas (DSM, ssh, ...) aux caméras IP à l'alarme de la maison connecter 2 nas distants entre eux ... Accéder à Internet en passant par votre connexion Internet lorsque que vous êtes en déplacement pour profiter de l'antipub que vous avez installé à la maison (par exemple avec le proxy du nas) pour surfer de manière plus "privée", ce qui est très utile dans certains pays où la notion de vie privée est pire qu'en France (ça existe, croyez moi) ou en cas d'utilisation d'un réseau "inconnu" (les HotSpot WIFI sont souvent plein d'indiscrets) à passer outre certaines restrictions en entreprise (il ne s'agit pas de faire n'importe quoi non plus, respectez les règlements intérieurs) ... ###################################################################################### À lire avant d'aller plus loin Le fait de passer par un VPN n'est pas un gage de sécurité en soit. L'utilisation d'une connexion VPN en entreprise peut mener lieu à des sanctions disciplinaires L'utilisation d'une connexion VPN peut être passible de prison (voir pire) dans certains pays (Chine, Corée du Nord, Émirats arabes unis, Iran, Russie, Turquie ...) Si la sécurité générale de votre NAS est mauvaise, ne faites pas de VPN, ça ne fera qu'augmenter les risques (vous trouverez un tuto ici) ###################################################################################### Le VPN par Synology Ce guide est valable pour les versions DSM5.0 à DSM 6.1, mais en fonction des mise à jour de Synology, certaines options peuvent évoluer. Synology fourni un paquet qui installe tout le nécessaire pour créer son serveur VPN à la maison : VPN Server Il existe de nombreux types de tunnel, plus ou moins simples à mettre en place et plus ou moins sécurisés. Le paquet VPN Server en propose 3 (en pratique il y en a 4, on le verra plus tard) : PPTP : créé par Microsoft, ce protocole souffre de nombreux problèmes de sécurité et ne devrait plus être utilisé authentification client : login + mot de passe avantages : simple à configurer et disponible sur la plupart des clients mais il tend à disparaitre (il n'est plus disponible sur iOS 10 par exemple) inconvénients : chiffrement très faible et facile à attaquer OpenVPN : c'est un tunnel SSL, libre, très souple et sécurisé authentification client : certificat + login + mot de passe avantages : chiffrement fort et possibilité de choisir le port et le protocole inconvénient : rarement supporté par défaut (mais il existe des clients pour tous les systèmes) L2TP/IPSec : il s'agit de 2 protocoles normalisés, imbriqués l'un dans l'autre, c'est un ancien standard encore très répandu authentification : secret partagé + login + mot de passe avantages : c'est un standard bien sécurisé supporté par tous les clients ou presque inconvénients : plus complexe à comprendre donc souvent mal configuré Il est généralement plus simple de se limiter au L2TP/IPSec car il est en standard sur tous les clients (Android, iOS, Linux, MacOS, Windows, ...) et souvent autorisé dans les pare-feu. nb : les descriptions précédentes correspondent à la manière dont Synology a implémenté les protocoles, pas à ce qu'ils savent faire (on peut allez beaucoup plus loin avec OpenVPN et L2TP/IPSec, comme utiliser des certificats clients, de l'OTP, ...) ###################################################################################### Prérequis La première chose à faire avant de rendre tout ou partie de votre NAS accessible depuis Internet (indépendamment du VPN), c'est la sécurisation de votre NAS. Il existe de nombreux posts sur ce sujet et même un tuto, mais le minimum devrait être : Protection DOS, blocage auto et pare-feu correctement configurés et activés (un exemple est présent plus bas pour le pare-feu) Aucun compte avec un mot de passe faible sur le NAS : minimum 12 caractères avec MAJUSCULES, minuscules, chiffres et si possible des caractères spéciaux "Configuration du routeur" désactivée, il ne faut surtout pas utiliser cette fonctionnalité des Synology, c'est une faille de sécurité Configuration de la box correcte (pas de DMZ ni d'UPnP autorisé) Ensuite vous devez savoir comment transférer des ports de votre routeur vers votre NAS (on dit couramment : forwarder des ports). Enfin, il vous faut quelques notions réseau de base (adresse IP, adresse réseau, port, route, NAT et DNS), elles ne sont pas toutes nécessaires pour configurer le serveur VPN, mais indispensable pour bien comprendre ce qu'on fait et comment ça fonctionne (je suis certain que beaucoup vont sauter ce point, pensant bien connaitre ces notions, la plupart se trompent). ###################################################################################### Installation du paquet VPN Server Dans le Centre des paquets, on cherche le paquet VPN Server et on l'installe. => À la fin de l'installation, vous aurez probablement une "Notification du pare-feu". De manière générale, il vaut mieux ne pas utiliser ce système de notification et créer les règles manuellement, mais si vous préférez utiliser ce système, décochez le port 1723 (PPTP) comme ci-dessous : Que vous utilisiez ou non cet assistant, allez dans la configuration du pare-feu et affinez les règles (pour limiter l'accès à certains pays par exemple). Un point important qui risque d’empêcher le VPN de fonctionner correctement chez certains utilisateurs (@Vinky) : il faut autoriser la connexion VPN et le trafic VPN. Si vous n'autorisez que les ports du VPN mais pas le trafic réseau qui va passer dans le tunnel, ça ne fonctionnera pas. Votre client et le nas diront - "Connecté" - mais vous n'aurez accès à rien. Gardez en tête que se connecter à un VPN c'est comme brancher un câble réseau (le VPN c'est le câble), si vous n'autorisez pas le trafic dans le câble, ça ne sert pas à grand chose. Voici un exemple de configuration du pare-feu Synology, il devrait fonctionner chez presque tout le monde (au moins en France) : tous les réseaux privés (donc qui ne peuvent pas venir d'Internet) sont autorisés : même si vous changez d'opérateur, les règles resteront valables ça permet aussi d'autoriser le trafic du tunnel VPN (par défaut il s'agit de réseaux en 10.x.0.x) les ports des protocoles VPN dont on a besoin sont autorisés : si vous n'utiliser pas OpenVPN, inutile d'ouvrir le port udp 1194 (idem pour L2TP/IPsec) on limite l'accès aux pays dont on a besoin (pas la peine de laisser toute la planète tenter de se connecter à votre nas) Notez bien qu'ici il s'agit des règles de la section "Toutes les interfaces", si vous utilisez des règles par interface il faudra adapter. nb : je vous recommande fortement de créer les 3 premières règles et la dernière à l'identique, ça ne posera aucun problème de sécurité chez 99% d'entre vous (pour le 1% restant on peut en discuter) ###################################################################################### Configuration globale Au lancement de VPN Server, cet écran apparait : Comme pour la plupart des applications Synology, l'écran est divisé en 2 avec la liste des rubriques à gauche. On commence par aller dans "Paramètres généraux" : Interface réseau : si votre NAS a plusieurs connexions réseau, il faut choisir celle qui convient, la plupart des utilisateurs pourront laisser le choix par défaut Type de compte : Utilisateurs locaux - sauf si vous avez intégré votre NAS à un annuaire (AD/LDAP) Accorder le privilège VPN aux utilisateurs locaux nouvellement ajoutés : il ne faut pas cocher cette case Blocage auto : il doit être activé, sinon il faut le faire avant de continuer => Puis dans "Privilèges" vous pouvez choisir les utilisateurs qui pourront utiliser tel ou tel type de tunnel VPN. Par défaut tout est autorisé pour tout le monde, ce qui n'est probablement pas une bonne idée. Dans l'exemple ci-dessous, certains utilisateurs peuvent utiliser plusieurs types de tunnel en fonction des besoins et des contraintes (un pare-feu d'entreprise qui ne laisse pas passer l'un ou l'autre des VPN par exemple). D'autres comptes n'ont tout simplement pas le droit pas se connecter en VPN. Ensuite on peut configurer les différents types de tunnel VPN en fonction des besoins. ###################################################################################### Serveur PPTP Ça va aller vite => il ne faut pas s'en servir Il est encore plus fiable et plus sûr de se connecter directement à son NAS en HTTP (même sans le s). ###################################################################################### Serveur OpenVPN Avant de rentrer dans la configuration, un petit mot sur OpenVPN. Il s'agit d'un projet libre et OpenSource de serveur VPN SSL/TLS, il utilise donc un certificat (et quelques autres mécanismes) pour chiffrer la communication, d'une manière très similaire à ce qui est fait par un site en HTTPS. Ce mode de fonctionnement lui permet une grande souplesse de configuration. À titre d'exemple, on peut le configurer pour écouter sur le le port TCP 443, comme le ferait un serveur HTTPS. Cette possibilité peut être utile si les ports standards sont fermés par un pare-feu. On peut aussi l'utiliser à travers un serveur proxy. Néanmoins, et cela est valable pour tous les protocoles : un bon équipement réseau sera toujours capable de faire la différence entre une connexion normale et une connexion VPN il est nettement plus efficace (en terme de débit et de stabilité) d'utiliser le protocole UDP Commencez par activer le serveur OpenVPN, vous pouvez laisser tous les réglages par défaut sauf éventuellement le cadre rouge : Par défaut le serveur ne vous laisse accéder qu'au NAS. Si vous cochez cette case, vos clients VPN pourront aussi accéder aux autre ressources de votre réseau (une imprimante réseau par exemple, un autre nas, ...) mais leur accès à Internet passera aussi par le nas. C'est à activer en connaissance de cause. Vous pouvez aussi ajuster les options de chiffrement et d'authentification, les options de la capture ci-dessus sont un compromis entre sécurité/performances et compatibilité (testé avec le client officiel sous Windows et Android). Votre NAS sera directement accessible à l'adresse 10.8.0.1. Cliquez sur "Appliquer" pour obtenir une petite notification : Comme indiqué ici, il faudra autoriser et transférer le port UDP 1194 sur votre routeur ou votre MachinBOX. Une fois la configuration terminée et enregistrée, vous devez cliquer sur "Exporter la configuration" pour obtenir les certificats et le fichier de configuration des clients. Sauvegardez le zip et ouvrez le, il contient 4 fichiers : README.txt : ce fichier contient les instructions de configuration pour Windows et MAC openvpn.ovpn : c'est le fichier de configuration qu'il faudra importer dans votre client OpenVPN ca.crt : c'est l'autorité de certification racine utilisée par OpenVPN (c'est la même que pour votre nas) ca_bundle.crt : en général c'est la même chose, mais si vous utilisez une sous autorité, il contient la chaine complète de certification nb : dans les versions récentes du paquet, le certificat est directement inclus dans le fichier .ovpn. Comme indiqué dans le README.txt, il faut éditer le fichier de configuration avant de l'importer, les lignes importantes sont : remote YOUR_SERVER_IP 1194 il faut remplacer YOUR_SERVER_IP par l'adresse IP publique utilisée pour joindre votre nas (c'est probablement votre IP publique) même si c'est déconseillé, vous pouvez spécifier un nom de domaine à la place de l'adresse IP #redirect-gateway def1 selon que vous avez ou non coché la case entourée de rouge (cf plus haut), il faut enlever ou laisser le caractère de commentaire (le #) en début de ligne #dhcp-option DNS DNS_IP_ADDRESS si vous n'avez pas dé-commenté l'option précédente, dans certaines conditions particulière, il faut préciser l'adresse d'un serveur DNS accessible depuis le client (@titis14) Notez la ligne "ca ca_bundle.crt", elle indique où trouver le certificat par rapport au fichier de configuration (par défaut il s'attend à tout avoir au même endroit, laissez comme ça c'est plus simple). nb : dans les versions récentes du paquet, le certificat est directement inclus dans le fichier .ovpn. Enregistrez le fichier et copiez le avec le fichier ca_bundle.crt sur tous vos clients (c'est le même fichier et le même certificat pour tous vos clients). C'est terminé pour la configuration du serveur OpenVPN, normalement les étapes se résument à : activer le serveur OpenVPN exporter un zip modifier la configuration pour ajouter votre adresse IP autoriser le port UDP 1194 sur le NAS ouvrir et transférer le port UDP 1194 sur le routeur ###################################################################################### Serveur L2TP/IPSec En préambule vous avez pu lire que L2TP/IPSec était un standard mais était aussi complexe. Rassurez vous, la configuration est en réalité très simple. Il faut simplement ne pas suivre une des indications de Synology ! Une petite précision avant d'aller plus loin. L2TP/IPSec englobe 2 protocoles de tunnel. On peut le lire autrement, L2TP sur IPSec ou plus clairement L2TP dans IPSec. En pratique, votre client va créer un tunnel sécurisé par IPSec et créer un tunnel L2TP à l'intérieur. IPSec : c'est ce protocole qui assure le chiffrement de votre communication L2TP : il se contente de gérer l'authentification et de transporter les données, mais sans rien chiffrer (c'est important pour la suite) Commencez par activer le serveur L2TP/IPSec, vous pouvez laisser tous réglages par défaut sauf le cadre rouge : Il faut créer et confirmer la clef pré-partagée. Cette clef va servir de mot de passe secret entre votre client et votre serveur pour authentifier les 2 extrémités. Utilisez une clef assez robuste (pas moins de 16 caractères) et ne la perdez pas (KeePass est parfait pour ça et plein d'autres choses). nb : le secret partagé ne doit contenir que des caractères ASCII, mais avec le jeu des langues et des claviers, mieux vaut se limiter aux caractères alpha numériques (a-z A-Z 0-9) nb : par défaut c'est le serveur DNS configuré dans votre NAS qui est utilisé, mais vous pouvez le changer si besoin (attention, certains clients n'en tiennent pas compte) En passant, notez l'adresse IP en haut : 10.2.0.0 Ici ça sera l'adresse du serveur VPN (ils auraient pu faire pareil qu'avec OpenVPN, mais non), votre NAS sera donc directement accessible à cette adresse. Dans le cas présent, votre NAS sera aussi accessible avec son adresse habituelle car, par défaut, tout le trafic de votre client pourra passer dans le tunnel L2TP/IPSec (il n'y a d’ailleurs pas d'option pour ça), ça dépend du client (c'est généralement le cas par défaut sous Android, iOS et Windows mais pas avec MacOS). Cliquez sur Appliquer pour obtenir une petite notification, mais attention, il y a une erreur : Il faut bien ouvrir le port UDP 1701 sur votre NAS s'il est derrière un routeur, mais il ne faut pas l'ouvrir ni le transférer sur votre routeur. Si vous ouvrez ce port sur votre routeur, vous autorisez les connexions L2TP direct. Le soucis est que certains clients testent plusieurs protocoles (iOS et Windows 10 par exemple), selon la priorité de leurs tests, s'ils voient le L2TP d'ouvert, il vont tenter de s'y connecter sans monter le tunnel IPSec. Du point de vue du client ça fonctionne et c'est rapide, mais en pratique, il n'y a aucun chiffrement de la connexion. Si vous êtes connecté en filaire sur un réseau de confiance, ce n'est pas forcement trop grave, mais si vous voulez accéder à votre NAS depuis un HotSpot, sachez que TOUT ce que vous ferez sera en clair et lisible par n'importe qui. Un pirate pourra facilement (vraiment très facilement, environ 10sec de travail) espionner votre trafic (donc vos mots de passe), se connecter à votre PC, à votre nas et à tout ce qu'il y a derrière. Il est donc important de ne pas ouvrir ni transférer le L2TP (UDP 1701) sur votre routeur. Par contre il doit être autorisé sur le NAS. Pour ceux qui n'ont pas suivi : on interdit le port sur le routeur mais on l'autorise sur le nas =>comment le client peut il atteindre le nas par ce port ? Rappelez vous, L2TP est dans le tunnel IPSec, donc votre routeur ne verra pas le L2TP passer, mais votre NAS oui. C'est terminé pour la configuration du serveur L2TP/IPSec, normalement les étapes se résument à : activer le serveur L2TP/IPSec créer un secret pré-partagé autoriser les ports UDP 500, 1701 et 4500 sur le NAS ouvrir et transférer les ports UDP 500 et 4500 sur le routeur ou la MachinBOX nb : en L2TP/IPSec, il n'est pas possible d'avoir plusieurs clients connectés en même temps s'ils sont derrière le même routeur NAT ###################################################################################### Compatibilité des clients OpenVPN : Android : aucun soucis iOS : non testé Linux : aucun soucis MacOS : aucun soucis avec El Capitan (pas testé avec Sierra) Synology : aucun soucis (merci @StéphanH) Windows : aucun soucis L2TP/IPSec : Android : ça peut ne pas fonctionner certaines versions récentes d'Android, mais c'est simple à corriger iOS : iOS 9 et 10 aucun soucis Linux : aucun soucis MacOS : aucun soucis Synology : aucun soucis Windows : ça peut ne pas fonctionner selon le type de réseau (si le NAS n'a pas d'adresse public), mais c'est simple à corriger ###################################################################################### Notes communes sur les clients Si votre client vous demande de renseigner une adresse de serveur, c'est l'adresse Internet de votre box qu'il faut saisir. Dans certains cas on peut utiliser un nom DNS, mais ce n'est pas recommandé. Si vous avez configuré votre client pour ne pas envoyer tout le trafic vers le VPN, votre NAS ne sera pas accessible depuis son adresse habituelle (192.168.x.x en général). Il faudra donc utiliser l'adresse de terminaison (celle en 10.x.x.x). Si vous avez configuré votre client pour envoyer tout le trafic vers le VPN, votre NAS sera accessible depuis son adresse habituelle (192.168.x.x en général) et votre client sera vu avec l'adresse de votre NAS depuis le reste de votre réseau (le NAS fait routeur+NAT). ###################################################################################### Configuration des clients OpenVPN Android : OpenVPN Connect Configuration : après l'import du certificat, vous aurez peut être une notification de sécurité iOS : OpenVPN Connect Configuration : rien de particulier Linux : utilisez apt/dnf/emerge/yum/zipper ou les sources (si vous utilisez network manager, network-manager-openvpn-gnome est sympa) Configuration : rien de particulier MacOS : OpenVPN Connect Configuration : parfois il faut jouer avec les routes pour que ça fonctionne Synology : Configuration : ne cochez pas la 2ème case (Use default gateway on remote network) sauf si vous savez ce que vous faites Windows : OpenVPN Configuration : rien de particulier L2TP/IPSec Android : Configuration : (cliquez pour zoomer) par défaut tout le trafic passera par le VPN mais vous pouvez ajouter des routes pour changer ce comportement dans les options avancées avec certaines versions d'Android, il faut modifier le fichier /var/packages/VPNCenter/etc/l2tp/ipsec.conf sur le NAS et remplacer sha2_truncbug=no par sha2_truncbug=yes, puis on relance le paquet (merci @CoolRaoul) iOS : Configuration : (cliquez pour zoomer) (merci @StéphanH) par défaut tout le trafic passera par le VPN, la case "Tout envoyer" permet de changer ce comportement Linux : il existe plein de clients mais j'ai une préférence pour strongswan Configuration : rien de particulier MacOS : Configuration : Il faut créer un nouvel adaptateur dans Préférences Système -> Réseau : Dans Avancé, la case entourée en rouge permet de choisir ce qu'on envoi dans le VPN (dernière capture) Synology : Configuration : Il faut créer un nouveau profil réseau dans les paramètres : Sur le 3ème écran, ne cochez pas la première case sauf si vous savez ce que vous faites Vos 2 nas pourront alors discuter entre eux directement en utilisant les adresses de terminaison en 10.2.0.x (pour faire une sauvegarde distante par exemple) Windows : Configuration : Commencez par créer la connexion VPN avec le Wizard Sous Windows 10 il ressemble à ça : ou à ça (selon par où vous passez) Que vous soyez sous Windows 7, 8 ou 10, ça va vous créer un nouvel adaptateur réseau sur lequel vous pourrez modifier les paramètres comme suit si besoin : Si votre NAS est derrière un routeur-NAT (une box par exemple), il faut créer la valeur de registre suivante : https://support.microsoft.com/en-us/kb/926179 Clef : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent Valeur DWORD32 : AssumeUDPEncapsulationContextOnSendRule Donnée de la valeur : 2 et on reboot le PC ###################################################################################### Configuration des routeurs La première chose à faire consiste à s'assurer que l'adresse IP de votre NAS ne change pas, vous avez 2 manières de procéder : la bonne : vous configurez votre DHCP (celui de la box par exemple) pour qu'il attribut toujours la même adresse au NAS (association MAC ADDRESS <-> adresse IP) la mauvaise : vous entrez une IP fixe dans la configuration réseau de votre nas Voici à quoi devrait ressembler les redirections de ports dans votre routeur dans le cas d'un VPN L2TP/IPSec, à chaque fois il faut bien renseigner l'adresse IP locale de votre nas : Freebox V5 : accessible depuis l'interface Free (merci @Mic13710) Ma Freebox->Configurer mon routeur Freebox->Redirections Livebox 4 : accessible depuis l'interface de la box (merci @StéphanH) configuration avancée->NAT/PAT EdgeRouter : vous avez plusieurs manières de faire, ici c'est la méthode pour les débutants (non recommandé) : sélectionnez bien votre interface WAN (celle connectée à Internet) : autres modèles : consultez la documentation de votre routeur, ça devrait être similaire aux exemples ci-dessus ###################################################################################### Que faire si ça ne marche pas ? La première chose à faire est de relire attentivement le tutoriel, en entier, tous les problèmes rencontrés jusqu'à présent pas les autres utilisateurs ont été traités à un endroit ou à un autre (j'actualise le post de temps en temps). Les erreurs classiques sont : mauvaises règles de pare-feu erreur de login/password erreur de secret partagé N'hésitez pas à repartir de zéro (supprimez la configuration et recommencez). Vérifiez aussi l'adresse IP public de votre connexion, avec certains FAI elle change régulièrement, même chose si vous avez utilisé un nom DNS, il faut vérifier qu'il est valide. Si vraiment vous êtes certains que tout est bon de votre coté, regardez les journaux sur le Synology, ils sont dans /var/log/auth.log Pour L2TP/IPSec vous pouvez aussi activer le debug dans le fichier /var/packages/VPNCenter/etc/l2tp/ipsec.conf : il faut dé-commenter les instructions : plutodebug=all plutostderrlog=/var/log/pluto.log puis on relance le paquet (synoservice --restart pkgctl-VPNCenter) les détails de la connexion seront visibles dans /var/log/pluto.log pensez à désactiver le debug après avoir trouvé le problème Si la connexion n’aboutit toujours pas, il faut vérifier que le VPN est bien autorisé entre le client et le serveur. Il est possible qu'un pare-feu ou que votre FAI (voir votre box) bloque ce trafic. Le plus simple pour le vérifier est de faire une capture de trames sur le Synology (à faire en root) : tcpdump -n -q "udp dst port 500 or udp dst port 4500 or udp dst port 1194" si vous ne voyez pas de trafic sur les port 500 et 4500 ou 1194 (pour OpenVPN), il y a un filtrage entre le client et votre nas Vous pouvez aussi tester avec un autre client, une autre connexion Internet, un autre nas (demandez à des amis par exemple, ça sera l'occasion de leur montrer comment ça fonctionne). ###################################################################################### Utilisation avancée En plus des paramètres présentés ci-dessus, vous pouvez faire plusieurs ajustements coté client et serveur afin de mieux correspondre à vos besoins. Pour la suite, il faut avoir un minimum de notions en réseau (minimum ne veut pas forcement dire la même chose pour tout le monde, cf Prérequis). Les points présentés ici ne sont pas limités au VPN et peuvent être utilisés dans un cadre plus général. Les tables de routage En réseau, une route c'est simplement l'itinéraire que doivent emprunter les paquets pour aller du point A au point B. Comme une route pour les voitures. Pour voir les différentes routes configurées sur votre système, "la table de routage", une commande à retenir : netstat -nr Vous connaissez tous la "route par défaut/Passerelle par défaut". Elle est matérialisée dans la table de routage de votre équipement par quelque chose ressemblant à ça : Windows : 0.0.0.0 0.0.0.0 <adresse de votre routeur> <adresse de l'interface> <métrique> le reste du monde : 0.0.0.0 <adresse de votre routeur> 0.0.0.0 UG 0 0 0 <nom de l'interface> Les 2 séries de 0.0.0.0 au début servent à définir l'adresse du réseau de destination (respectivement l'adresse de destination et le masque de sous réseau). Ce qui donne donc 0.0.0.0/0.0.0.0 ou encore 0.0.0.0/0. Pour information, l'adresse d'un réseau s'obtient en multipliant (en binaire) une adresse par son masque (ici c'est facile, ça donne 0 partout). Maintenant à quoi ça sert de savoir ça ? On a vu plus haut qu'on avait 2 types de configuration pour le trafic : tout doit passer par le VPN ou seulement le trafic entre le client et le serveur VPN (ici le nas). Si vous souhaitez, par exemple, que tout le trafic à destination d'Internet passe en direct (pas par le VPN) mais que tout le trafic à destination des adresses de votre réseau local passe par le VPN, vous devez le dire à votre client. Donc il faut créer des routes. Pour la suite, on va considérer que votre réseau est configuré comme suit : adresse de votre réseau : 192.168.0.0/24 (/24 ça veut dire 255.255.255.0) adresse de votre NAS : 192.168.0.2/24 adresse de terminaison VPN de votre NAS : 10.2.0.0 (il n'y a pas de masque ici, c'est normal) adresse d'un site Internet accessible uniquement depuis chez vous : 1.1.1.1/32 Si vous souhaitez pouvoir accéder à votre NAS, une imprimante IP, une caméra de surveillance, ... via le VPN, vous avez 2 possibilités : vous définissez la connexion VPN comme itinéraire par défaut : c'est simple mais tout le trafic passera par là, avec une connexion fibre à la maison ce n'est pas trop grave, mais en ADSL c'est lent vous spécifiez que tout le trafic à destination de votre réseau local, mais pas le reste, doit passer par le VPN => il faut ajouter une route dans la configuration de votre client Android : c'est à faire dans la configuration de la connexion VPN (tout en bas dans les paramètres de la connexion) iOS : ce n'est pas possible sauf en jailbreak Linux/MacOS : ip route add 192.168.0.0/24 via 10.2.0.0 Windows : route add 192.168.0.0 mask 255.255.255.0 10.2.0.0 Et pour le fameux site privé sur Internet ? C'est la même chose. Android : c'est à faire dans la configuration de la connexion VPN (tout en bas dans les paramètres de la connexion) iOS : ce n'est pas possible sauf en jailbreak Linux/MacOS : ip route add 1.1.1.1/32 via 10.2.0.0 Windows : route add 1.1.1.1 mask 255.255.255.255 10.2.0.0 Ici on a ajouté des routes en indiquant au système d'envoyer les paquet à 10.2.0.0, à lui de trouver la meilleur interface réseau à utiliser. On peut le faire différemment, au lieu de spécifier une adresse de routeur (10.2.0.0), on peut indiquer au système de passer par une interface bien précise (ici ça serait l'interface de VPN). Petite précision, avec des routes on défini un itinéraire, il est tout à fait possible de définir plusieurs étapes sur cet itinéraire, on peut par exemple indiquer : pour aller sur 192.168.1.0/24 il faut passer par 192.168.0.1 pour aller sur 192.168.0.1/32 il faut passer par 10.2.0.0 =>votre paquet empruntera donc le chemin suivant : [client]-------[10.2.0.0-192.168.0.2]-------[192.168.0.1-XXXXX]---????---[192.168.1.0/24] Ça c'est la théorie, pour la mise en pratique il existe plusieurs manière de gérer tout ça et de l'automatiser. À titre personnel j'utilise des scripts pour me connecter/déconnecter du VPN, j'ai donc ajouté les commandes de gestion des routes dans ces scripts (et plein d'autre choses mais ce n'est pas le sujet). Par exemple : Linux : #!/bin/sh nmcli con up id <id de connexion dans network-manager> #avec OpenVPN c'est : openvpn /fichier/de/conf.ovpn #on ajoute les routes ip route add 192.168.0.0/24 dev <nom de l'interface vpn> exit 0 Windows : rem "il faut remplacer VPN1 par le nom de l'interface VPN" rasdial "VPN1" rem "il faut remplacer XX par le numéro de l'interface VPN" route add 192.168.0.0 mask 255.255.255.0 10.2.0.0 IF XX @PiwiLAbruti a une autre approche (techniquement plus propre que la mienne), vous la trouverez ici : vpn-route.ps1 En version courte, il demande au système (via les taches planifiées) d'exécuter ses commandes de gestion de routes lorsqu'il détecte que l'interface VPN se connecte/déconnecte. Les enregistrements DNS Pour vous connecter à votre nas, la plupart d'entre vous font ceci (pour simplifier on va oublier l'https, le netbios, le changement de ports ... car ça n'a aucune importance pour la suite) : à la maison : http://192.168.0.2:5000 depuis Internet : http://<nom de domaine>:5000 via le VPN : http://10.2.0.0:5000 (ou http://192.168.0.2:5000 en fonction de vos routes) Personnellement je fais ceci : à la maison : http://<nom de domaine>:5000 depuis Internet : http://<nom de domaine>:5000 via le VPN : http://<nom de domaine>:5000 (peu importe mes routes) Je trouve ça légèrement plus simple Vous avez plusieurs méthodes pour arriver à ce résultat mais je ne vais en présenter qu'une, par contre comme c'est très long à expliquer en détails (mais simple à faire), je vais fortement abréger.. Le plus propre et de loin le plus efficace c'est de configurer votre serveur DNS pour gérer les "vues" (view) : vous demandez simplement à BIND de donner la bonne réponse en fonction de l'adresse IP du client : si le client a une IP qui vient d'Internet on renvoi l'adresse de la box si le client a une IP qui vient du LAN on renvoi l'adresse du NAS si le client a une IP qui vient du VPN on renvoi l'adresse de terminaison du NAS Tout ce qu'il reste à faire c'est d'indiquer au client d'utiliser votre serveur DNS : à la maison : via votre DHCP depuis Internet : rien à faire normalement via le vpn : en le configurant comme indiqué plus haut Vous trouverez plus de détails dans le [TUTO] DNS Server. En creusant un peu, vous trouverez d'autres techniques (loopback, cascade DNS, LLA, prerouting iptables, ...), mais aucune n'est aussi efficace du point de vue des performances et de la souplesse. La MTU et le MSS Clamping Si vous ne savez pas de quoi je parle, passez votre chemin, vous allez faire de la casse. D'ailleurs je ne vais pas en parler pour éviter les accidents, c'est juste un mémo pour rappeler aux utilisateurs les plus avancés que ces paramètres peuvent être configurés et ne doivent pas être négligés du point de vue des performances, surtout en IPv6 (même si la théorie voudrait que ça soit mieux géré en IPv6).
  6. 8 points
    lamplis

    T411.ai.dlm

    Version 1.07

    1 576 téléchargements

    Moteur de recherche T411.ai pour Download Station : - Identification de l'utilisateur. - Limitation des recherches aux 500 premiers résultats. - Utilisation de l'API T411. - Mise à jour du dlm développé par giov et modifié par lolosam : Remplacement de t411.me par t411.io t411.io par t411.in t411.in t411.ch par t411.li t411.li par t411.ai ----- Procédure d'installation ----- 1 - Importer le module t411.ai.dlm dans Download Station : Download Station -> Paramètres -> Recherche BT -> Ajouter 2 - Paramétrage des identifiants de connexion : Sélectionner la ligne "t411.ai" puis cliquer sur "Modifier".
  7. 8 points
    Didiou

    CpasBien.dlm

    Version 1.4

    1 667 téléchargements

    - CPasbien n'est apparemment plus mis à jour depuis décembre et la recherche ne fonctionne plus... pourtant pas d'annonce de mort mais voilà.... à voir si ça reviendra ! [18.01.2017] - Forçage en .cm car le .io est redirigé sur un autre site [24.11.2016] - CPasBien est passé en .cm / Encore fonctionnel pour moi, je vérifierai de temps en temps si la redirection tombe afin de modifier... [23.02.2016] - Reprise de la version 1.2 et changement avec le nouveau nom de domaine en .io [04.11.2015] Tous les droits vont aux créateurs originaux...
  8. 8 points
    Zegorax

    Mail Server & Web Server - Configuration De A

    Maintenant, la partie MailServer ! Celle que vous attendiez tous avec impatience ! (Ou pas ? ) Lancez le gestionnaire de paquets. Dans la barre de recherche (Chez moi en haut à gauche), tapez "MailServer" : Ne pouvant pas le désinstaller, je vous ai fait une capture d'écran lorsqu'il l'est déjà. Donc cliquez dessus, et installez le. Une fois installé, démarrez-le et ouvrez-le. Vous arriverez ici : Bien sûr, votre graphe sera vide. Allez dans l'onglet SMTP : Vous allez arriver sur la page de configuration. Cochez la case "Activer SMTP", vérifiez que le type de compte soit réglé sur "Utilisateurs Locaux" La case "Le nom de l'expéditeur et le nom de connexion doivent être identiques" doit aussi être cochée. Mettez votre nom de domaine dans la boîte "Nom de domaine" (Logique non ? La vie est bien faite quand même ) et cliquez sur "OK" pour valider : Maintenant rendez-vous dans la section IMAP / POP3. Faites les réglages conformes à la capture d'écran ci-dessous : C'est tout vous pensez ? Quand il y en a plus, y'en a encore ! Et oui, maintenant, il vous faut ouvrir les ports 25, 143, 993 et (Le sera pour le WebMail que nous verrons après) de votre routeur et les rediriger sur le Synology pour que les mails puissent passer. Nous allons maintenant passer à une étape EXTRÊMEMENT importante ! Votre adresse IP, jeune, joviale, et DYNAMIQUE, est pour le moment considérée comme spam sur l'ensemble des infrastructures réseaux dans le monde entier (La pauvre ) C'est pourquoi nous allons la débloquer grâce à SpamHaus. SpamHaus est utilisé dans le monde entier pour répertorier les adresses IP spammeuse. Donc rendez vous sur http://www.spamhaus.org/lookup/ et entrez votre adresse IP dans la boîte au centre. Si elle est bloquée, vous serez prié de suivre conformément les instructions mises à disposition. ATTENTION : SpamHaus va vous demander une adresse mail. Mettez celle que vous avez configurée sur le Synology ! Maintenant vous allez me dire : C'est bien beau... Mais comment je crée des adresses Mail ? C'est tout simple ! Il vous suffit de créer un utilisateur dans les paramètres du Synology et l'adresse sera automatiquement créée avec le même mot de passe ! Maintenant nous allons installer un WebMail (Oui on a presque fini, vous serez bientôt le maître du monde !) Tout d'abord, activez les services Web dans les paramètres du Synology. Ouvrez le panneau de configuration, et sélectionnez "Services Web". Une fois dedans, cochez la case "Activer WebStation" (Je ne vous fais pas de captures d'écran, car étant sous DSM 5.0, le menu a changé) Ensuite, cliquez sur "Hôtes Virtuels" : Vous verrez ensuite une fenêtre. Cliquez sur "Créer" et mettez la même configuration que moi (Vérifiez que vous avez bien ouvert le port dans votre routeur) : Si vous voulez installer un WebMail, il faudra l'installer dans le dossier "webmail" qui se trouvera normalement dans : Un lecteur partagé doit s'être créé lors de l'activation des services Web. Il se situe à la racine du Synology, en tant que dossier partagé. À l'intérieur se trouvera le dossier "webmail". Si il n'y est pas, refaites l'étape de la configuration des Hôtes Virtuel. Maintenant, lancez encore une fois le Centre de Paquets. Tapez "WebStation" dans la barre de recherche. Premier le premier paquet : Une fois installé, vous pourrez vous rendre sur http://votrenomdedomaine/mail. Ou http://IPDUSYNOLOGY/mail Pour vous logger : Utilisateur : utilisateur (sans le @nomdedomaine !) Et votre mot de passe Pour ajouter un sous domaine, il vous faudra ajouter des enregistrements de type "A" partout. C'est-à-dire dans CloudFlare, et dans le DNS Server ! Maintenant, votre serveur est prêt à envoyer et recevoir des mails ! Nous allons maintenant tester. Créez-vous une adresse autre, de type Gmail. Envoyez-vous un mail à vous-même et regarder si ça passe ! Effectuez aussi le test dans l'autre sens. MIRACLE ! Ça marche ! Si c'est le cas, c'est que vous avez bien suivi ce tutoriel ! Vous pouvez être fier de vous et maintenant allez vous la péter devant vos copains pour leur dire "Je sais configurer un serveur Mail Synology !" En tout cas, je vous remercie de m'avoir lu, en espérant que ça vous sera utile pour la suite ! N'oubliez pas qu'un petit "J'aime" fait toujours plaisir Vous avez encore des problèmes ? Postez sur le forum et avertissez-en moi en MP, je vous répondrai le plus tôt possible Cordialement, Zegorax
  9. 7 points
    Bonjour, Je vois encore trop de personnes cherchant de l'aide sur l'utilisation de leurs adresses IP pour se connecter à leurs serveurs à distance ou pour partager des données. Je vais donc vous expliquer ci-dessous pourquoi je vous recommande vivement de prendre un nom de domaine. D'abord, on va casser le mythe tout de suite, un nom de domaine, c'est pas cher quand on prend en compte qu'on vient de dépenser pas mal d'argent dans un NAS et des disques durs ainsi qu'un onduleur et un moyen de sauvegarde. Le site OVH (français) par exemple, propose sa propre extension (.ovh) pour moins de 4 euros par an. Je paie moins de 10 euros par an pour un .fr chez eux par exemple. Il existe beaucoup de "registrar" mais je recommande toujours OVH parce qu'il est français, fiable et qu'il permet de travailler avec une IP dynamique via un service DDNS. Il propose aussi différentes API qui peuvent plaire à certains. J'utilise par exemple une API OVH pour la validation de mes certificats Wildcard de Let's Encrypt. Pourquoi ne pas utiliser Quickconnect ? Vous pourriez le lire assez souvent sur le forum, nous ne conseillons pas du tout la fonction QuickConnect intégrée au NAS Synology et en voici les raisons principales. Tout le trafic lié à votre NAS passe par des serveurs tiers. La qualité de connexion et de transit des données est lié au bon fonctionnement des serveurs tiers or on constate régulièrement chez les membres qui utilisent QuickConnect que ça ne fonctionne pas si bien que ça. C'est souvent très lent quand ça fonctionne. On ne contrôle absolument pas ce moyen de connexion et de communication. Adresse IP fixe et adresse IP dynamique : Une adresse IP, c'est un peu comme votre numéro de sécurité sociale. Elle est liée à un propriétaire (le client déclaré chez l'opérateur). C'est d'ailleurs comme ça que fonctionne la fameuse HADOPI quand ils attrapent quelqu'un sur la toile. Ils contactent l'opérateur en fournissant l'adresse IP, la date et l'heure et l'opérateur sait tout de suite quel client avait cette adresse IP à ce moment précis. Ils se fichent par contre de savoir QUI exactement utilisait la connexion à ce moment là. Ils partent du principe que le responsable, c'est le client déclaré chez l'opérateur. Aujourd'hui, il existe trois types d'adresses IP qui nous concerne quand on prend un abonnement internet chez un opérateur. IP fixe IP dynamique IP fixe partagée L'IP fixe (aussi appelée IP statique), c'est ce que tout le monde voudrait. Une IP qui ne change jamais est idéale pour héberger des services sur lesquels on voudrait un accès externe. L'IP dynamique, elle change régulièrement et ça sans prévenir. Mais on peut travailler avec un service DDNS qui sera chargé de surveiller ces changements d'IP régulièrement pour mettre à jour le système automatiquement. L'IP fixe partagée, c'est une plaie mais à ma connaissance, seul Free le fait pour certains clients et les clients peuvent facilement demander une IP fixe via le site internet de Free. Elle a pour conséquence de partager la même IP fixe entre plusieurs clients mais en séparant en plusieurs parties la plage de ports. Un premier client aura la chance d'avoir par exemple les ports 22, 80, 443 etc... quand les autres devront faire sans. La plupart des clients ne voient pas le soucis quand ils ne font que de la visite de sites/blogs ou du visionnage youtube mais pour quelqu'un utilisant ces ports pour de l'hébergement, ça devient tout de suite problématique si il a pas la chance de les avoir. D'autres soucis peuvent s'ajouter à ça comme le bannissement sur un jeu ou un site internet de l'IP à cause d'un client et c'est tous les autres clients ayant cette IP partagée qui seraient punis. Voici en gros les principaux opérateurs français et si ils offrent une IP fixe, dynamique ou partagée. Orange : IP fixe (option chère) et IP dynamique d'office (fibre et ADSL) SFR : IP fixe (fibre) et IP dynamique (ADSL) Free : IP fixe (fibre et ADSL) et IP partagée (fibre et ADSL) Bouygues : IP fixe (fibre, ADSL), IP dynamique (câble) Si vous avez une adresse IP partagée, vous pouvez demander une adresse IP fixe fullstack rien que pour vous 🙂 Pour se faire, il vous suffit d'en faire la demande sur votre espace client sur free.fr Voir ce site qu'il l'explique un peu plus en détail : https://www.freenews.fr/freenews-edition-nationale-299/fibre-optique-125/loption-ip-fixe-finalement-disponible-freebox-fibre-zmd Pourquoi prendre un nom de domaine ? Un nom de domaine est plus facile à retenir et donc à partager qu'une adresse IP. D'autant plus si cette dernière n'est pas fixe ! Un nom de domaine ne fait pas peur au grand public contrairement à une adresse du type : 98.172.34.29 On peut utiliser plusieurs domaines différents sur une même IP alors que vous ne pourrez pas utiliser plusieurs IP sur une même IP. (mondomaine1.fr, mondomaine2.com) On peut utiliser d'autres domaines sur son propre domaine (ndd.tld, video.ndd.tld, mail.ndd.tld etc...). Ça fait quand même plus professionnel. Votre adresse IP peut changer même dans le cas d'une IP fixe (changement d'opérateur ou déménagement par exemple) mais pas votre nom de domaine. On peut cacher les ports des différents services (5000, 5001, 8080 etc...) qu'on met en ligne en utilisant les ports connus 80 et 443 via un proxy inversé ou virtual host. On peut obtenir un certificat SSL pour son domaine. Est-ce facile à mettre en place ? Oui, c'est très facile à faire et ça ne prend que quelques minutes maximum. Un peu long à se valider (24h max en général et en 2h chez OVH) parce qu'il faut que votre nouveau domaine créé se propage (se fasse connaître en gros) partout sur la planète à travers une multitude de serveurs DNS. Voici la procédure : Rendons-nous sur la page officielle d'OVH pour choisir notre nouveau nom de domaine : https://www.ovh.com/fr/domaines/ Une fois le domaine libre choisi, on passe commande comme on passerait une commande sur Amazon. Pour les options, à vous de voir ce dont vous avez besoin 😉 Une fois la commande passée et finalisée, on va se rendre sur la page de configuration : https://www.ovh.com/manager/web/index.html#/configuration Le nom de domaine dans ce tuto n'est plus utilisé et sera résilié dans le courant de l'année 2019. Merci donc de ne pas le spammer par respect du potentiel prochain acquéreur. Pour une IP FIXE : Nous allons nous rendre sur notre nom de domaine puis sur notre zone DNS Il suffit d'indiquer son IP fixe dans la cible et valider. On laisse vide le champ "sous-domaine". Pour obtenir votre adresse IP fixe, on peut visiter ce site par exemple : https://mon-ip.io/ Une fois cettre entrée validée, on peut surveiller la propagation DNS afin de s'assurer qu'elle a bien été prise en compte. https://www.whatsmydns.net/ Selon les registrars, la propagation peut durer 24h environ. Chez OVH, je n'ai jamais dépassé les deux heures. Pour une IP DYNAMIQUE : C'est légèrement différent pour une IP dynamique puisqu'il faudra passer par le service DDNS. Premièrement, nous allons supprimer l'entrée A si il en existe une qui aurait été créé par OVH pendant la mise en place du domaine. C'est ici que ça se passe : Ensuite, nous allons créer une règle DynHost. Il suffit d'indiquer un domaine et son IP dynamique dans la cible et valider. Pour obtenir votre adresse IP, on peut visiter ce site par exemple : https://mon-ip.io/ Ensuite il faut créer un identifiant afin qu'il puisse gérer les changements d'IP. On indique les informations en prenant en compte ce qu'on avait déjà rempli précédemment. Maintenant, on va se rendre sur le NAS dans "Panneau de configuration > Accès externe > DDNS" puis on clique sur Ajouter : On a plus qu'à entrer ce qu'on a fait précédemment sur notre compte OVH. On teste la connexion et on devrait obtenir un statut "normal" comme ci-dessous. On clique sur Ok pour valider. Pareil que pour l'IP FIXE, on va pouvoir surveiller la propagation de notre domaine dans le monde avec le lien ci-dessous : https://www.whatsmydns.net/ Voilà, maintenant que l'on a configuré son IP avec son domaine, on peut créer le transfert de port sur notre routeur et l'ouverture sur le pare feu du NAS. Vous avez deux possibilités : Ouvrir chaque port pour chaque service et ainsi vous devrez taper votre domaine suivi du port (ex : ndd.tld:8888). Un peu chiant si on a pas mal de services... Ou alors ouvrir un seul port qui sera le port 443 (et éventuellement le port 80 avec une redirection auto vers le 443) et ça pour que ce soit fonctionnel pour chaque domaine. Pour la première option, je vous laisse vous tourner vers votre moteur de recherche préféré pour savoir comment transférer un port de votre modem/routeur à votre NAS. Pour la partie NAS, le tuto de sécurité de Fenrir parle de l'ouverture de port. Si vous avez choisi comme la plupart des membres d'accéder à tous vos services par l'unique port 443, alors il vous faudra suivre le tuto de @Kawamashi 🙂
  10. 7 points
    warkx

    [Résolu]Fichier Host Uptobox / Host File Uptobox

    J'ai développé ce fichier host qui permettra à Download Station de télécharger sur uptobox avec un compte gratuit et premium Cliquez sur suivre ce sujet en haut à droite pour recevoir les notifications de mises à jours. Telechargement module gratuit + premium 1.0. 0 http://uptobox.com/dj8ax5u03s6y 1.0.1 http://uptobox.com/2fc41tqhfrz9 1.0.2 http://uptobox.com/xrvgfuvdpvjl 1.0.3 http://uptobox.com/s1grchgp1rl4 1.1 http://uptobox.com/9c79m39h9j3w 1.2 http://uptobox.com/3h4354l4wme2 1.3 http://uptobox.com/8lgsvbhx9sm9 1.4 http://uptobox.com/0ephe1kjt4kj 1.5 http://uptobox.com/ie5ohsim8q37 1.5.1 http://uptobox.com/imm8s8h5h2pm 1.5.2 http://uptobox.com/6jvrwscs57vg 1.6 http://uptobox.com/wyvqgnrtx3s7 1.6.1 http://uptobox.com/8wfc8qsghv0d 1.6.2 http://uptobox.com/fwphcvmjfcvr 1.6.3 http://uptobox.com/kn2qhnnnj6jz 1.6.4 http://uptobox.com/pcv0vmy2rtov 2.0 http://uptobox.com/dhafyx2l2jf0 Fonctionne uniquement avec un token. Voir section informations et changelog. Offrez moi un café ou une bière 😉 Faire un don. Lien direct Changelog 1.0.1 Fonctionnel avec les changements fait sur Uptobox 1.0.2 Ne télécharge plus de fichier 404.html s'il le lien entré n'est pas valide / Lit totalement la page en anglais au lieu de mixer français et anglais 1.0.3 Fonctionne avec les petits changements de code source 1.1 Mise à jour pour les comptes gratuits suite à de petits changement sur uptobox.com. Mise à jour de la fonction d'attente car elle devenait obsolète et refaisait un scan toutes les minutes. 1.2 Mise à jour pour fonctionner avec le nouveau mode de telechargement pour les comptes premiums 1.3 Pour les comptes gratuit, le temps d'attente est detecté avec le nouveau message d'attente. Si le module ne detecte pas le temps d'attente, il re-essayera 30 min plus tard 1.4 L'URL d'authentification à changé 1.5 La vraie URL des fichiers (généré aléatoirement par le serveur) a changé. 1.5.1 Quelques ajustements sur la détection du nom pour les compte gratuit. Détection plus fiable du l'URL du lien. 1.5.2 Suppressions de parties de code inutiles. Charge 1 fois la page au lieu de 2 fois à chaque fichier. 1.6 Nouveau code source pour les comptes gratuits. Ajout d'un mode debug. 1.6.1 Corrige un bug qui generait un caractere invisible a la fin 1.6.2 Mise à jour de l'URL de connexion. 1.6.3 Corrige un bug de la 1.6.2 1.6.4 Prend en charge le SSL 2.0 Code entièrement refait pour utiliser les API uptobox. Un compte gratuit ou premium est désormais obligatoire pour fonctionner avec cette version. Informations Pour entrer votre compte sur la version 2.0 dans le module sur le NAS Allez dans la partie Mon compte sur Uptobox et cliquez sur le logo à droite de Token pour le copier. Allez ensuite sur le module dans Download Station, sur le champ Utilisateur écrivez token et dans les 2 champs mots de passe collez le token copié précédemment. Version antérieure à la 2.0 Comptes premium : Allez dans la partie Mon compte sur Uptobox et cochez Téléchargement direct Vous pouvez activer le mode debug en ajoutant /debug à la fin de l'URL. Le log sera stocké dans /tmp/uptobox.log. Un reboot du nas supprime le log Avec DSM 5.1 le module n'attends pas entre les téléchargements. https://github.com/warkx/Synology-DownloadStation-Hosts Si le module ne marche pas : Vérifiez que le token est le bon (le token peut changer si vous changez de mot de passe ou si vous changez un réglage sur uptobox) Téléchargez la dernière version du host Supprimez les téléchargement en attente dans Download Station Supprimez le fichier host du NAS Déconnectez vous du site uptobox sur votre PC et reconnectez vous pour être sur que votre compte n'est pas bloqué Attendez 1 heure Redémarrez le NAS Stoppez et re-lancer downloadstation Ajoutez le fichier host (téléchargé précédemment) et validez votre compte (si vous en avez un) Si ça marche toujours pas, il faudra surement redemarrer une 2e fois puis stopper et re-lancer downloadstation Vous pouvez également développer votre fichier host, ou mettre à jour le mien, voici la documentation fourni par synology.
  11. 7 points
    crof

    T411.in.dlm

    Version 1.0.3

    328 téléchargements

    Moteur de recherche T411.in pour Download Station : - Identification de l'utilisateur. - Limitation des recherches aux 500 premiers résultats. - Utilisation de l'API T411. - Mise à jour du dlm développé par giov : Remplacement de t411.io par t411.in (à partir du dlm mis en ligne par lolosam) ----- Procédure d'installation ----- 1 - Importer le module t411.in.dlm dans Download Station : Download Station -> Paramètres -> Recherche BT -> Ajouter 2 - Paramétrage des identifiants de connexion : Sélectionner la ligne "t411.in" puis cliquer sur "Modifier".
  12. 6 points
    unPixel

    [GUIDE] Débuter avec un NAS Synology.

    Bonjour, Vous venez d'acheter un NAS et vous ne savez pas par ou commencer, et bien nous allons voir ensemble les principales étapes les plus importantes et surtout prioritaires afin d'éviter de futurs problèmes ! Un NAS, c'est un serveur de stockage en réseau. Il est donc important que le système soit correctement installé et surtout sécurisé. Il est vivement recommandé de suivre toutes ces étapes ci-dessous et surtout d'essayer de les comprendre ! Si vous avez des questions, vous pouvez bien entendu les poser à la suite de ce tutoriel ou sur les tutoriels en question indiqués ci-dessous quand ça concerne un de ces derniers. INSTALLATION DE DSM Pour installer DSM, ce n'est pas compliqué et il suffit de suivre étape par étape ce qui est demandé sur votre écran. On va voir les grandes étapes ci-dessous : Recherche du NAS : On part du principe que vous avez déjà installer un (ou plusieurs) disques dur vierges dans votre NAS et que ce dernier est allumé. Vous avez même déjà entendu le bip sonore qui indique que le NAS est fonctionnel. Si vous ne savez pas comment aller consulter votre routeur pour connaitre l'adresse IP du NAS, je vous recommande de télécharger l'utilitaire "Synology Assistant" qui se chargera de trouver votre NAS sur votre réseau. https://www.synology.com/fr-fr/support/download Vous pouvez aussi essayer de le trouver en consultant ce lien : http://find.synology.com/ NOTE : certaines extensions de sécurité sur votre navigateur peuvent bloquer la recherche sur le réseau local ce qui a été mon cas sous Firefox ce qui m'a obligé à faire une recherche du NAS avec le navigateur Iridium pour ce tutoriel. Installation de DSM : (version 6.2.1 au moment de la rédaction de ce tutoriel) On a le choix entre l'installation de DSM en mode manuel ou en mode téléchargement. J'avais personnellement téléchargé le fichier .pat pour l'installer en local. Pour se faire, j'ai récupérer le fichier .pat sur mon ordinateur. Message d'avertissement qui préviens de la suppression des données sur les disques. On doit remplir ces champs qui sont dans l'ordre : nom du serveur > compte administrateur > mot de passe > confirmation du mot de passe. Ne mettez pas des noms génériques comme administrateur, administrator, admin etc... Et surtout utilisez un mot de passe long et compliqué. Le top étant une passphrase. Ex : Je suis allé avec ma femme chez le fleuriste en mai 2019. On nous demande si on veut utiliser le service QuickConnect. Je vous conseille de cliquer sur "Skip this step" (sauter cette étape). Comme expliqué un peu partout sur le forum, nous ne recommandons pas ce service ! En cliquant sur "Skip this step", nous obtenons ce message : "Si vous ignorez cette étape, vous devrez configurer la redirection de port pour accéder à distance à votre diskstation via Internet." Ca tombe bien, le tuto de Fenrir recommandé un peu plus loin dans ce tuto en parle de la redirection de ports 😜 L'installation de DSM commence. Une fois l'installation terminée, ça nous demande si l'on souhaite que le NAS sur le réseau soit reconnu pour le domaine find.synology.com Libre à vous de lire les conditions générales et d'accepter ou non. Perso, je refuse ! L'installation de DSM est persque terminée. On clique sur Got It. Et enfin, on nous demande si on veut partager des statistiques avec Synology (et peut-être avec d'autres partenaires de Synology comme Google). Libre à vous d'accepter ou refuser, perso, je refuse ! Voilà, DSM est installé 🙂 Nous recommandons aussi vivement de tester vos disques durs avant de les mettre en production. Pour se faire, je vous recommande ce très bon tuto. Choisir son RAID : Le système RAID (Redundant Array of Independent Disks) est une technologie de stockage qui permet de combiner plusieurs disques durs en un seul espace de stockage. Il existe différents types de RAID, chacun fournissant différents niveaux de performance, de capacité de stockage et de fiabilité. En gros car j'en ai certainement perdu quelques un d'entre vous, si on utilise par exemple un RAID 1 avec deux disques durs dans le NAS, ça veut dire que les premier disque dur est cloné sur le deuxième à l'identique. Si un des deux disque dur tombe en panne alors le serveur peut continuer à fonctionner sous réserve de remplacer rapidement le disque dur tombé en panne. NOTE : le système RAID est utilisé principalement pour de la continuité de service et en aucun cas comme de la sauvegarde ! Voici une page mise en place par Synology pour simuler/comparer un RAID. https://www.synology.com/fr-fr/support/RAID_calculator Pour choisir un type de RAID, vous pouvez aussi visiter ce lien : https://www.synology.com/fr-fr/knowledgebase/DSM/help/DSM/StorageManager/storage_pool_what_is_raid En général, on appliquera un RAID 1 (SHR) pour deux disques durs et un RAID 5 (SHR) pour trois/quatre disques durs. Voici un guide qui en dira aussi pas mal sur les volumes, groupe de disques, RAID/SHR, système de fichiers etc... 😉 ALIMENTATION Onduleur : Il est important de prendre en compte que votre NAS contient de l'électronique et surtout des disques durs mécaniques. Ces disques durs et l’électronique n'aiment pas du tout les surtensions et encore moins les coupures de courant inopinées ! Nous vous recommandons donc vivement de mettre entre la prise électrique et le NAS ce qu'on appelle un onduleur afin d'éviter de subir des pertes de données et même pire votre matériel. Le but de l'onduleur sera de réguler correctement la tension mais aussi de prévenir en cas de soucis sur la ligne électrique. Dans ce cas, si c'est bien configuré, le NAS pourra passer en mode sans echec Pour plus d'explications sur le sujet, je vous renvoi vers cette page qui l'explique très bien : http://www.europ-computer.com/dossiers/dossier_6_18.html Dans le cas ou vous auriez un onduleur, il faut bien entendu l'ajouter au NAS. Il y a deux possibilités pour faire cela. Brancher l'onduleur sur le NAS directement Connecter le NAS à l'onduleur via son serveur si il est déjà sur un autre NAS par exemple. Nous allons voir la première possibilité. Branchez votre onduleur sur le NAS et rendez-vous sur : Panneau de configuration > Matériel et alimentation > UPS c'est ici que vous pourrez ajouter votre onduleur. Pour l'ajout d'un onduleur qui est en mode serveur, ça sera pratiquement la même chose. Extinction et/ou hibernation : Un NAS, ce n'est pas qu'un simple disque dur et nous ne recommandons pas d'éteindre votre NAS régulièrement. Nous sommes en 2019 et ces appareils ont été fabriqués pour tourner 7/7 H24. Le faite de redémarrer régulièrement un NAS (plusieurs fois par jour) peut user prématurément les disques durs. Quant à l'hibernation des disques durs, c'est vivement déconseillé de le faire sur un NAS ! Petite exception : Si comme moi ou d'autres membres, vous avez un NAS qui est destiné uniquement à recevoir et stocker des sauvegardes de temps en temps (une fois par jour par exemple), alors vous pouvez le configurer pour qu'il s'éteigne et s'allume automatiquement avant le lancement de la sauvegarde. Pour se faire, nous allons aller sur : Panneau de configuration > Matériel et alimentation > Planif. alim Sur cette fenêtre, on peut créer des règles pour éteindre ou allumer le NAS. On peut aussi laisser le NAS allumé en permanence et choisir uniquement de mettre en veille les disques durs (je rappelle que ce n'est pas conseillé de le faire régulièrement). Pour se faire, on se rend sur : Panneau de configuration > Matériel et alimentation > Hivernation du disque dur Et là, on peut choisir la durée de non utilisation des disques durs avant qu'ils ne passent en veille. Note : il faut prendre en compte que la sortie de veille peut prendre quelques instants. Pourquoi mes disques durs ne rentrent pas en hibernation ? Certains services désactivent l'hibernation des disques durs. Voici la liste de ces services : https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/Management/What_stops_my_Synology_NAS_from_entering_System_Hibernation SAUVEGARDE Il est aussi très important d'envisager un moyen de sauvegarde pour vos données. Pour se faire, je vous redirige vers ce tutoriel : SÉCURITÉ Sécurisation : Maintenant que votre NAS est installé et qu'il est fonctionnel, il faut penser en priorité à sa sécurisation. C'est le point le plus important avant de l'utiliser et vouloir le mettre en production ! Pour la sécurité de votre NAS, rien de mieux que de suivre le très bon tutoriel de Fenrir 😉 J'ajouterais que pour l'ouverture des ports, Synology répertorie tous les ports utilisés par défaut sur un NAS Synology. En voici le lien : https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/Network/What_network_ports_are_used_by_Synology_services Bien entendu, nous vous recommandons vivement d'utiliser uniquement les ports 80 (uniquement avec une redirection automatique) et 443 avec un Reverse Proxy d'installé (lien du tuto plus bas). Accès VPN : Si vous avez une bonne connexion internet et que vous voulez ouvrir votre NAS vers l'extérieur, nous vous recommandons aussi vivement d'utiliser un accès VPN. Pour se faire, autant continuer avec Fenrir et son super tuto 🙂 DIVERS Voici quelques petites astuces qui pourraient vous sauver la vie ou faciliter votre quotidien avec votre NAS. Journal : Pour avoir un aperçu de ce qui est fait sur le NAS, nous pouvons utiliser le paquet "Centre des journaux". Ce dernier se présente ainsi : On peut en cliquant sur l'onglet "Journaux" voir toute la journalisation du système sur le NAS. On peut aussi affiner une recherche : File Station : Pour la journalisation de ce qui est fait sur le NAS au niveau de la manipulation des fichiers, nous allons activer le journal de File Station. Ça aura pour conséquence de mémoriser dans le journal la création de répertoires/fichiers, modifications, suppressions etc... ce qui peut être pratique pour remonter à la source d'un problème rencontré. File Station > Paramètres Le journal se présentera comme ceci en détaillant ce qui a été fait et par qui. Corbeille : Je vous recommande vivement d'activer les corbeilles sur vos dossiers partagés. Ça aura pour conséquence qu'en cas de suppression accidentelle, vous pourrez avoir un moyen de récupérer ces données. Je pars du principe que si la corbeille n'est pas activée alors les données sont perdues définitivement. Il y a bien des moyens d'essayer de récupérer ses données mais ce n'est pas fiable à 100% et ça peut prendre beaucoup de temps. Autant l'appliquer de suite 🙂 NOTE : l'activation de la corbeille n'est pas généralisée pour tous les dossiers partagés. Il faut donc le faire pour chaque dossier partagé 😉 Dossier qu'on créer en direct : Dossier partagé déjà créé : Panneau de configuration > Dossier partagé > (clic droit sur un dossier partagé existant puis modifier) On peut ensuite aller voir notre dossier partagé et y trouver la corbeille. On peut bien évidemment consulter la corbeille et restaurer les données supprimées. Corbeille : On peut aussi programmer le vidage des corbeilles automatiquement. On se rend sur : Panneau de configuration > Dossier partagé > Action > Créer une planification de vidage de la Corbeille On est redirigé sur le planificateur de tâches et une nouvelle fenêtre s'ouvre. On lui donne un nom puis on se rend sur l'onglet "Programmer". On choisit la programmation souhaitée du lancement de la tâche puis on se rend sur "Paramètres de tâche". Ensuite, on a différent paramètres : Choix des corbeilles à vider. On peut choisir la corbeille d'un dossier partagé, de plusieurs dossiers partagés ou les corbeilles de tous les dossiers partagés. On peut appliquer une politique de conservation. Ex : pas de suppression des données ayant une ancienneté de moins de 7 jours. Nous avons aussi des paramètres avancés que je liste juste en dessous. Le bouton "Paramètres avancés" propose ceci comme options : Une fois validé, on retrouve la tâche dans le planificateur de tâche (désactivé pour le tuto) : Panneau de configuration > Planificateur de tâches Autres Nom de domaine Si vous comptez utiliser un nom de domaine, voici un sujet qui en parle : Avec ça, je vous recommande le tuto de Fenrir sur l'installation d'un serveur DNS : Puis pour aller un peu plus loin, l'utilisation d'un proxy inversé : FIN DU TUTO
  13. 6 points
    unPixel

    [TUTO] Serveur MailPlus DSM6

    Bonjour, Nous allons voir ensemble comment configurer le paquet "MailPlus Server" sur un nas Synology tournant sur DSM6 afin d'héberger soit même son propre serveur mail. Cette procédure permettra d'envoyer mais aussi de recevoir des mails à n'importe qui avec son propre ndd (Par exemple prenom@ndd.fr). Ce tuto est fait par un débutant pour les débutants Conditions pour ce tutoriel : - Avoir une IP fixe. - Que votre FAI ne bloque pas le port 25 (smtp). Chez Free, il l'est mais on peut décocher l'option dans l'interface web de notre compte. - Avoir un serveur DNS (voir tuto de Fenrir sur le forum) - Un nom de domaine avec zone DNS personnalisable Difficulté du tuto : facile Temps de mise en place : 20-30 minutes max Bien entendu, il vous faut installer MailPlus Server via le centre de paquets sur votre nas Synology avant de suivre ce tuto. ATTENTION : tous les nas Synology ne sont pas compatibles. Veuillez vérifier pour le votre via ce lien ou regarder ci-dessous. Liste des compatibilités mises à jour ce 26.08.2017 Modèles compatibles Série 17: FS3017, FS2017, RS18017xs+, RS4017xs+, RS3617xs+, RS3617xs, RS3617RPxs, DS3617xs, DS1817+, DS1517+ Série 16: RS18016xs+, RS2416+, RS2416RP+, DS916+, DS716+II, DS716+, DS416play, DS216+II, DS216+ Série 15: RS815+, RS815RP+, RC18015xs+, DS3615xs, DS2415+, DS1815+, DS1515+, DS415+ Série 14: RS3614xs+, RS3614xs, RS3614RPxs, RS2414+, RS2414RP+, RS814+, RS814RP+ Série 13: RS10613xs+, RS3413xs+, DS2413+, DS1813+, DS1513+, DS713+ Série 12: RS3412xs, RS3412RPxs, RS2212+, RS2212RP+, RS812+, RS812RP+, DS3612xs, DS1812+, DS1512+, DS412+ Série 11: RS3411xs, RS3411RPxs, RS2211+, RS2211RP+, DS3611xs, DS2411+, DS1511+ **************************************************** - Configuration DNS Server : Nous allons tout de suite ajouter les deux entrées dans DNS Server. 1. Rendez-vous dans votre application "DNS Server" puis double cliquer sur votre zone créée. 2. Créer deux entrées supplémentaires comme ci-dessous. Une en MX et une autre en A. L'entrée A servira pour la redirection de votre ndd vers votre client mail en ligne et l'entrée MX servira à la communication avec votre serveur de mail. mail.ndd.xx. A 3600 iplocaledunas ndd.xx. MX 3600 10 mail.ndd.xx. **************************************************** - Configuration SMTP : Le serveur SMTP est en gros un facteur sur internet qui va permettre la bonne livraison de vos mails aux autres serveurs mail. Si l'adresse du destinataire n'est pas bonne, alors votre facteur serveur SMTP ne pourra pas livrer le courrier mail. Pareil pour l'inverse. Si le serveur SMTP n'est pas bon, alors votre courrier mail ne sera pas non plus livré. 1. Allez dans la colonne de gauche sur "remise de message" puis "général". 2. Cochez "activer l'authentification SMTP". 3. Entrez votre nom de domaine et votre nom d’hôte. Le nom d'hôte sera mail.ndd.xx Le nom d'hôte FQDN sera votre nom de domaine pleinement nommé pour le serveur mail. Exemple : mail.site.fr 4. Allez sur "Distribution". 5. Activez le SMTP et SMTP-TLS. Leurs ports respectifs seront 25 et 587 (TCP). 6. Cochez "Activer IMAP SSL/TLS" ce qui permettra à un client mail de pouvoir communiquer avec le serveur mail en sécurité et ainsi afficher les mails reçus, envoyés etc... Pensez à ouvrir les ports TCP 25, 587 et 993 dans le pare feu du nas et dans votre routeur et sans règle de localisation ! A moins que vous ne vouliez recevoir des mails que depuis les serveurs situés France (exit Gmail, Hotmail, Yahoo, Protonmail etc...) **************************************************** - Configuration de la sécurité sur votre serveur mail : La sécurité sur votre serveur mail est primordial. A la fois pour éviter de recevoir des virus et autres me*des mais aussi pour gérer les SPAMS. Ces bêtises immondes qui vous propose du viagra alors que vous n'avez que 20 ans... 1. Allez sur "Sécurité" puis l'onglet "Spam". 2. Cochez "Activer le moteur anti-spam (recommandé". 3. Faites la mise à jour manuellement. Pour les autres options, je vous laisse juge par rapport à vos choix/besoins. 4. Toujours dans "Sécurité", allez sur l'onglet "Antivirus". 5. Cochez "Activer le moteur antivirus", sélectionnez l'antivirus que vous désirez et faites la mise à jour manuelle. Pour les autres options, je vous laisse juge par rapport à vos choix/besoins. 6. Toujours dans "Sécurité" allez sur l'onglet "Authentification". 7. Cochez : "Activer la vérification SPF" "Activer la vérification DKIM sur les messages entrants" "Activer la vérification DKIM sur les messages sortants" "Activer DMARC" 8. Choisissez un préfixe du sélecteur et générez la clé publique DKIM. 9. Copiez cette clé publique. **************************************************** - Sélection des comptes qui auront droit à une boite mail : Nous allons voir comment sélectionner des comptes utilisateurs qui auront une boite mail. ATTENTION : Synology limite depuis "MailPlus Server" à 5 comptes gratuits. Il vous faudra acheter des licences supplémentaires si vous avez beaucoup d'utilisateurs... Vous pouvez aussi utiliser Mail Server (ancienne version de Synology mais toujours en fonction) qui lui ne limite pas le nombre de compte mais qui est moins complet en possibilités. Pour que chaque utilisateur puisse lire et envoyer des mails, il faut leur donner l'autorisation sur l'application "MailPlus Server". Ne vous inquiétez pas, celle-ci sera limitée pour les comptes n'étant pas administrateur. Il faut aussi donner l'autorisation dans les permissions d'utilisateur en écriture sur le dossier MailPlus pour que ça fonctionne sinon le compte ne pourra pas envoyer et recevoir les mails. Normal puisque le compte n'aura pas les autorisations pour aller écrire les données du dossier MailPlus stocké dans le NAS. Pour ma part et afin de jouer la sécurité, je préfère créer un compte email séparé du compte normal et lui interdire l'accès partout sauf pour MailPlus et MailPlus Server. Comme ça, pas d'accès au bureau ou à FileStation pour voir le contenu du dossier MailPlus qui contient les mails de tout le monde y compris des autres comptes autorisés. Exemple : prénom => compte normal qui a des accès à FileStation mais pas au dossier MailPlus. prénom.nom => compte pour boite mail qui a des accès autorisés uniquement à MailPlus Server et MailPlus en application et MailPlus en dossier. Mais il ne peut pas y accéder puisque pas d'accès autorisé à FileStation. Depuis MailPlus, un compte peut (selon ses autorisations sur les dossiers du NAS) envoyer des pièces jointes. A vous de donner les autorisations nécessaires pour que l'utilisateur ai accès au dossier ou se trouve la pièce jointe qu'il veut envoyer. 1. Rendez-vous dans "Compte" puis l'onglet "Utilisateur". Il vous suffit ensuite de cocher ou non les utilisateurs qui auront accès à une boite mail. Si un compte coché s'appelle "prenom", alors son adresse mail sera "prenom@ndd.xx". Si un compte coché s'appelle "prenom.nom", alors son adresse mail sera "prenom.nom@ndd.xx". Etc... 2. Faites encore une fois attention à la limite imposée par Synology des 5 comptes possibles et gratuits. Sinon, achetez des licences supplémentaires. Je ne crois pas qu'il y ai une limite en nombre d'alias ou identité ! **************************************************** - Configuration de la zone DNS dans le nas : Nous allons ajouter à notre serveur DNS les entrées de la zone DNS. 1. Rendez-vous dans "DNS Server" sur votre nas. 2. Sélectionnez votre zone et ouvrez la. 3. Ajoutez l'entrée MX et l'entrée A (pas de CNAME). **************************************************** - Configuration de la zone DNS chez notre provider : 1. Rendez-vous dans votre zone DNS sur votre provider (OVH pour moi). 2. Créez une entrée DNS avec un type MX avec ceci comme commande : Attention faute de frappe : Il manque le "t" à flouté dans l'image 3. Créez une entrée DNS avec un type A avec ceci comme commande : 4. Créez trois entrées dans la zone DNS avec un type TXT comme ci-dessous : 1ère entrée dans la zone : Inscrivez en valeur : "v=spf1 a mx ip4:votreippublique include:mx.ovh.com ~all" "v=spf1 a mx ip4:votreippublique include:mx.ovh.com ~all" 2ème entrée dans la zone : Inscrivez "selector1._domainkey" dans le sous-domaine. N'oubliez pas de changer le préfixe si vous n'avez pas écrit le même que moi dans votre nas. selector1._domainkey Inscrivez "v=DKIM1; q=*; p=suividevotreclépubliquedkim" dans valeur v=DKIM1; q=*; p=votreclépubliquedkim 3ème entrée dans la zone : Inscrivez "_dmarc" dans le sous-domaine _dmarc et inscrivez dans valeur "v=DMARC1; p=reject; rua=mailto:***@gmail.com; ruf=mailto:***@gmail.com; fo=1; adkim=s; aspf=s; pct=100; ri=86400; sp=reject" v=DMARC1; p=reject; rua=mailto:***@gmail.com; ruf=mailto:***@gmail.com; fo=1; adkim=s; aspf=s; pct=100; ri=86400; sp=reject Ce qui donnera ceci normalement : Au cas ou il y aurait un soucis de compréhension, l'IP fixe et l'IP publique, c'est pareil. Je me suis juste emmêlé les pinceaux... N'oubliez pas d'ouvrir les ports 25, 993 et 587 sur votre routeur et dans le pare feu du nas !!! Pour voir l'état de votre serveur, vous pouvez aussi aller sur "MailPlus Server" et aller sur "Administration du serveur" puis "Liste des serveurs". Vous devriez y trouver votre serveur en fonctionnement avec tout en vert. C'est terminé. Nous allons donc maintenant voir si tout fonctionne correctement. A savoir qu'il faut laisser un peu de temps quelques instants que tout se mette en place. **************************************************** - Configuration du client mail : 1. Ouvrez votre client mail préféré. Perso, je ferai le tuto sur Thunderbird qui est gratuit, open source et qui a fait ses preuves. 2. Création d'un compte courrier et remplissez les champs. Ensuite, cliquez sur "continuer". 3. Comme vous pouvez le voir, il y a une petite erreur car Thunderbird n'arrive pas à trouver lui même les paramètres du serveur IMAP et du serveur SMTP. C'est pas grave, il suffit de modifier le nom d'hôte comme on l'a configuré précédemment et d'indiquez les bons ports. 4. Ce qui donne ceci. 5. Testez à nouveau et voyez le résultat. 6. Vous n'avez plus qu'à cliquer sur "Terminé" et vous aurez accès à votre boite mail. ---FIN DU TUTORIEL--- Si vous remarquez des erreurs ou vous avez des suggestions, n’hésitez pas à l'écrire dans les commentaires afin que je puisse améliorer/corriger le tuto 😉 Merci à Fenrir qui indirectement aura aidé grandement à la réalisation de ce tuto dans ses explications et son aide à la mise en place de mon serveur. EDIT septembre 2018 : Après mûre réflexion, j'ai décidé de déménager mon serveur mail et de ne plus utiliser MailPlus Server sur mon NAS Synology et ça pour diverses raisons. Je ne suis donc plus à même de pouvoir répondre au sujet de cette application. Je continuerai le maintien du tuto si les membres apportent leurs contributions sur les nouveautés, modifications etc... Merci de votre compréhension !
  14. 5 points
    unPixel

    [TUTO] Accès SSH et ROOT via DSM 6

    Bonjour, Nous allons voir ensemble aujourd'hui comment se connecter en SSH et ROOT avec DSM6. Ensuite, vous n'aurez plus besoin de login et mot de passe sur PuTTY et WinSCP. Idée du tutoriel : je cherchais moi même à me connecter en SSH et ROOT pour suivre un tuto mais la méthode avait changée sur DSM6. En faisant des recherches sur la toile, je suis tombé sur toutes sortes de tutos donc la plupart étaient mal traduit, mal écrit, plus à jour, pas assez précis pour un novice (noob) comme moi etc... Et puis en poussant mes recherches un peu plus loin, je suis tombé sur une réponse de Fenrir à un membre du forum qui répondait en très grande partie à mes questions. J'ai donc décidé de me baser sur son savoir afin de créer ce tutoriel et que ça puisse aider les plus démunis sans passer trois heures sur internet pour trouver la bonne solution. Il est vrai que lorsqu'on ne manipule pas SSH tous les jours (je suis pas admin réseau moi lol), il est compliqué de s'y retrouver et encore plus de connaitre et mémoriser toutes ces informations. Surtout les commandes à taper... Pour suivre ce tutoriel, nous aurons besoin du programme PuTTY (sous Windows) et éventuellement le second programme qu'est WinSCP si vous souhaitez aussi avoir accès à votre NAS via un explorateur de fichier (plus précisément un client SFTP graphique). - Téléchargement de PuTTY : https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html - Téléchargement de WinSCP (facultatif) : https://winscp.net/eng/download.php Pour la création des clés sous MAC et Linux, se reporter directement à la partie du tuto ci-dessous et sauter les étapes concernant PuTTY sous Windows. On va aussi partir du principe que vous avez déjà activé SSH et personnalisé votre port dans DSM. Si ce n'est pas le cas, rendez-vous dans "Panneau de configuration" et "Terminal & SNMP". Facilité du tutoriel : FACILE Durée : 10 minutes maximum. Message de Fenrir : À toutes fins utiles, une clef SSH c'est comme un très gros mot de passe, si elle est compromise, tous les endroits où elle est installées le sont potentiellement, c'est pour ça qu'on recommande : de protéger la clef avec un super mot de passe (pageant permet d'éviter de le retaper 15 fois par jours) de renouveler la clef de temps en temps (1 fois par an c'est largement suffisant) en pensant bien à supprimer la clef publique de l'ancienne et de la conserver à l'abri (la clef publique vous pouvez la coller sur google, mais la clef privée c'est comme votre carte bancaire) *********************************************** - Création de la clé privée et la clé publique : 1. Une fois PuTTY installé, rendez-vous dans "tous les programmes" sous Windows et "PuTTY (64-bit)" puis lancez PuTTYgen qui est un générateur de clé. 2. Une fois lancé, vérifiez bien que le protocole de chiffrage RSA (ou ED25519) en bas à gauche soit coché et indiquez 4096 au lieu de 2048. 3. Cliquez simplement sur le bouton "Generate" pour générer les clés. Une fois cliqué, vous aurez un message vous demandant de balader votre souris sur la fenêtre afin de faciliter le hasard du chiffrage. 4. Une fois les clés générées, vous verrez en clair la clé publique affichée comme ci-dessous (copier la). Cliquez sur "Save private key". Enregistrez ou bon vous semble la clé privée sur votre ordinateur. 5. Vous aurez donc ce fichier sur votre ordinateur à l'endroit que vous aurez choisi : 6. La clé privée servira pour Pageant qui est l'agent d'authentification de PuTTY. A noter que si pour une raison ou pour une autre, vous devez retrouver la clé publique, il vous suffit de réouvrir PuTTYgen et de cliquer sur "Load" puis d'indiquer le chemin de votre clé privée pour la voir de nouveau s'afficher dans la fenêtre. *********************************************** - Création des clés sur un PC Linux ou Mac (de Fenrir) : ssh-keygen -t ed25519 -C commentaire ou ssh-keygen -t rsa -b 4096 -C commentaire Exemple sur un poste Linux : fenrir@machine:~# ssh-keygen -t ed25519 -C "Clef ssh pour le tuto" Generating public/private ed25519 key pair. Enter file in which to save the key (/home/fenrir/.ssh/id_ed25519): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/fenrir/.ssh/id_ed25519. Your public key has been saved in /home/fenrir/.ssh/id_ed25519.pub. The key fingerprint is: db:b5:12:69:c0:39:35:78:02:29:8c:32:3e:f0:6b:24 Clef ssh pour le tuto The key's randomart image is: +--[ED25519 256]--+ | o .o .o | |+ . o ..oo.. | |o+ . =o | |Eoo o . | | o.. S + . | | o + o . | | . . o . | | . | | | +-----------------+ Vous retrouverez donc vos clés dans le dossier .ssh de votre "home" (~/.ssh). L'équivalent de pageant se nomme ssh-agent (il faut le lancer). Pour lui ajouter une clé : ssh-add ~/.ssh/id_ed25519 nb : si la clé privée est accessible par d'autres personnes, ssh refusera normalement de l'utiliser, par défaut les droits sont bons, sinon : chmod 600 ~/.ssh/id_ed25519 *********************************************** - Enregistrement de la clé publique dans le NAS : 1. Ouvrez le logiciel PuTTY (64-bit) sur votre ordinateur puis entrez les informations demandées à savoir l'IP locale du NAS et son port que vous aurez personnalisé puis cliquez sur "Open" : 2. Vous avez une nouvelle fenêtre qui s'est ouverte. A partir de là, les étapes sont simples. Entrez votre login (admin) et appuyez sur "entré". Entrez votre mot de passe et appuyez sur "entré". Copiez et collez la commande "sudo su -" puis appuyez sur "entré". sudo su - ATTENTION : à partir de maintenant, vous êtes connecté en ROOT ; une mauvaise manipulation et ça pourrait être dramatique pour votre nas et entrainé par exemple, une perte des données ou une inaccessibilité totale de votre nas. Copiez et collez la commande "mkdir /root/.ssh" puis validez en appuyant sur "entré". mkdir /root/.ssh Copiez et collez la commande "vi /root/.ssh/authorized_keys" puis validez en appuyant sur "entré". vi /root/.ssh/authorized_keys Arrivé ici, appuyez sur la touche i pour entrer en mode édition puis collez ici la clé publique que vous avez obtenu. Une fois la clé collée, appuyez sur "echap" et taper ":wq" puis faite "entré". :wq Tapez exit puis "entré" deux fois afin de quitter PuTTY. Voilà, vous avez collé votre clé publique dans votre NAS. On peut donc en principe se connecter en tant que ROOT et SSH via PuTTY. Mais avant ça, il faut configurer PuTTY. *********************************************** - Configuration de PuTTY pour obtenir une connexion ROOT et SSH : Ouvrez PuTTY (64-bit) à nouveau puis suivez la procédure en image détaillées : Ça vous demande votre mot de passe pour la clé privée. Entrez le et voyez le résultat 😉 Vous êtes maintenant connecté en ROOT et SSH ! *********************************************** - Connexion rapide à votre NAS avec Pageant : Pageant est un utilitaire fourni avec PuTTY et qui va vous permettre d'accéder rapidement à votre NAS. En double cliquant sur votre clé privée stockée sur votre PC, une icône avec un petit ordinateur va apparaitre dans votre barre des tâches à droite. Si vous double cliquez sur cette icône, ça vous ouvre une fenêtre qui récapitule les clés enregistrées. Si vous faites un clic droit sur l'icône, vous verrez un menu s'afficher. Vous pouvez maintenant cliquer directement sur votre NAS répertorié et y accéder en ROOT et SSH via la fenêtre de PuTTY qui s'ouvre. Astuce : on va faire en sorte que Pageant prenne en compte votre clé privée au démarrage sinon il faudra l'importer manuellement à chaque fois démarrage de ce dernier. On va faire un clic droit sur Pageant puis "Propriétés" puis on va ajouter dans le raccourcis de lancement un espace puis l'adresse exacte ou se trouve la clé privée. Ex : C:\PuTTY\pageant.exe D:\cléprivée.ppk *********************************************** - Autoriser l'accès SSH uniquement avec un clé : Pour renforcer un peu plus la sécurité, nous pouvons désactiver l'authentification par mot de passe comme on s'est connecté au début du tutoriel. Ceci va avoir pour conséquence d'autoriser uniquement les connexions SSH avec une clé et la passphrase associée. On édite le fichier "sshd_config" pour lui indiquer que l'on n'accepte pas l'authentification par mot de passe. vi /etc/ssh/sshd_config On modifie (touche i pour "insert") la ligne "PasswordAuthentification yes" en "PasswordAuthentification no" et pour enregistrer la modification, on appuie sur la touche ECHAP (ESC) et on tape la combinaison ":wq!" (sans les guillemets). On redémarre le service SSH pour que le changement soit prit en charge. synoservicectl --reload sshd A partir de maintenant, il faudra obligatoirement avoir sa clé enregistrée dans le serveur mais aussi sa clé privée et la passphrase pour se connecter en SSH. Si on veut ajouter un utilisateur, il faudra revenir dans ce fichier afin d'autoriser temporairement l'authentification par mot de passe le temps que l'utilisateur créer sa connexion par une clé. *********************************************** - Supprimer vos clés sur votre NAS : Pour supprimer votre clé enregistrée sur votre NAS, tapez cette commande : "rm /root/.ssh/authorized_keys" rm /root/.ssh/authorized_keys ATTENTION : cette commande supprimera toutes vos clés ! *********************************************** - Configuration de WinSCP (client SFTP graphique) pour une connexion en ROOT et SSH : 1. Ouvrez WinSCP et suivez les images ci-dessous. Et voilà, vous pouvez maintenant vous connecter via ROOT et SSH avec WinSCP. Soyez prudent ! Merci à Mic13710 et Fenrir pour leurs contributions. Si vous constatez des erreurs dans ce tutoriel, merci de me le faire savoir pour que je corrige rapidement afin de ne pas induire en erreur les membres du forum n'y connaissant pas grand chose.
  15. 5 points
    unPixel

    [TUTO] Sauvegarder les données de son NAS.

    TUTO Hyper Backup sur un NAS Synology (écrit sous DSM 6.1.4) Nous allons voir dans ce tutoriel comment utiliser Hyper Backup afin de faire une sauvegarde de ses données stockées sur un NAS Synology. Les possibilités avec Hyper Backup : Hyper Backup vous permet de faire des sauvegardes de plusieurs façons. "Stockage partagé local et stockage externe" permet des sauvegardes gérées par le NAS. Vous aurez besoin d'Hyper Backup pour restaurer les données et elle ne seront pas visibles directement sur la cible. "Synology NAS distant" permet de faire des sauvegardes sur un autre NAS. "WebDAV" permet des sauvegardes sur un serveur distant avec le protocole WebDAV. "Serveur Rsync distant" permet des sauvegardes via Rsync sur un serveur distant. Copie de données locales permet de faire une copie simple des données sans compression, chiffrage et autres en local. Les données sont lisibles et exploitables sans nas. Copie de données distantes permet de faire une copie simple des données sans compression, chiffrage et autres sur un périphérique distant via RSync. Les données sont lisibles et exploitables sans nas. "Services Cloud" permet de faire des sauvegardes sur des services proposés dans Hyper Backup comme Synology C2, Dropbox, Google Drive, Amazon Drive etc... (chiffrement vivement recommandé) Prérequis : Pour ce tutoriel, nous allons faire une sauvegarde en local sur un disque dur externe branché en USB sur le NAS. Installer le paquet Hyper Backup depuis le Centre de paquets. Brancher un disque dur externe en USB et s'assurer qu'il est bien reconnu par DSM. Configuration d'une sauvegarde sur un disque dur externe branché en USB sur le NAS : 1. On ouvre l'application Hyper Backup sur DSM. L'icône de ce paquet ressemble à ceci : 2. Une fois l'application ouverte, on va créer une nouvelle tâche de sauvegarde comme ci-dessous. 3. Puis une nouvelle fenêtre s'ouvre et nous demande la destination de la sauvegarde. 4. Ensuite, on indique le disque dur externe (reconnu comme un dossier partagé) qui devrait être nommé "usbshareX" (X étant un chiffre chez vous) puis on indique le nom que portera la sauvegarde dans le disque dur (ex : Documents). 5. Ensuite, il faut cocher le ou les dossier(s) puis la ou les application(s) que l'on souhaite sauvegarder pour cette tâche. Note : vous pouvez choisir un dossier partagé complet comme choisir uniquement un ou plusieurs sous dossier(s) d'un dossier partagé (cliquer sur les petites flèches noires pour voir les choix disponibles). ATTENTION : certaines applications sauvegardent aussi leurs dossiers respectifs (ex : PhotoStation et Moments sauvegardent aussi le dossier "photo" et Drive sauvegarde les dossier "Homes" et "web"). 6. Ensuite, on doit donner un nom à cette tâche que l'on lira dans l'interface principale d'Hyper Backup dans la colonne de gauche (ex : Documents). On peut aussi choisir d'autres options. A vous de voir ce qu'il vous convient. NOTE : pour ceux qui veulent un peu plus de personnalisation sur le calendrier de sauvegarde, on verra ça un peu plus loin et pour ejecter automatiquement le disque dur après la sauvegarde effectuée, il suffit de cliquer sur "Supprimer la destination de l'appareil externe etc..." ! ATTENTION : tout en bas de ces options se trouve le paramètre qui permet de chiffrer la sauvegarde. Je vous recommande vivement de la cocher puis d'entrer un mot de passe "fort" que vous n'oublierez pas. En cas d'oubli, il vous restera toujours la clé de sécurité fournie qui devra être stockée dans un endroit sécurisé pour qu'elle ne tombe pas entre de mauvaises mains. Libre à vous de ne pas la garder mais alors n'oubliez jamais votre mot de passe sinon vous ne pourrez pas accéder aux données sauvegardées... 7. Ensuite, on passe aux options de sauvegardes incrémentales et différentielles. Pour ne pas faire un pavé et afin que vous sachiez ce que ça veut dire, je vous renvoie directement sur la page wiki parlant de ce sujet. Je vous recommande cependant de travailler avec ces options afin d'optimiser la place de vos sauvegardes mais aussi vous assurer une restauration des fichiers qui auraient pu être supprimées entre deux sauvegardes. https://fr.wikipedia.org/wiki/Sauvegarde_(informatique) ATTENTION : une fois la configuration terminée sur cette fenêtre, répondre "NON" à la petite fenêtre qui s'est ouverte vous demandant si vous voulez "sauvegarder maintenant" SI vous souhaitez personnaliser plus précisément la planification de cette sauvegarde ! 8. Nous allons maintenant et rapidement voir comment configurer plus précisément la planification de cette sauvegarde. 9. Comme on peut le voir sur l'image ci-dessous, il y a plus de possibilités sur la planification. A vous de voir selon vos besoins ce qu'il faut régler 😉 10. Une fois cette planification configurée, on peut enfin lancer manuellement la première sauvegarde. ************************************************************* Pour finir, voici un récapitulatif de l'interface principale d'Hyper Backup : Voilà, vous savez tout sur l'application Hyper Backup EDIT du 24.08.2018 : Voici comme demandé dans un autre topic comment monter automatiquement un disque dur externe afin d'ajouter une sécurité supplémentaire. Se connecter en SSH à son NAS avec le disque dur branché dans un port USB. Taper le commande "lsusb" qui permet de lister les périphériques branchés en USB. Retenir le numéro du disque. Aller dans le planificateur de tâche puis créer une tâche. Programmer la tâche pour que le disque soit monté quelques minutes avant la sauvegarde. (Ex: sauvegarde à 23h, on programme le montage auto du disque dur pour 22h55). En script, on va mettre ceci avec bien entendu le numéro de disque si il ne correspond pas à ce que j'ai de mon côté : EDIT du 13.06.2019 : Procédure pour monter et démonter automatiquement un disque dur externe afin d'ajouter une sécurité supplémentaire. Monter le disque dur : 1. Brancher son disque dur externe sur le port USB du NAS. 2. Pour connaitre le port USB reconnu par le système ou se trouve le disque dur, on tape en SSH la commande : lsusb Résultat pour moi : 3. La commande pour monter automatiquement le disque dur sera donc : echo usb2 > /sys/bus/usb/drivers/usb/unbind && echo usb2 > /sys/bus/usb/drivers/usb/bind Cette commande est à entrer dans votre planificateur de tâches. Démonter le disque dur : 1.Pour démonter le disque dur proprement et sans recevoir une alerte du système, on doit d’abord connaitre le volume du disque dur utilisé par ce dernier. Pour ça, on tape la commande : /usr/syno/bin/synousbdisk -enum Résultat pour moi : Pour résumer, j'ai branché une baie de deux disques durs sur un port USB (usb2) du NAS. Les deux volumes pour mes deux disques durs de ma baie sont reconnus comme "sdq" et "sdr". 2. Pour démonter proprement les disques, je vais donc utiliser la commande : /usr/syno/bin/synousbdisk -umount sdq && /usr/syno/bin/synousbdisk -umount sdq Résultat pour moi : puis : echo usb2 > /sys/bus/usb/drivers/usb/unbind Ces commandes sont à entrer dans votre planificateur de tâches.
  16. 4 points
    Kawamashi

    [Tuto] Reverse Proxy

    Bonjour tout le monde, J'ai l'impression qu'il y a pas mal de monde intéressé par la possibilité d'utiliser un NAS Synology pour faire du Reverse proxy (depuis DSM 6.0). Je voulais ajouter ma pierre à l'édifice en complétant les tutos réalisés, sur ce topic ou ailleurs. Tout d'abord, je voulais remercier InfoYann pour son tuto et ses réponses à mes questions. Merci également à Fender, qui a écrit le 1er tuto sur le sujet. Pour finir, merci à Fenrir, pour son méga tuto de sécurisation d'un NAS (une vraie bible...), qui aborde le sujet du reverse proxy. LE REVERSE PROXY DE A à Z I. Utilité et intérêt d'un Reverse proxy Un Reverse proxy redirige des noms de domaines vers des équipements présents sur le réseau local ou des applications présentes sur le NAS. Cela permet de ne pas avoir à retenir et taper le port des différents services pour y accéder. Par conséquent, ça évite d'avoir à ouvrir sur l'extérieur autant de ports que de services : on se sert juste du port utilisé par défaut pour les connexions HTTPS, le port 443. Par exemple, si on a affecté le port 45000 à Audio Station et le 45001 à Video Station, il faut normalement taper https://nomdedomaine.fr:45000 ou https://nomdedomaine.fr:45001 pour accéder à ces 2 services. Ce n'est pas très explicite, et il faut que les ports 45000 et 45001 soient ouverts sur le routeur. Plus y il y a de services, pire c'est. Grâce à un reverse proxy, on se contente de taper https://music.nomdedomaine.fr ou https://video.nomdedomaine.fr, et tout passe par le port 443 utilisé par le protocole HTTPS. C'est beaucoup plus simple. Pour plus d'infos, consultez ce tuto et celui-là. Par contre, il faut absolument préciser https dans l'URL, sans quoi on utilise le HTTP par défaut et ça ne marche pas. Pour éviter ce problème, on va mettre en place une redirection automatique grâce à Web Station. II. Configuration du nom de domaine chez le registrar Je prends le cas d'une IP fixe car j'ai la chance de ne pas être confronté au problème des IP dynamiques ! Avoir son nom de domaine (NDD) va nous permettre d'accéder à notre réseau local depuis Internet. Une fois le NDD loué, il faut ajouter 2 entrées dans sa zone DNS : - une entrée de type A qui redirige le NDD vers l'IP fixe de la box (ndd.fr. => IP fixe) - une entrée de type CNAME qui redirigera l'ensemble des sous-domaines vers le NDD (*.ndd.fr. => ndd.fr.) Après cette étape, les tentatives de connexion à fichiers.ndd.fr, video.ndd.fr,… seront acheminées à la box. III. Configuration du routeur De l'extérieur, on a besoin que le port 443 soit ouvert pour pouvoir se connecter aux applications du NAS de manière simple (pas de port exotique à préciser) et sécurisée (car 443 = HTTPS). Let's Encrypt se connecte par le port 80 pour délivrer le certificat SSL et pour le renouveler. De plus, si on profite de Web Station pour créer un site web, il faut également ouvrir le port 80 pour autoriser les connexions à ce site en HTTP. Donc on va utiliser les ports externes 80 et 443. Du côté du NAS, le Reverse proxy "écoute" sur le port 443 ou sur le port DSM sécurisé. Vu que je ne trouve pas souhaitable d'exposer DSM sur internet, les connexions sécurisées seront redirigées vers le port 443 du NAS. Web Station utilise le port 80. On va donc rediriger les connexions externes non sécurisées vers le port 80 du NAS. En résumé, sur le routeur, il faut rediriger les ports externes 80 et 443 vers les ports internes 80 et 443 du NAS. Après cette étape, les connexions utilisant les ports 80 et 443 seront acheminées de la box au NAS. IV. Configuration du pare-feu du NAS Pour que les connexions ne soient pas rejetées par le NAS, il faut modifier son pare-feu. Plutôt que d'ouvrir complètement les ports 80 et 443 : - on ouvre les ports 80 et 443 pour le trafic en provenance de France, pour limiter les risques d'attaque. - on ouvre également le port 80 pour le trafic venant des 2 IP que Let's Encrypt utilise pour le renouvellement du certificat (64.78.149.164 et 66.133.109.36, cf ici). Ces règles sont à entrer dans le pare-feu du NAS (panneau de configuration/Connectivité/Sécurité/onglet "Pare-feu", puis "Modifier les règles"). NB : Les IP utilisées par Let's Encrypt peuvent changer. Il est donc conseillé d'ouvrir complètement le port 80 (au moins pour le trafic en provenance des Etats-Unis) avant la demande initiale de certificat ou en cas de problème de renouvellement de celui-ci. Après cette étape, les connexions pourront parvenir jusqu'au Reverse proxy du NAS (et jusqu'à WebStation). V. Configuration du portail des applications de DSM Il faut d'abord définir les ports HTTP qui seront utilisés par les applications auxquelles on veut accéder depuis l'extérieur. Pour ça, aller dans le panneau de configuration/Applications/Portail des applications/onglet "Application". NB : Il n'est pas nécessaire de définir un port HTTPS pour les applications vu que la connexion est déjà en HTTPS jusqu'au reverse proxy. En effet, il est inutile et contre-productif de doubler les chiffrements. Après cette étape, si on tape IP_locale_du_NAS:45000, on ouvre directement Audio Station. Il faut ensuite définir le reverse proxy à proprement parler, à savoir faire correspondre les différents sous-domaines avec les différentes applications. Ça se passe sur la même page, dans l'onglet "Proxy inversé". Pour chaque application, il faut renseigner : - la source (nom du sous-domaine, protocole (HTTPS) et port (443)) - la destination (nom d'hôte (localhost quand l'appli est sur le NAS, IP s'il s'agit d'un autre élément du réseau), protocole (HTTP) et port (défini à l'étape précédente)). NB : On utilise "localhost" pour désigner le NAS, car si celui-ci change d'IP, on n'aura pas besoin de reparamétrer le reverse proxy. Il faut activer le HTTP/2. Par contre, je déconseille le HSTS (c'est le navigateur qui enregistre cette information et il ne laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé). Après cette étape, quand on tape https://music.ndd.fr, on est bien redirigé vers audio station, mais avec un avertissement de sécurité du navigateur comme quoi la connexion n'est pas sûre. VI. Obtention du certificat SSL pour le domaine et ses sous-domaines Il ne faut jamais utiliser de certificat auto-signé (comme celui installé par défaut dans la plupart des équipements), tout comme accepter des exceptions de sécurité (peut provoquer des interceptions de données même sur des sites protégés par de vrais certificats). Le mieux et le plus simple est de se tourner vers une autorité de certification comme Let's Encrypt, bien intégrée chez Synology. Dans le panneau de configuration de DSM, partie "Connectivité", section "Sécurité", onglet "Certificat", cliquer sur le bouton "Ajouter". A la 2e étape, choisir de se procurer un certificat auprès de Let's Encrypt. A la 3e étape, remplir le NDD et l'adresse mail. Dans le champ "Autre nom de l'objet", mettre le nom de tous les sous-domaines, séparés par des points-virgules. Enfin, cliquer sur "Appliquer". Après cette étape, le reverse proxy fonctionne sans avertissement de sécurité. Cependant, quand on tape music.ndd.fr dans un navigateur, celui-ci ne nous redirige pas automatiquement vers https://music.ndd.fr. A la place, il nous renvoie vers ndd.fr:port_DSM_non_sécurisé (même si la connexion n'aboutit pas). Le registrar ne peut pas mettre en place de redirection car seul le nom de domaine est loué chez lui, aucun site n'est hébergé. L'option de redirection présente dans le panneau de configuration/Connectivité/Réseau/Paramètres de DSM n'est pas envisageable car elle casse le mécanisme du reverse proxy. Pour éviter ça, on va créer un site web. Ça nous permettra la création d'un fichier .htaccess, qui redirigera automatiquement les requêtes en HTTPS. VII. Auto-hébergement d'un site web et mise en place des redirections Il faut installer Web Station. Une fois que c'est fait, ouvrir l'application. Dans la partie "Statut", il faut installer les 2 versions du serveur HTTP Apache et les 2 versions de PHP. Pour ça, cliquer sur les icônes de raccourci présentes dans la colonne "Gestion". Une fois que c'est fait, on passe à la partie "Paramètres généraux". On sélectionne les versions les plus récentes d'Apache et de PHP, puis on coche la case "Activer un site web personnel" (ce n'est possible que si on a installé les 2 versions d'Apache et de PHP à l'étape précédente). On n'a pas besoin de changer les paramètres PHP ou de créer un Virtual Host (à moins d'avoir plusieurs sites web à héberger sur le même NAS). Avec l'installation de Web Station, un dossier Web a été créé à la racine du volume. Le fichier index.html est la page d'accueil du site hébergé sur le NAS. On peut en profiter pour modifier ce fichier afin que notre page d'accueil présente plusieurs liens permettant de se connecter aux différents services présents sur le NAS. Pour mettre en place la redirection automatique, il faut créer un fichier .htaccess. Pour ça, il faut créer un fichier texte dans le dossier Web. A l'intérieur de ce fichier, on écrit le code suivant : RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} On enregistre sous ".htaccess" (donc sans nom mais juste avec l'extension htaccess). Il faut ensuite redemander un certificat à Let's Encrypt, en ajoutant www.ndd.fr dans le champ 'Autre nom de l'objet" (en plus des noms de tous les sous-domaines). Après cette étape, quand on tape music.ndd.fr dans un navigateur, celui-ci nous redirige automatiquement vers https://music.ndd.fr. NB : Il faut préciser le port 443 dans le formulaire de connexion des applications mobiles, sans quoi elles n'arrivent pas à se connecter (donc music.ndd.fr:443 et non music.ndd.fr pour se connecter à DS Audio). Voir un retour intéressant ici, concernant le reverse proxy et la certification par Let's Encrypt. Si quand on tape ndd.fr on est redirigé vers l'interface de connexion à DSM (ce que je ne veux pas), il faut vérifier que la case "Activer un domaine personnalisé" dans le panneau de configuration/Connectivité/Réseau/Paramètres de DSM est décochée (ou bien qu'on a mis un autre nom de domaine que ndd.fr dans ce champ, cf tuto DNS Server). Par contre, pour se connecter à l'interface de gestion du NAS, il faudra désormais taper l'IP locale du NAS + le port DSM non sécurisé dans la barre d'adresse du navigateur (à moins d'avoir mis en place une zone DNS locale, avec une adresse comme nas.super_nom.lan qui pointe sur le NAS). J'espère que ce tuto vous sera utile. Je suis preneur de tout retour, remarque ou suggestion !
  17. 4 points
    firlin

    [TUTO] Préparation des disques avec Badblocks

    Bonjour, Un petit tuto pour préparer ces disques durs avec la fonction badblocks, en vue de les monter dans le nas. Pour ma part il existe deux façon de faire : soit en ligne de commande ou au travers une tache. Pré requis : Un nas (minimum 2 baies) avec un DSM installé dessus (sur un seul disque). Et crée un volume avec ce disque. En effet si vous faite Install du nas avec deux disques ou plus, configuration de base ou autre(SHR, raid1 etc.. ) Le DSM s’installe sur tous les disques dans ce cas il n’est pas possible de faire le test sur les disques monté dans le nas. Par contre si vous êtes à l’aise avec les lignes de commandes sous putty, vous pouvez installer le DSM sans vous préoccuper de son installation sur tous les disques. Car il est possible de déclarer le disque on l’on va faire le test comme « Fail » et de le réintégrer à la fin du test. Sujet traité dans la 2eme méthode comme variante. (vue que c’est bien décrit cela doit être à la porter de tous ) Pas la peine de faire le volume dans ce cas Wincp et ou Putty. Télécharger Wincp à l adresse suivante https://winscp.net/eng/download.php Télécharger putty à l adresse suivante http://www.putty.org/ Ps: toto est un nom générique de répertoire Début Monter le disque à tester dans le nas. Activer le service SSH, pour cela aller dans le Panneau de configuration, onglet Terminal & SNMP pour activé le service SHH. Faire Appliquer Désactiver le service SSH une fois le badblocks fini (Si vous souhaitez le laisser ouvert, je vous conseille de lire le tuto Sécuriser les acces à son nas) . 1er méthode par une Taches : En premier lieu il faut Crée un dossier partager dans le quel le fichier log sera crée (il sert a voir l avancement du badblock. Pour cela : Panneau de configuration\ Dossier partagé J’ai mis comme nom toto car c’est à lui que je fais référence plus loin (vous pouvez changer mais faudra penser à le changer partout) Pour cela il faut aller Panneau de configuration\ planificateur de tache (sans date de lancement pour lancer le badblocks, on la lance manuellement) . Cliquer sur Créer pour la créer et sélectionner Script défini par l'utilisateur Dans la 1er fenêtre enlever la sélection sur Activé, ensuite aller sur Paramètre de tache Dans celle-ci à la partie Script défini par l'utilisateur mettre cette ligne de commande : (commande non destructive) badblocks -nvs -c 98304 /dev/sdX > /volume1/toto/sdX.log 2>&1 & Option –c 98304 sert à définir le nombre de bloc testé par passe. Sans valeur c’est 64 par défaut (dans tous les cas il faut un multiple de 64). Si vous avez un nas avec peu de RAM le -c 98304 peu être problématique réduisait la valeur On peut rajouter option –f aussi pour les périphérique déjà monter. Dans notre cas un disque initialisé. Cela donne badblocks -nvsf -c 98304 /dev/sdX > /volume1/toto/sdX.log 2>&1 & Le X correspond à la lettre du disque que l on veut tester. Dans le NAS les disques sont nomme comme suivant sd + une lettre de l’alphabet : Disque 1 : sda Disque 2 : sdb Disque 3 : sdc Disque 4 : sdd Ici je fait le test sur le disques N°2 Faire Ok ensuite Puis sélectionner le script et cliquer sur Exécuter. Pour savoir si, ou en est le badblock: Il faut lancer wincp et renseigner les cases : Non d'hôte, Nom d'utilisateur et Mot de passe. Puis cliquer sur connexion Si tout ce passe bien on doit avoir cette fenêtre Ensuite double cliquer sur le répertoire Volume1 Idem pour le répertoire toto Faire un double clique sur le fichier sdX.log pour voir l’avancement. Quand c’est fini la dernière ligne doit indiquer 100% et bad blocks found. (0/0/0 errors ) Remarque : Dans certain cas cela ne fonctionne pas, dans ce cas il faut crée le répertoire toto avec wincp et lui conférer les bons droits Pour cela création de répertoire, pensez à être sur le volume1 Puis remplir la boite de dialogue comme suit. 2eme méthode en ligne de commande Se connecter sur le nas avec Putty, définir l’adresse Ip du nas On arrive à une fenêtre de ce type : A login as. Au password Ensuite il faut passer en mode Root pour cela il faut taper dans celle-ci : sudo –i Et mettre la password du compte admin Dans cette nouvelle fenêtre taper la commande suivante pour lancer le badblocks badblocks -nvs -c 98304 /dev/sdX > /volume1/toto/sdX.log 2>&1 & Pour les explications voir plus haut. Si vous avez le message d'erreur suivent suite à la commande badblock "/dev/sdb is apparently in use by the system; it's not safe to run badblocks!" Essayer cette commande badblocks -nvsf /dev/sdX > /volume1/toto/sdX.log 2>&1 & Voir la progression du test il faut lancer la commande suivante dans le terminal tail -f /volume1/toto/sdX.log Variante pour déclare le disque « fail » Affaire avant de lancer le test pour déclare le disque « Fail » taper cette commande dans la fenêtre de putty : mdadm /dev/md0 --fail /dev/sdX1 Puis mdadm /dev/md0 --remove /dev/sdX1 ensuite mdadm --zero-superblock /dev/sdX1 Le 0 correspondent à la partition sur les disques, pour le X voir plus haut. Faire de même pour la partition 1 et 2 (en effet il existe 3 partition sur un disque monter dans le nas : 0 pour le DSM, la 1 pour le swap et la 2 pour les volumes c’est celle-là qui est monté en raid). Ensuite on peut passer au lancement de la commande badblocks. A la fin du test il faut répare le DSM, pour cela gestionnaire de stockage \volumes \ réparer. Fin de la variante. Badblock et les disques USB Il est possible de lancer un badblock sur des disques connecté en USB au nas. Je rajouterai cette partie dans un avenir proche. Tous sur la commande Badblock http://manpages.ubuntu.com/manpages/xenial/fr/man8/badblocks.8.html
  18. 4 points
    unPixel

    [TUTO] Sauvegarder les données de son NAS.

    RAID n'est pas une sauvegarde ! Ça c'est fait Bonjour, Dans ce tuto, nous allons comprendre pourquoi et comment sauvegarder ses données stockées sur un nas. Un NAS (Network Attached Storage) c'est quoi ? Comme son nom l'indique en anglais, c'est un serveur de stockage en réseau. Par exemple, tout ce que vous pouvez visionner, écouter ou lire sur internet est stocké sur des serveurs professionnels ou particuliers et ils vous donnent un accès en lecture voir écriture un peu comme vous le faites avec votre propre serveur. Depuis quelques années maintenant, nous avons de plus en plus de données importantes qui sont numériques comme par exemple, des vidéos, des photos numériques, des documents numérisés, divers fichiers etc... Tous ces fichiers sont stockés sur des supports physiques comme disques dur, clés usb, DVD et/ou CD (pas bien), NAS etc... Même sur des disquettes 3,5". Bon d'accord, on peut même pas y stocker une musique mp3 dessus mais je le cite car j'ai un petit coup de nostalgie quand il n'y avait que ça Bref, vous l'aurez compris, c'est bien d'avoir un serveur maison pour avoir un accès illimité à ses données et pouvoir les partager mais il ne faut pas oublier une chose essentielle : la sauvegarde ! La sauvegarde de ses données est ce qui doit être pensé en premier lorsque l'on utilise un ordinateur, smartphone, serveur etc... à qui on confie des données importantes. Eux ne sont pas là pour garder vos données en toute sécurité mais ils sont là pour vous y donner accès facilement. Passer directement au tuto sur Hyper Backup : Pourquoi faire une sauvegarde ? Voici quelques raisons possibles. Causes humaines : - Parce que vous pouvez être victime d'un vol suite à un cambriolage. - Parce que votre NAS peut très bien planter suite à une mauvaise manipulation. - Parce qu'un méchant hacker a décidé de chiffrer vos données et vous demande maintenant de l'argent pour les retrouver. Causes naturelles : - Parce que vous pouvez avoir dans votre logement une inondation, un incendie, une surtension etc... Causes matérielles : - Parce que votre NAS peut très bien tomber en panne et foirer le volume installé (vécu sur un de mes nas de backup). - Parce qu'une mise à jour de l'OS a planté le système (déjà vu sur Windows par exemple). Les conséquences : Financières : si vous êtes une petite entreprise par exemple, vous pourriez ne pas vous en relever ! Si vous êtes un particulier, préparez le chéquier (ça coute très cher) pour qu'une entreprise spécialisée essaie de récupérer vos données perdues. Sentimentales : si vous avez des photos de votre mariage ou de la naissance de votre enfant, ça peut être très dur émotionnellement de savoir ces photos/vidéos perdues. Temps : si vous n'êtes pas organisé, vous allez perdre énormément de temps à chercher des solutions pour rattraper les pertes occasionnées. Etc... Critères d'une sauvegarde : obligatoire ou recommandé - Elle doit être faite de manière automatique. Au moins, pas d'oubli de votre part. - Elle doit être faite de façon régulière et en fonction des changements ou ajouts effectués sur vos dossiers/fichiers. - Elle doit être à un endroit différent des données que vous voulez sauvegarder. Disque dur externe branché sur le nas, serveur pro, nas du voisin, dans le cloud etc... - Elle doit être vérifiée et testée par vous et non par un ordinateur. Soyez comme Saint Thomas. - Utiliser un système de "versionning", c'est utile si on veut retrouver un fichier d'une ancienne sauvegarde qu'on aurait supprimé et qui ne se trouverait pas sur la dernière sauvegarde. - Utiliser un système de "rotation des sauvegardes", c'est utile pour que le programme de sauvegarde gère le stockage de la cible. - Elle peut être chiffrée, c'est toujours plus prudent surtout si la sauvegarde est envoyée en dehors de chez vous. - Elle peut être faite sur plusieurs supports ou services afin d'avoir une redondance. C'est plus rassurant si un service cloud ferme par exemple ou si le disque dur externe plante. Critères de ce qui n'est pas une sauvegarde : - L'utilisation d'un service comme Dropbox, OneDrive (Microsoft), GDrive (Google), iCloud (Apple) etc... N'EST PAS une sauvegarde ! C'est de la synchronisation de données entre un serveur et un ou plusieurs appareil(s). Si l'un deux perd un fichier alors l'autre aussi. Si l'un des deux a un crypto programme qui se lance, alors tous les fichiers dans les deux sens seront perdus (c'est des services bi-directionnel). Elle peut être une sauvegarde mais sous certaines conditions comme par exemple avoir la possibilité de désactiver le bi-directionnel ou une option qui permet de garder une copie d'un fichier sur le service cloud si il était supprimé localement mais en sus avec une sauvegarde faite ailleurs. - Une sauvegarde non vérifiée et non testée. - Une sauvegarde sur un disque dur externe qui resterait branché en permanence à votre nas. Si vous partez deux semaines en vacances, emmenez votre disque dur avec vous et si possible avec une sauvegarde chiffrée en cas de vol. - La copie d'un dossier de votre nas dans un autre dossier de votre nas. Il vaut mieux le préciser Comment faire une sauvegarde avec les outils Synology : Vous pouvez soit utiliser les outils mis à votre disposition par Synology, soit utiliser vos propres outils. Ici, je vais surtout parler des outils Synology et ensuite, je citerai quelques alternatives. - Hyper Backup vous permet de sauvegarder des dossiers, fichiers et applications de votre nas vers un autre périphérique ou service en ligne. Je vous le recommande car il donne la possibilité de chiffrer, faire du versionning, faire de la rotation de sauvegarde etc... - Cloud Station Backup vous permet de sauvegarder des dossiers et fichiers de votre ordinateur sur votre nas (pas très personnalisable et limité). Je lui préfère et de loin Syncback ! - Glacier backup vous permet de sauvegarder vos données sur un compte Amazon Glacier. Voici en gros les outils mit à votre disposition par Synology. ATTENTION : Cloud Station Server avec Cloud Station et/ou Drive n'est pas une sauvegarde. C'est similaire à Dropbox, GDrive, iCloud etc... Je le cite ici pour être sûr que vous ne confondiez pas les programmes. Cloud Sync non plus n'est pas une sauvegarde ! Autres possibilités en dehors des outils de Synology : - SyncBack (Windows uniquement) : http://www.syncback.fr/ Attention à bien le configurer pour de la sauvegarde et non de la synchronisation. - UrBackup : https://www.urbackup.org/ Avantage, il est multi plateforme. Merci à Winpoks (forum HFR) pour l'info. - Duplicati (payant) : https://www.duplicati.com/ Avantage, il est multi plateforme. Merci à Winpoks (forum HFR) pour l'info. Autre précaution à prendre sur votre nas Synology, la corbeille ! Elle est importante car si quelqu'un supprime un fichier, celui-ci sera récupérable pendant un certain temps. Chaque dossier partagé avec la corbeille activée contiendra un dossier nommé "#Recycle" avec une icône de poubelle. Un fichier supprimé dans le dossier X sera dans la corbeille du dossier X etc... Personnellement, mes utilisateurs sont prévenus de l’existence de cette corbeille mais n'y ont pas accès. J'ai préféré donner les droits uniquement à l'administrateur qui pourra récupérer le fichier supprimé qu'un utilisateur voudrait récupérer. Ma stratégie de sauvegarde si ça peut vous donner des idées : Sauvegarde incrémentale chiffrée toutes les trois heures sur un compte GSuite (environ 30 To). Sauvegarde incrémentale chiffrée toutes les six heures sur une baie USB3 de 2x2 To. Sauvegarde de mes données les plus importantes via Rsync sur un vieux DS107+ (1 To). Comme on peut le voir ci-dessus, je fais donc trois sauvegardes locales et une sauvegarde dans le cloud. Et si vous vous posez la question, oui, je prends le temps de temps en temps de tester mes sauvegardes en faisant des tests de restauration 🙂 Fin du tutoriel, si vous constatez des erreurs ou que vous voudriez apporter vos connaissances, alors n'hésitez pas et j'éditerai le tuto.
  19. 4 points
    unPixel

    [TUTO] Gérer les droits sur Photo Station 6.

    Bonjour, Dans ce mini tutoriel, nous allons voir comment gérer les droits avec Photo Station 6 sur DSM 6. En effet, on constate de plus en plus de membres sur le forum qui se questionnent quand au fonctionnement et surtout la gestion des droits sur Photo Station. 1. Installer Photo Station depuis le centre de paquets. En plus d'installer "Photo Station", ça va créer le dossier "photo" dans File Station. Les photos sont à mettre dedans avec l'arborescence que l'on désire. 2. Ouvrir Photo Station comme sur la capture d'écran ci-dessous. Une nouvelle fenêtre s'ouvrira pour la connexion. Se connecter avec un compte administrateur. 3. Une fois dans Photo Station, cliquer sur "Paramètres" qui se situe en haut à gauche. 4. Dans cette nouvelle fenêtre, cliquer sur "Photos" dans le menu de gauche puis ensuite, cliquer sur "Permission d'accès". 5. Dans cette petite fenêtre qui s'est ouverte, on peut voir l'arborescence de nos dossiers. Nous avons trois choix possibles : Public : n'importe qui (même les non membres) peuvent accéder aux photos. Privé : seuls les membres (selon les autorisations définies) peuvent accéder aux photos. Mot de passe : seuls les personnes ayant le mot de passe (même les non membres) peuvent accéder aux photos. Une fois nos choix cochés, cliquer sur "sauvegarder" puis "fermer". 6. Une fois cette fenêtre fermée, on clique sur "Comptes utilisateur" puis on sélectionnes un membre et on clique sur "modifier". 7. Dans cette nouvelle petite fenêtre, on clique sur "Attribuer des privilèges". 8. Une nouvelle fenêtre s'est ouverte par dessus la petite dernière. C'est ici qu'on gère tous les droits sur un membre pour chaque dossier et sous dossier. Comme on peut le voir sur l'image ci-dessous, il y a plusieurs choix possibles pour chaque dossier : Parcourir l'album : permet au membre de visualiser les photos du dit dossier. Chargement de fichiers : permet au membre de charger des photos dans ce dossier. Gérer : permet au membre de gérer complètement le dossier en question (supprimer, créer sous dossier, renommer etc...). Ne pas oublier de sauvegarder les changements avant de fermer en cliquant simplement sur le bouton "Sauvegarder". Ce petit tuto est terminé
  20. 4 points
    BruceFeuillette

    Gagnez un IronWolf pour votre NAS

    Non, mais moi ça me va le nombre qu'on était... 🎉 Je vais tenter de profiter des soldes pour trouver un second 14 To pour garder mon RAID 1. Bon, vu que les modèles sont récents, ça va être compliqué. Et vu les prix pour le moment, je me demande si je ne ferais pas mieux d'acheter un DX517... Si j'arrive à convaincre ma femme de placer une extension en plus dans l'entrée. Ce qui n'est pas du tout gagné ! Merci à Seagate en tout cas ! 😊
  21. 4 points
    Lapin

    Corriger Les Problème D'accents Sous Sabnzbd

    /! Mise à jour Importante !! Depuis 2013 le script (version 1.9), a été directement intégré dans SynoCommunity SABnzbd (Merci Diaoul !! ). Pour ceux qui n'ont encore rien installé, vous pouvez directement allé à la section 8. Le répertoire "Script" avec l'installation par défaut est: /usr/local/sabnzbd/var/scripts Cependant le package SynoCommunity va installé le script uniquement si SABnzbd n'est pas déjà installé !! Si vous faites une mise à jour d'une version existante, alors vous devez suivre le tuto en entier!!! Ou tout désinstaller puis tout réinstaller.... C'est vous qui voyez... /! Fin de mise à jour Au cas où vous considéreriez que les heures passées méritent quelque chose: MAIS, merci de faire un don à SABnzbd et SynoCommunity d'abord et si il vous reste quelques piécettes alors vous pouvez penser à moi. Ce que ce script peut faire pour vous: Le script permet de corriger les problèmes d'accents lorsque SABnzbd tourne sur un NAS Synology. Il inclue aussi les options suivantes (le script doit être édité pour les activer/désactiver): Fonction pour décompresser les archives .7z (Activer par défaut) Fonction pour déplacer le répertoire vers une destination au choix: 2 modes possible, un mode qui écrase, un mode qui fusionne. (Désactiver par défaut) Fonction pour indexer automatiquement le répertoire dans le DLNA du Syno. (Désactiver par défaut) Fonction pour envoyer le répertoire vers SickBeard (NB: le script sabToSickBeard.py doit être configuré et fonctionnel). (Désactiver par défaut) Attention: les options DLNA/SickBeard sont exclusive. C'est soit l'une, soit l'autre. Si vous voulez les 2 en même temps, il faut configurer l'indexeur DLNA dans l'interface de SickBeard. [Edit du 2 Octobre 2013] Correction d'un problème de post-processing avec Sickbeard quand le répertoire contient un caractère spécial. La version du script est maintenant affiché pour faciliter le suivi pour le debug. Cette version n'est pas inclus dans le package SynoCommunity SABnzbd Il faut suivre le tuto, puis aller dans la section options pour activer celles qui vous intéresse. Si vous utilisez déjà ce script, il faut suivre les étapes 1 à 6 pour mettre à jour. Depuis le début d'année j'ai reçu 1 seul et unique don par un Hollandais. Alors soyez sympa pensez à moi! Surtout que je viens de me faire licencier économique depuis 1mois... D'un autre côté le script ne représente pas grand chose par rapport au boulot que doit fournir l'équipe SABnbzd et Diaoul, mais il rend quand même bien service... [Edit du 2 Octobre 2013] [Edit du 19 Février 2013] Ajout d'une option pour activer le post-processing Sickbeard. Fonction 'Move' plus évolué (2 modes). Rajout d'une fonction que je n'aurai pas dû retirer. Utilisation du code page cp850 au lieu de cp437. Cette version est inclus dans le package SynoCommunity SABnzbd à partir de la version 0.7.14 [Edit du 19 Février 2013] TIP: Vous pouvez utiliser le package de Mertymade pour éditer vos fichier de config: Config File Editor Lancer l'application depuis DSM, puis sélectionnez Config File Editor dans la list, ajoutez la ligne suivante au début ou à la fin (exemple pour le package SynoCommunity): /usr/local/sabnzbd/var/scripts/CharTranslator.py,CharTrans Cliquez sur "Save", quittez, puis relancez l'application Config File Editor et voilà! Le script est éditable depuis DSM. J'utilise les SPKs fournis par www.synocommunity.com, en particulier SABnzbd. Oui mais voilà, il y a une problème ennuyeux avec les fichiers français: quand il y a des accents on ne peut pas accéder aux fichiers avec Samba (disque réseau du Syno). Il faut alors tout renommer par SSH avant de pouvoir s'en servir. Voici ma solution basée sur un script Python utilisant le post-processing sous SABnzbd. 1- Téléchargez le script: 2- Sauvez le fichier sur le NAS. 3- Connectez-vous sur votre NAS avec Telnet en tant que root (pas admin) et allez dans le répertoire où le fichier ZIP a été enregistré. Par ex: cd /volume1/public 4- unzipper le fichier. Sous telenet unzip CharTranslator_1v5.zip /! Attention /! Si vous utilisez une autre source que synocommunity.com vous devez mettre à jour la 1er ligne du script, afin d'indiquer le chemin où se trouve la commande python. SynCommunity (par défaut dans fichier ZIP): #!/usr/local/python/bin/python -OO SPK MertyMade: #!/var/packages/pythonutils/target/utils/bin/python -OO ou #!/volume1/@appstore/sab2/utils/bin/python -OO A vous de vérifier avec une session Telenet SPK Zebulon: #!/usr/local/python26/bin/python -OO 5- Mettez les bons droits Unix. Sous telenet: chmod 777 CharTranslator.py 6- Déplacez le script dans le répertoire (N'oubliez pas de créer le répertoire... ) où le script va être stocké. Par ex: mkdir /volume1/download/SABnzbdScripts mv CharTranslator.py /volume1/download/SABnzbdScripts Si vous utilisez la version SynoCommunity, écrasez la version existante cp -rf CharTranslator.py /usr/local/sabnzbd/var/scripts/CharTranslator.py Config -> Folder, spécifiez le répertoire où le script va être stocké (c'est la champ Post-Processing Scripts Folder). Par ex dans mon cas /volume1/download/SABnzbdScripts. Cliquez sur le bouton Save Changes. 8- Finalement allez dans: Config -> Categories. Vous pouvez mettre à jour la catégorie par défaut. En effet une colonne script est disponible, afin de sélectionner le script CharTranslator.py.Cliquez sur le bouton à droite Save. /! Attention /! le fichier doit être au format Unix! Si vous voulez modifier le fichier depuis Windows, vous pouvez utiliser le super éditeur Notepad++. N'oubliez pas de sauvegarder le fichier au format Unix (Edit -> EOL Conversion -> Unix). Si vous avez un message d'erreur du genre: -ash: CharTranslator.py: not found le fichier est certainement au format Windows. Pour rappel: les retours à la ligne sont différent dans le monde Unix. Et voilà !! Le script est récursif, donc tous les fichiers et sous répertoire vont être scannés et modifié si nécessaire. Si tout se passe correctement, vous devriez obtenir le message suivant: Character encoding translation done! (More) Décompresser les fichiers au format .7z: Le répertoire va être scanné de façon récursive et tous les fichiers .7z vont être décompressés. Cette option est activée par défaut. Si vous ne voulez pas de cette option, alors vous devez modifier la ligne suivante: Ligne 76: Unpack7z = True doit être modifié par: Unpack7z = False Ajouter lindexation DLNA avec synoindex: J'ai eu une demande sur le forum officiel de SABnzbd; un des membres utilise le répertoire de téléchargement de SABnzbd comme destination finale pour ces fichiers vidéo/audio. Il m'a demandé comment lancer l'indexation DLNA, car SABnzbd ne permet pas de lancer 2 post-processing. Pour ceux qui seraient aussi intéressé par cette caractéristique, voici la procédure à suivre: Ligne 68: IndexInSynoDLNA = False doit être modifié par: IndexInSynoDLNA = True Le répertoire de destination spécifié par Sabnzbd va être automatiquement indexé dans le DLNA. Attention: cette fonction ne peut pas être utilisé en même temps que l'option SickBeardPostProcessing Envoyer un téléchargement fini vers SickBeard: NB: le script sabToSickBeard.py doit être configuré et fonctionnel Activer cette option permet d'envoyer le téléchargement vers le post-processing de ScikBeard Ligne 72: SickBeardPostProcessing = False doit être modifié par: SickBeardPostProcessing = True Attention: les options DLNA/SickBeard sont exclusive. C'est soit l'une, soit l'autre. Si vous voulez les 2 en même temps, il faut configurer l'indexeur DLNA dans l'interface de SickBeard. Interface graphique SickBeard -> Config -> Notifications -> Enable 'Synology Indexer' Déplacer un téléchargement fini: Vous pouvez déplacer le répertoire dans une autre destination. Ligne 51: MoveToThisFolder = '' doit être modifié par: MoveToThisFolder = 'Chemin de destination des downloads' par ex: MoveToThisFolder = '/volume1/video/news' Le déplacement a 2 modes possibles: Le déplacement par défaut est l'équivalent d'un mv -f. C'est un genre de copie incrémental: rien n'est effacé, seul les fichiers portant le même nom sont écrasés par les plus récents (équivalent au déplacer/remplacer de Windows) Si vous voulez qu'en cas de conflit, le sous-répertoire soit entièrement remplacé par le nouveau (équivalent a un déplacement sous MacOSx), alors il faut désactiver l'option suivante. Ligne 62: MoveMergeSubFolder = True doit être modifié par: MoveMergeSubFolder = False Évidemment ces 3 options peuvent être cumulées. 1- Unpack les fichier .7z 2- Corrige les problèmes d'accents 3- Déplace le répertoire dans la destination spécifiée 4- Ajout des fichiers multimedia dans le DLNA du Syno. Finalement pour ceux qui sont intéressé uniquement pout la fonction 7z unpack avec SickBeard: Si seul la décompression 7z vous intéresse en particulier avec SickBeard, alors voici un mini Tuto: 1- Téléchargez le script: 2- Sauvez le fichier sur le NAS. 3- Connectez-vous sur votre NAS avec Telnet et allez dans le répertoire où le fichier ZIP a été enregistré. Par ex: cd /volume1/public 4- unzipper le fichier. Sous telenet unzip sabToSickBeard_1v1.zip /! Attention /! Si vous utilisez une autre source que synocommunity.com vous devez mettre à jour la 1er ligne du script, afin d'indiquer le chemin où se trouve la commande python (Voir début du tuto). 5- Mettez les bons droits Unix. Sous telenet: chmod 777 sabToSickBeard.py 6- Si vous utilisez la version SynoCommunity, écrasez la version existante cp -rf sabToSickBeard.py /usr/local/sickbeard/share/SickBeard/autoProcessTV/sabToSickBeard.py Et voilà les NZB au format .7z vont être décompressé avant d'être envoyé à SickBeard. Have fun folks !! Je suis preneur de tout les commentaires. PS: Le script peut être exécuté en commande en ligne sous une session telenet à condition qu'aucune option n'est été activée . Par ex: /volume1/download/SABnzbdScripts/CharTranslator.py "Nom du répertoire qui doit être corrigé" Si vous exécutez depuis le répertoire où le script est, la commande est: ./CharTranslator.py "Nom du répertoire qui doit être corrigé" /! Attention /! Ce script est a utilisé à vos risques et périls. Cependant, même si le script se trompe sur le format d'encodage, les fichiers seront tout de même lisible par Samba. Donc, au pire, vous devrez renommer manuellement les fichiers/répertoires.
  22. 4 points
    Non c est possible, et de façon tres simple!!!! Tu va dans les réglage avancés du réseaux. Tu t 'assure d etre en multiple gateway seulement. Tu lance ton vpn. Tu retourne sur le multiple gateway tu décoche, tu valide , tu applique. Tu refais la meme manip ( et oui!!!!) et tu le coche, valide, et applique. Ton DSDowloand restera sur le vpn et toutes tes autres applications seront sur l ip de chez toi. Vous pouvez vérifier avec un torrent ip =)
  23. 4 points
    PiwiLAbruti

    Synolocker

    Certains vont tout à coup comprendre la différence entre RAID et sauvegarde... Quoi qu'il puisse se passer sur le NAS, mon disque de sauvegarde USB au fond du tiroir se porte à merveille.
  24. 4 points
    AdocTeam

    Time Backup Permet De Reconstruire Mon Nas ?

    Bonjour, J'utilise en permanence les deux outils : TimeBackup et "Sauvegarder et Restaurer", j'ai aussi utilisé TimeMachine sur OsX. Je vais essayer de détailler les avantages et les inconvénients de chaque méthode : 1. Choix des éléments à sauvegarder Là le top c'est TimeMachine car : le système est sauvegardé les applications sont sauvegardées les données sont sauvegardées, en plus il permet d'exclure certains dossiers. "Sauvegarder et Restauter" est très bon aussi, car : le système n'est pas totalement sauvegardé, mais on peut sauvegarder la configuration. Donc si on change de DSM on ne peut pas récupérer sa version de DSM, mais on peut restaurer tous ces groupes, partages, ... les applications (bases MySQL, Photo Station, ...) sont sauvegardées les données sont sauvegardées et on peut choisir d'exclure des fichiers et des dossiers TimeBackup est le moins complet (mais aussi le plus jeune) : les données sont sauvegardées, mais on ne peut que choisir d'exclure ou d'inclure des dossiers partagés (impossible de choisir un sous-dossier ou même un fichier !!). C'est très énervant surtout quand vous activez la corbeille, car un fichier est sauvegardé une fois à son emplacement d'origine puis une autre fois dans la corbeille ... enfin vous pouvez limiter cet effet grâce à des scripts () MAIS le système ne peut pas être sauvegardé MAIS les applications ne peuvent pas être sauvegardées 2. Restauration des données TimeMachine permet de restaurer des données de 2 façons : sur un Mac vierge avec un disque bootable on peut restaurer tout le système, les applications et même les données directement dans l'OsX on peut accéder à un "explorateur de fichier temporel" qui permet de restaurer des fichiers ou dossiers tel qu'ils étaient à une date précise MAIS si on explore une sauvegarde TimeMachine sur un autre système on ne peut rien en faire : multitude de fichiers de 8Mo sans signification (peut-être existe-t-il des applications pour les interpréter, mais je n'en connais pas) Pour "Sauvegarder et Restaurer", on peut restaurer les données : avec l'outil intégré au DSM : vous pouvez choisir les paramètres de configuration (1 à 1 : on n’est pas obligé de tout restauré à l'identique) et les dossiers à restaurer. avec un simple explorateur de fichier, vous pouvez aussi restaurer vos données, car les images respectent l'arborescence d'origine (par contre attention à la méthode de copie si vous voulez conserver les métadonnées). Pour TimeBackup : on peut parcourir les fichiers dans "un explorateur de fichier temporel" et choisir très facilement (clic droit : Restaurer) de les restaurer tel qu'ils étaient à une date précise. Par contre on ne peut pas restaurer un dossier partagé, mais seulement des sous-dossiers. On peut aussi parcourir ces images avec un simple explorateur de fichier, car TimeBackup utilise des Hard links (http://fr.wikipedia.org/wiki/Lien_mat%C3%A9riel) pour pointer sur des fichiers qui n'ont pas été modifiés. Donc lorsque parcours l'arborescence d'une sauvegarde TimeMachine on a un dossier par image avec l'arborescence complète de la sauvegarde : la taille de ces dossiers correspond à la taille totale de la sauvegarde, mais vous pouvez en avoir plus de 100 et l'espace utilisé sur votre disque correspond seulement à une sauvegarde complète plus la taille des fichiers modifiés. Vous pouvez donc restaurer des données aussi très facilement sur n'importe quel système. 3. Programmation des sauvegardes Pour la programmation des sauvegardes on peut avec chacun de ces 3 programmes choisir précisément la date et l'heure à laquelle réaliser ces images. TimeBackup permet d'utiliser SmartRecycle qui va supprimer "intelligemment" des sauvegardes ce qui est plutôt nécessaire : ma tâche de sauvegarde représente environ 400Go et je fais 2 images par jour depuis 2010 ... je vous laisse faire le calcul, résultat : 700Go utilisé sur mon disque ! et je peux toujours avoir accès à mes fichiers tels qu'ils étaient en 2010 (où il ne reste plus qu'une image tous les 10 jours grâce à SmartRecycle). Conclusion J'espère vous avoir donné assez d'information pour vous faire une bonne idée de l'utilisation de TimeBackup. Je pense que si on veut obtenir une sauvegarde aussi complète que TimeMachine, il faut utiliser "Sauvegarder et Restaurer" pour la configuration et les applications; et en parallèle TimeBackup pour les données. Après chacun à des besoins différents, donc en fonction de ce qu'on veut comme sauvegarde l'un où l'autre peut être suffisant, mais moi j'ai choisi d'utiliser les 2 de façon complémentaire sur un disque externe eSata que je prends avec moi pendant les congés (au cas ou). J'utilise aussi une sauvegarde distante via lftp (http://www.cobestran.com/actualite/synology-sauvegarde-site-web-par-ftp-avec-lftp/) chez mon hébergeur qui ne propose pas rsync, mais c'est une autre histoire que je détaillerais quand j'aurais plus de temps.
  25. 4 points
    sumfvm

    Sauvegarde Du Lun

    En vulgarisant, dans le monde du stockage, les baies de stockage sont organisée de la façon suivante : Par étagère (tiroirs de disques - shelves disks) de 14 disques. Ces disques sont organisés en raid-group, c'est à dire que vous pouvez décider que 2 disques sont en raid 1, deux disques en raid 0, 9 en raid 5 et un dernier en spare (disque de secours). Une fois ces raid-group crées, on crée des LUN sur ces derniers afin de découper logiquement ces volumes. Une fois la LUN céee, on peut la présenter à un serveur qui peut y créer un système de fichier (ext3/4, NTFS) et voit désormais ce disque comme un disque local. Une LUN n'est qu'une abstraction car le serveur, PC, NAS qui voit cette LUN ne sait pas ce qui se trouve derrière : Un disque entier ou un raid-group, c'est transparent pour lui. N'hésitez pas à poser vos questions si ce n'est pas clair.
  26. 4 points
    Sterminus

    Erreur "vous N'etes Pas Autoris

    J'ai eu le même soucis au boulot car deux proxy et quand je switch de proxy l'IP extérieur n'est plus la même. J'ai corrigé le soucis en allant dans panneau de configuration -> paramètres de DSM -> onglet sécurité, et j'ai coché "Améliore la compatiblité du navigateur en ignorant la vérification de l'IP"
  27. 3 points
    .Shad.

    [Tuto] Centralisation des instances Docker

    Préambule Ce guide a pour but de permettre à tout un chacun de centraliser la gestion de ses conteneurs sur une seule et même instance Docker, et ce de manière sécurisée. Sur une distribution Linux classique ou même Windows il est possible d'exposer une instance Docker via TCP, donc le rendre accessible sur un port de la machine hôte, 2375 en non-sécurisé, 2376 par TLS. De manière générale c'est quelque chose qu'on évite, car Docker possède des privilèges élevés sur sa machine hôte, c'est donc une source de contamination potentiellement dévastatrice. En prenant soin de placer un certain nombre de garde-fous, et en maîtrisant les points de sécurisation abordés dans les tutoriels références du forum (en premier lieu celui sur la sécurisation), l'idée devient tout à fait envisageable. Il y a deux avantages majeurs à cette méthode : - Elle est applicable à n'importe quelle machine, votre NAS, un PC sous Linux, un micro-processeur type Raspberry, un VPS, un dédié, etc... - Elle permet de s'affranchir des limitations de certains OS, typiquement DSM. On peut tout à fait exposer le port 2376 d'un NAS Syno sans passer par un proxy sauf qu'à chaque redémarrage les modifications sont effacées et vous devrez de nouveau exposer le port. Un script pourrait sûrement tout à fait se charger de la tâche, reste que l'on touche à des fichiers systèmes sensibles, je suis partisan du fait de garder un DSM "stock" pour éviter des problèmes lors des mises à jour et des incompatibilités/bugs qui en découlent fréquemment. Pré-requis Savoir protéger ses périphériques (pare-feu) Savoir établir une connexion suffisamment sécurisée entre deux machines Savoir rediriger un port Avoir des bases concernant Docker (voir tutoriel introductif) Savoir se connecter en SSH à un périphérique Avoir défini un nom de domaine entièrement qualifié (FQDN en anglais - Fully Qualified Domain Name) pour l'instance Docker cible Difficulté : Moyenne Sécurisation Pour garantir un certain degré de sécurité, l'idée va être d'exposer le socket Docker via un proxy, ce qui sera réalisé par un conteneur sur l'hôte cible, avec lequel nous établirons une connexion TLS depuis l'instance centralisatrice. Sa localisation peut être quelconque : sur le même réseau local, accessible à distance par HTTPS ou encore par VPN. Le choix de la solution et la sécurisation de l'environnement sont à votre discrétion et découlent des pré-requis stipulés ci-dessus. Portainer Pour faciliter la visualisation de mes instances Docker (ou endpoint) et mes conteneurs, j'utilise l'application Portainer sur la machine qui va servir de centre névralgique pour toutes mes instances. Elle a l'avantage de fournir une interface claire, efficace et intuitive. (Notons qu'il est tout à fait possible de s'en passer et de se cantonner à de la ligne de commande, voir documentation Docker dont le lien est donné plus loin). Un fichier docker-compose modèle pour Portainer : version: "2" services: portainer: image: portainer/portainer container_name: portainer hostname: portainer network_mode: bridge volumes: - "path/to/portainer/data:/data" - "/var/run/docker.sock:/var/run/docker.sock" ports: - 9000:9000 restart: unless-stopped Via le Shell : docker create \ --name=portainer \ --hostname=portainer --net=bridge \ --restart=unless-stopped \ -v path/to/portainer/data:/data \ -v /var/run/docker.sock:/var/run/docker.sock \ -p 9000:9000 \ portainer/portainer NB : path/to/portainer/data est évidemment un placeholder et doit être adapté à votre besoin. Dans mon cas, c'est un sous-dossier data dans le dossier du conteneur Portainer. La première fois qu'on se connecte (via http://IP:9000), on est amené à choisir un login et un mot de passe admin. Ce faisant on arrive sur un écran demandant de choisir l'endpoint qu'on souhaite configurer, il faut choisir local et valider successivement les écrans. On arrive rapidement à un écran de la sorte : Je ne rentre pas dans le détail de l'utilisation de Portainer, on trouve des tutoriels relativement bien faits sur Youtube et Google, et c'est de toute façon assez simple à prendre en main : - https://www.youtube.com/watch?v=GNG6PDFxQyQ (à 1:36 on parle précisément de ce qu'on cherche à faire dans ce guide) - https://domopi.eu/ameliorer-la-gestion-de-vos-containers-docker-avec-portainer/ Mise en place Préparation Ici je vais prendre l'exemple d'un VPS OVH entrée de gamme, sur lequel je fais tourner un serveur VPN Wireguard et où je projette d'installer l'application d'hébergement drag & drop Jirafeau, tout ça sur Docker. La première étape consiste à se connecter en SSH avec l'utilisateur de notre choix sur la cible (le VPS en l'occurence pour moi) et de définir la variable HOST avec le FQDN de notre machine. Dans mon cas, j'utilise le nom de domaine que j'ai défini dans ma zone DNS OVH via un enregistrement A vers l'IP fixe de mon VPS. De manière générale, le FQDN peut être local ou externe, peu importe, car c'est un certificat auto-signé que nous allons générer pour l'atteindre, le tout étant que la résolution du FQDN soit adaptée à l'environnement (je ne peux pas utiliser vps.local si je passe par une résolution externe). Cela peut donc se faire comme moi avec un FQDN externe, si vous souhaitez gérer l'instance Docker d'un raspberry de votre réseau local, il peut s'agir de son enregistrement A correspondant dans votre serveur DNS local, ou simplement ce que vous avez renseigné dans le fichier /etc/hosts de votre instance centralisatrice. Pour l'exemple : HOST=target.ndd.tld En tapant : echo $HOST On doit obtenir le FQDN défini ci-avant. Création des certificats Partie serveur On se place dans le dossier /home de notre utilisateur et on commence à suivre (pas bêtement, mais presque) les consignes de la documentation Docker, les étapes étant parfaitement décrites, je ménage vos touches Alt+Tab ou vous évite un torticolis si vous êtes en double écran en recopiant les étapes ici. 😉 Si vous souhaitez plus de détail sur l'explication de chaque étape, Rendez-vous sur la page. openssl genrsa -aes256 -out ca-key.pem 4096 openssl req -new -x509 -days 365 -key ca-key.pem -sha256 -out ca.pem openssl genrsa -out server-key.pem 4096 openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr [[[ ATTENTION : Il se peut que vous obteniez l'erreur suivante : Il suffit dans ce cas-là de créer le fichier manquant : touch .rnd et de recommencer ]]] Arrive le passage le plus subtil, il va falloir définir les IP et les FQDN capables d'accéder à cette instance, ça se présente sous cette forme : echo subjectAltName = DNS:,IP: >> extfile.cnf Évidemment, il va falloir renseigner les valeurs de manière exhaustive, sous peine de devoir recommencer depuis cette étape. Ce passage permet de renforcer la sécurisation également, car tout nom de domaine (et donc IP associée) et IP non déclarés se verront refuser l'accès au socket (Connection refused sur Portainer). Il faudra au minimum ajouter $HOST (que l'hôte puisse accéder à sa propre instance, ça ne mange pas de pain), la boucle locale 127.0.0.1, et le FQDN et/ou l'IP de notre instance centralisatrice. Un exemple, où j'autorise en plus par exemple : - l'IP fixe publique de mon instance centralisatrice 51.25.152.236 (fictive) (en cas d'un problème de résolution DNS, je peux toujours y accéder) - l'enregistrement A qui lui est associé central.ndd.tld (ça peut également être mon dynhost pour les IP dynamiques) - l'IP privée de mon instance centralisatrice lorsque connectée au serveur VPN de mon VPS 10.0.0.2 echo subjectAltName = DNS:$HOST,DNS:central.ndd.tld,IP:51.25.152.236,IP:10.0.0.2,IP:127.0.0.1 >> extfile.cnf On poursuit : echo extendedKeyUsage = serverAuth >> extfile.cnf openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf . Partie client Par facilité, on va rester sur la machine hôte et créer les certificats et la clé privée client. openssl genrsa -out key.pem 4096 openssl req -subj '/CN=client' -new -key key.pem -out client.csr echo extendedKeyUsage = clientAuth > extfile-client.cnf openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile-client.cnf rm -v client.csr server.csr extfile.cnf extfile-client.cnf chmod -v 0400 ca-key.pem key.pem server-key.pem chmod -v 0444 ca.pem server-cert.pem cert.pem Récapitulatif Si tout s'est bien déroulé, un petit ls -lt devrait donner ceci : Création du proxy Il nous faut maintenant créer le conteneur servant de proxy, dont voici la page GitHub de l'image. Un modèle de fichier docker-compose : version: "2" services: docker-socket-proxy: image: sjawhar/docker-socket-proxy container_name: docker-socket-proxy hostname: docker-socket-proxy network_mode: bridge volumes: - "/path/to/the/server/certs:/run/secrets:ro" - "/var/run/docker.sock:/var/run/docker.sock:ro" ports: - 2376:2376 restart: unless-stopped Via le Shell : docker create \ --name=docker-socket-proxy \ --hostname=docker-socket-proxy \ --net=bridge \ --restart=unless-stopped \ -v /path/to/the/server/certs:/run/secrets:ro \ -v /var/run/docker.sock:/var/run/docker.sock:ro \ -p 2376:2376 \ sjawhar/docker-socket-proxy Parmi les huit fichiers restants, trois nous intéressent pour ce conteneur : ca.pem, server-key.pem, server-cert.pem Ces trois fichiers doivent se trouver dans le chemin que vous aurez choisi pour /path/to/the/server/certs, pour ma part j'ai créé un sous-dossier certs dans le dossier du conteneur. Le port 2376 est à ouvrir (et rediriger si besoin) sur la machine cible, évidemment. Une fois le conteneur démarré, si tout va bien les logs du conteneur n'affichent rien. Ajout du endpoint sur Portainer On commence par rapatrier les trois fichiers utiles pour le client : ca.pem (le même que pour le serveur), cert.pem et key.pem. La sélection des fichiers se fera par une fenêtre de parcours, comme sur interface graphique classique Linux ou Windows. Pour ceux que ça n'aide pas, j'ai utilisé scp et ai mis les fichiers sur mon bureau Linux (attention à la majuscule, c'est -P, pas -p) scp -P <port-SSH> ca.pem cert.pem key.pem toto@central.ndd.tld:~/Bureau Le serveur est maintenant accessible, il ne reste plus qu'à se connecter à Portainer et ajouter l'endpoint. Dans le menu déroulant de gauche, on clique sur Endpoints, puis Add endpoint. Puis on complète de la sorte, en adaptant évidemment à ses propres données : On notera la sélection des certificats et de la clé en bas de la page. On clique ensuite sur "Add endpoint". Si tout s'est bien passé, l'instance cible apparaît maintenant dans la liste des endpoints et est éditable.
  28. 3 points
    .Shad.

    [TUTO] Monitoring NAS et réseau

    Ce tutoriel est dédié à la mise en service d'applications qui vous permettront d'extraire des métriques de votre NAS, de les stocker dans une base de données et de les mettre en forme de la manière qui vous intéresse. Vous pourrez par la suite monitorer vos autres équipements réseau disposant du protocole SNMP. Voici un exemple de tableau de bord en temps réel qu'il est possible d'obtenir, ici pour votre NAS : Pré-requis : Ce tutoriel est plutôt exhaustif et prévu pour une faible connaissance de Docker, néanmoins, afin de mieux comprendre ce qui est expliqué ici, il est conseillé de prendre connaissance des bases du fonctionnement de Docker, un tutoriel est disponible ici : Informations préliminaires : Docker-compose Pour créer mes conteneurs, j'utilise docker-compose, car d'une part ça permet de conserver les paramètres de création des conteneurs, et d'autre part ça représente un gain de temps conséquent. Pour les besoins du tutoriel, voici une brève explication de son fonctionnement : Si vous êtes sous windows, je vous conseille d'utiliser Notepad++ : - Créer un nouveau document - Entrer le code lié au conteneur concerné - Menu Encodage -> Vérifier que "Encoder en UTF-8" est choisi - Enregistrer sous -> Nom : docker-compose (à respecter!) Type : YAML Ain't Makeup Language (fin de la liste déroulante). Le fichier docker-compose.yml qui en résulte est à copier dans le dossier dédié au conteneur sur votre NAS (voir point suivant). Ensuite, s'y connecter en SSH : cd /chemin/vers/le/conteneur docker-compose up -d Note : penser à précéder la commande docker-compose de sudo si vous n'êtes pas connecté en root. Dossier de conteneur Afin que les données d'un conteneur soient facilement accessibles, il n'est pas rare de monter des volumes à la création d'un conteneur. Dans mon cas, j'ai un dossier partagé docker, dans lequel on trouve un dossier pour chaque conteneur dont je souhaite pouvoir changer la configuration ou accéder aux données. Par exemple, pour telegraf, le chemin absolu de son dossier sera /volume1/docker/telegraf Ceci est donc à adapter à vos habitudes et à votre guise. Protocole SNMP Aucune connaissance réellement nécessaire pour la stricte application du tutoriel, mais si vous comptez faire de la surveillance d'autres équipements réseaux, ce sera incontournable d'en comprendre le fonctionnement global. On trouve la plupart des informations sur la page wikipédia (notamment les deux premiers paragraphes). Fichiers MIB Les fichiers MIB sont une sorte de base de données arborescente dans laquelle sont classées des informations liées au comportement en cours d'un système. Matériel nécessaire : La seule limitation de ce tutoriel est d'avoir un NAS disposant du paquet Docker. De manière générale, ce tutoriel devrait vous permettre de reproduire dans les grandes lignes la mise en service du système de gestion de réseau sur d'autres équipements, typiquement un raspberry par exemple. En effet peu de choses sont spécifiquement liées à DSM. Connaissances préalables : Savoir se connecter en SSH (voir tutoriel de Zeus) Avoir quelques notions du fonctionnement de Docker I/ Activation du protocole SNMP Par défaut, le protocole n'est pas activé. Pour y remédier, on va dans Panneau de configuration -> Terminal & SNMP -> Onglet "SNMP" pour arriver à l'écran suivant : Cocher les cases comme ci-avant, les données dans "Informations du périphérique SNMP" sont facultatives. J'ai laissé public, le choix par défaut pour le nom de communauté. Il se peut que le pare-feu Synology demande une ouverture de port. Si vous avez suivi les recommandations du tutoriel de sécurisation de votre NAS, vous avez sûrement autorisé toutes les requêtes émanant d'une source locale, dans ce cas pas besoin d'ajouter d'exception. Ça ne se justifie que si vous souhaitez monitorer un serveur distant. II/ Le principe On utilise la combinaison de trois applications exécutées en conteneurs docker pour exploiter les données de notre NAS : - Telegraf C'est un agent de récupération de métriques (entendez des données relatives au fonctionnement du système que vous souhaitez surveiller). - InfluxDB InfluxDB est une base de données qui va stocker les métriques recueillies par Telegraf. - Grafana C'est un outil de supervision et d'aggrégation de métriques, ce qui va nous permettre de manipuler les données stockées dans InfluxDB. III/ Installation : 1/ Les images On télécharge les trois images docker suivantes : telegraf influxdb grafana/grafana 2/ Création d'un réseau bridge défini par l'utilisateur Pour que nos conteneurs puissent communiquer entre eux, il existe principalement deux méthodes : - par lien : on utilise la fonction de lien présente dans l'interface de création d'un conteneur sur DSM qui pointe vers le conteneur avec lequel on souhaite établir un pont. Cette méthode fonctionne encore, mais est dépréciée par Docker. - par réseau : Il y a plusieurs réseaux bridge disponibles dans Docker: * le bridge par défaut : le conteneur est isolé dans le sous-réseau 172.17.0.x, il communique avec le NAS qui a l'adresse 172.17.0.1 et qui fait office de passerelle avec le reste du monde. Ce conteneur n'est joignable autrement que par son adresse IP. C'est adapté à un conteneur isolé, pas un trio de conteneurs. * un bridge dédié au conteur : si rien n'est précisé à la création du conteneur, Docker crée un réseau dédié au conteneur, par exemple 172.18.0.0, le conteneur aura pour adresse 172.18.0.2, et le NAS sera la passerelle en 172.18.0.1. 172.17.0.1, 172.18.0.1, vous pouvez retrouver ces interfaces en tapant ifconfig en SSH sur le NAS. * un réseau bridge externe : au lieu de laisser Docker générer ça automatiquement, on crée un réseau bridge en amont, on pourra y adjoindre tous les conteneurs que l'on veut. L'avantage est que ce réseau est persistant, car créé en dehors de la génération de conteneurs, et que tous les conteneurs qui s'y trouvent pourront communiquer par leur nom, au lieu d'utiliser les IP. Important : tous les ports de chaque conteneur sont exposés mutuellement vers les autres conteneurs du même réseau, si une info a vocation à transiter entre deux conteneurs, et que l'utilisateur n'a pas besoin d'y accéder, on n'exposera pas les ports vers l'hôte. La dernière solution est exactement ce qu'on recherche ici pour faciliter la discussion entre nos trois applications, et ça se fait facilement sur DSM : pour créer notre bridge personnalisé, il suffit d'aller dans Docker sur DSM -> Réseau -> Ajouter -> On valide, le réseau est maintenant créé, nos conteneurs pourront y être directement intégrés à leur création. 3/ Création du conteneur InfluxDB On commence par InfluxDB, car sans lui Telegraf ne saura pas exporter ses métriques, et Grafana n'aura pas de source de métrique. On crée d'abord un dossier data dans le dossier du conteneur. On crée ensuite le fichier docker-compose.yml, ou on le télécharge (et on le renomme docker-compose.yml) : influxdb_docker-compose.yml Notes : Un fichier docker-compose.yml n'accepte pas les tabulations !!! ce qui s'y apparente dans le code suivant consiste en des espaces ! version: "2" services: influxdb: image: influxdb container_name: influxdb hostname: influxdb environment: - INFLUXDB_DB=nas_telegraf - INFLUXDB_ADMIN_USER=admin - INFLUXDB_ADMIN_PASSWORD=admin - INFLUXDB_USER=nas_telegraf - INFLUXDB_USER_PASSWORD=nas_telegraf - INFLUXDB_HTTP_AUTH_ENABLED=true volumes: - "/volume1/docker/influxdb/data:/var/lib/influxdb" ports: - 8086:8086 restart: unless-stopped networks: default: external: name: data_export Notes : (important pour la compréhension) - On a créé une DB par défaut => nas_telegraf - On a créé un utilisateur administrateur pour gérer l'ensemble des DB dans InfluxDB => admin / admin - On a créé un utilisateur avec les droits de lecture et écriture sur la DB nas_telegraf => nas_telegraf / nas_telegraf - On a activé l'authentification HTTP (nécessaires pour que les autres variables d'environnement soient prises en compte). - Le dossier data créé ci-avant sert de volume de stockage des données. - InfluxDB fait transiter les données via le port 8086. Important : ici je fais le choix d'exposer le port sur son hôte (le NAS), cela permet à un autre périphérique d'envoyer des données vers InfluxDB au besoin. Ou si par exemple votre instance Grafana est sur un autre périphérique (par exemple un VPS, il faut que l'hôte expose ce port pour que Grafana y ait accès). Si seul le monitoring du NAS vous intéresse, vous pouvez supprimer les lignes ports: et - 8086:8086. Telegraf et Grafana seront toujours en mesure d'accéder au port du conteneur, vu que dans le même réseau. 4/ Création du conteneur telegraf Telegraf utilise un fichier de configuration .conf, qu'on va générer en amont de la création du conteneur. Pour se faire on se connecte en SSH : cd /volume1/docker/telegraf docker run --rm telegraf telegraf config > telegraf.conf Un fichier telegraf.conf va apparaître dans le dossier, avant de l'éditer je vous conseille d'en faire une copie, en SSH il suffit de taper la commande suivante (merci @Zeus pour la suggestion) : cp /volume1/docker/telegraf/telegraf.conf /volume1/docker/telegraf/telegraf.conf.back Une fois cette précaution prise, vous pouvez directement éditer le fichier sur le NAS avec le paquet Éditeur de texte. Le fichier est touffu, il est construit de la sorte : a) La première partie reprend la configuration de telegraf, je n'ai pas eu à y toucher dans mon cas. A noter, la variable flush_interval qui permet de définir à quelle fréquence les données sont récoltées. b) Dans la partie "output plugins" c'est la section relative à InfluxDB qui nous intéresse, assurez-vous que les lignes non commentées correspondent à l'impression d'écran ci-après. ############################################################################### # OUTPUT PLUGINS # ############################################################################### # Configuration for sending metrics to InfluxDB [[outputs.influxdb]] ## The full HTTP or UDP URL for your InfluxDB instance. ## ## Multiple URLs can be specified for a single cluster, only ONE of the ## urls will be written to each interval. # urls = ["unix:///var/run/influxdb.sock"] # urls = ["udp://127.0.0.1:8089"] # urls = ["http://127.0.0.1:8086"] urls = ["http://influxdb:8086"] ## The target database for metrics; will be created as needed. ## For UDP url endpoint database needs to be configured on server side. database = "nas_telegraf" ## The value of this tag will be used to determine the database. If this ## tag is not set the 'database' option is used as the default. database_tag = "" ## If true, no CREATE DATABASE queries will be sent. Set to true when using ## Telegraf with a user without permissions to create databases or when the ## database already exists. skip_database_creation = true ## Name of existing retention policy to write to. Empty string writes to ## the default retention policy. Only takes effect when using HTTP. retention_policy = "" ## Write consistency (clusters only), can be: "any", "one", "quorum", "all". ## Only takes effect when using HTTP. write_consistency = "any" ## Timeout for HTTP messages. timeout = "30s" ## HTTP Basic Auth username = "nas_telegraf" password = "nas_telegraf" Notes : - urls = ["http://influxdb:8086"] -> ici influxdb est le nom du conteneur qu'on a créé (à adapter donc si vous l'avez nommé autrement), du fait que les conteneurs seront dans le même réseau ils pourront se trouver par leur nom directement. - database = "nas_telegraf" -> c'est le nom qu'on a donné à notre base de données lors de la création du conteneur influxdb (variable d'environnement INFLUXDB_DB). - skip_database_creation = true -> créée en même temps que le conteneur influxdb, on peut régler cette option sur "true". - Dans HTTP Basic Auth on entre le nom d'utilisateur et le mot de passe (respectivement les variables d'environnement INFLUXDB_USER et INFLUXDB_USER_PASSWORD), dans notre exemple : nas_telegraf / nas_telegraf c) Il va falloir ajouter les infos relatives aux fichiers MIB de Synology, il suffit de copier ce qui est repris dans ce lien et le coller par exemple au début de la section "Input plugins" Il faut cependant personnaliser les infos relatives à l'adresse IP du NAS et le nom de la communauté SNMP : Notes : - On remplace agents = [ "xxx.xxx.xxx.xxx", "xxx.xxx.xxx.xxx" ] par agents = [ "IP_LOCALE_DU_NAS" ] - community = "public" à adapter suivant le nom de communauté choisi dans la partie I/ du tutoriel Voilà, le fichier telegraf.conf est configuré, on télécharge (ou on écrit soi-même, au choix) le docker-compose (qu'on renomme, comme précédemment, et qu'on adapte au besoin) : telegraf_docker-compose.yml version: "2" services: telegraf: image: telegraf container_name: telegraf hostname: telegraf volumes: - "/volume1/docker/telegraf/telegraf.conf:/etc/telegraf/telegraf.conf:ro" - "/proc:/host/proc:ro" - "/usr/share/snmp/mibs:/usr/share/snmp/mibs:ro" ports: - 8125:8125/udp - 8092:8092/udp - 8094:8094 restart: unless-stopped networks: default: external: name: data_export Notes : - Ne pas oublier d'adapter le chemin du fichier telegraf.conf à votre installation. - Le suffixe ":ro" à la fin du montage de volume signifie read-only (lecture seule), pour éviter toute modification indésirable des fichiers. - Les fichiers MIB de Synology sont déjà présents sur le NAS, on va donc monter le dossier pour que telegraf y ait accès. Important : ici je fais le choix d'exposer les port sur l'hôte (le NAS), cela permet à Telegraf d'envoyer ses données sur l'instance InfluxDB d'un autre périphérique, un périphérique local ou un VPS par exemple. Si seul le monitoring du NAS vous intéresse, vous pouvez supprimer les lignes ports: et - 8125:8125/udp, - 8092:8092/udp et - 8094:8094. Grafana et InfluxDB seront toujours joignables, vu que dans le même réseau. Remarque : Si vous surveillez votre infrastructure réseau depuis un serveur autre que votre NAS, vous aurez besoin des fichiers MIB de Synology, téléchargeables à cette adresse. Telegraf va dorénavant envoyer périodiquement les métriques à InfluxDB, ce qu'on peut constater dans les logs de ce dernier : 5/ Création du conteneur grafana Il ne reste plus qu'à configurer Grafana pour pouvoir représenter les données stockées dans InfluxDB. Comme pour ce dernier, on crée un dossier data dans le dossier du conteneur grafana. Téléchargement du docker-compose :grafana_docker-compose.yml version: "2" services: grafana: image: grafana/grafana container_name: grafana hostname: grafana volumes: - "/volume1/docker/grafana/data:/var/lib/grafana" user: "1026" ports: - 3000:3000 restart: unless-stopped networks: default: external: name: data_export Notes : - Grafana est exposé sur le port 3000 du conteneur, j'ai choisi ce même port pour mon NAS, dans le cas où vous souhaitez accéder de l'extérieur à votre instance Grafana, pensez à soit ouvrir le port dans le pare-feu, soit créer une entrée dans le proxy inversé. - le "1026" représente l'UID de l'utilisateur qui exécute le conteneur, ça correspond ici à mon compte admin, il est possible de choisir un autre utilisateur, attention toutefois au propriétaire du dossier grafana et grafana/data, il peut y avoir des problèmes de droits s'ils ne correspondent pas. Pour connaître l'id d'un utilisateur on se connecte en SSH et on tape : id nom_utilisateur C'est la valeur "uid" qui nous intéresse. Important : Pour accéder à Grafana, il faut absolument que le port 3000 soit translaté sur l'hôte. On se rend sur la page http://IP_DU_NAS:3000 (ou le port qu'on a choisi) pour accéder à Grafana : Les accès par défaut sont admin/admin, la première fois qu'on se connecte on nous invite à changer le mot de passe du compte admin. On suit les indications de Grafana et on commence par ajouter la source de données, ici notre conteneur InfluxDB. On clique sur Add data source. On choisit InfluxDB. On remplit ensuite l'écran suivant de la sorte : Notes : - On donne un nom à notre datasource, ici j'ai choisi NAS_InfluxDB. - influxdb dans http://influxdb:8086 représente le nom que vous avez donné au conteneur. - On coche Basic Auth car on a activé l'authentification http à la création du conteneur influxdb. - Les informations à entrer dans "InfluxDB Details" correspondent aux paramètres d'environnement du conteneur influxdb : * Database : INFLUXDB_DB * User : INFLUXDB_USER * Password : INFLUXDB_USER_PASSWORD - Basic Auth Details : * User : INFLUXDB_USER * Password : INFLUXDB_USER_PASSWORD On clique sur Save & Test, on obtient un message écrit en vert Datasource is working si tout est bien paramétré. V/ Création d'une dashboard On peut soit créer sa propre dashboard, soit en importer une, pour cela il suffit d'aller sur le site de Grafana, plus précisément sur cette page. En tapant Synology dans le cadre de recherche, on peut par exemple choisir la dashboard de Yann Bizeul. On clique sur "Copy ID to Clipboard", on retourne sur notre instance de Grafana et on clique sur import dans le menu rapide à la gauche de l'écran : Dans l'écran suivant on colle dans "Grafana.com dashboard" le numéro de la dashboard qu'on a choisie. On valide en cliquant sur "Load" et on arrive sur l'écran suivant : Dans InfluxDB on choisit la datasource définie ci-avant, on valide en cliquant sur "Import". Si tout est opérationnel on a normalement une dashboard qui devrait afficher les données textes, et avoir déjà tracé des débuts de courbe. Suivant si vous avez changé l'intervalle de collecte de Telegraf, vous disposez déjà de plus ou moins de points. VI/ Monitorer Docker La manipulation est très simple, dans le fichier telegraf.conf, il suffit de décommenter les options qui nous intéressent. Dans mon cas j'ai utilisé le socket unix, car je vise l'instance docker du NAS tournant sur la machine hôte. Si vous avez d'autres machines faisant tourner Docker, vous pouvez les monitorer en exposant un endpoint sur le réseau via un port TCP depuis la machine hôte. Il y a possibilité de trier les conteneurs dont on souhaite réaliser la surveillance suivant différents critères : nom, état, label... Egalement, la possibilité de définir des variables d'environnement communes à différents conteneurs comme tag pour Grafana. # # Read metrics about docker containers [[inputs.docker]] # ## Docker Endpoint # ## To use TCP, set endpoint = "tcp://[ip]:[port]" # ## To use environment variables (ie, docker-machine), set endpoint = "ENV" endpoint = "unix:///var/run/docker.sock" # # ## Set to true to collect Swarm metrics(desired_replicas, running_replicas) # gather_services = false # # ## Only collect metrics for these containers, collect all if empty container_names = [] # # ## Containers to include and exclude. Globs accepted. # ## Note that an empty array for both will include all containers # container_name_include = [] # container_name_exclude = [] # # ## Container states to include and exclude. Globs accepted. # ## When empty only containers in the "running" state will be captured. # # container_state_include = [] # # container_state_exclude = [] # # ## Timeout for docker list, info, and stats commands timeout = "5s" # # ## Whether to report for each container per-device blkio (8:0, 8:1...) and # ## network (eth0, eth1, ...) stats or not perdevice = true # ## Whether to report for each container total blkio and network stats or not total = false # ## Which environment variables should we use as a tag # ##tag_env = ["JAVA_HOME", "HEAP_SIZE"] # # ## docker labels to include and exclude as tags. Globs accepted. # ## Note that an empty array for both will include all labels as tags # docker_label_include = [] # docker_label_exclude = [] # # ## Optional TLS Config # # tls_ca = "/etc/telegraf/ca.pem" # # tls_cert = "/etc/telegraf/cert.pem" # # tls_key = "/etc/telegraf/key.pem" # ## Use TLS but skip chain & host verification # # insecure_skip_verify = false Pour que cela fonctionne, il faut qu'on donne accès au fichier docker.sock à telegraf, il suffit de rajouter dans le docker-compose de telegraf le volume suivant : - "/var/run/docker.sock:/var/run/docker.sock:ro" On relance le conteneur, en SSH via la commande suivante : docker restart telegraf Ou directement par l'UI de Docker dans Synology. VI/ Monitorer un Raspberry Pi (ou Linux plus généralement) Le même schéma doit être respecté : telegraf va agréger les données, influxdb les stocker, grafana les exploiter. Dans mon cas, j'ai choisi de continuer à utiliser l'instance influxdb sur le NAS et avoir une instance de telegraf sur le raspberry, pourquoi ? Pour ceux qui ont mis en place le monitoring, vous aurez pu remarquer qu'influxdb est friand de mémoire vive. Donc autant limiter la charge sur le raspberry, dont les performances ne sont pas le premier atout. J'utilise Raspbian Stretch comme distribution, mais le tutoriel doit être valable a minima pour toute distribution basée sur Debian. 1/ Installation de telegraf Pour l'installation j'ai choisi de passer par Docker, mais il est tout à fait possible de passer par une installation directe (via apt), si l'idée est très similaire les chemins de fichier et commande ne seront en revanche pas les mêmes. Si Docker n'est pas installé sur le raspberry pi, voici un tutoriel permettant de le faire : https://iotbytes.wordpress.com/setting-up-docker-on-raspberry-pi-and-running-hello-world-container/ (NOTE : si vous n'avez pas activé l'accès SSH sur votre raspberry, c'est une option à cocher sur le bureau, le service SSH est désactivé par défaut à l'installation depuis 2016, voir guide ici.) Une fois Docker installé on se connecte en SSH sur son raspberry sur l'utilisateur qu'on a ajouté au groupe docker (voir tuto ci-dessus). On télécharge l'image de telegraf : docker pull telegraf Comme précédemment on va créer un dossier dans lequel stocker notre fichier telegraf.conf, pour le tuto j'ai choisi d'utiliser le dossier personnel de mon utilisateur "pi" : cd mkdir docker cd docker mkdir telegraf Pour générer le fichier telegraf.conf, on peut soit utiliser la commande qu'on avait utilisé sur le NAS : cd /home/pi/docker/telegraf docker run --rm telegraf telegraf config > telegraf.conf Ou on le télécharge ici : telegraf.conf Une fois le fichier de configuration généré, on va créer le conteneur, si vous avez également installer docker-compose sur votre raspberry, on peut utiliser le fichier suivant : telegraf_raspi_docker-compose.yml version: "2" services: telegraf: image: telegraf container_name: telegraf hostname: raspberrypi volumes: - "/home/pi/docker/telegraf/telegraf.conf:/etc/telegraf/telegraf.conf:ro" - "/proc:/host/proc:ro" ports: - 8125:8125/udp - 8092:8092/udp - 8094:8094 restart: unless-stopped Plus que probablement docker-compose n'est pas installé, ce n'est pas inclus de base dans la distribution, il suffit dans ce cas-là de taper la commande suivante en SSH : docker create --name telegraf --restart=unless-stopped --hostname=raspberrypi -p 8125:8125/udp -p 8092:8092/udp -p 8094:8094 -v /home/pi/docker/telegraf/telegraf.conf:/etc/telegraf/telegraf.conf -v /proc:/host/proc:ro telegraf:latest Si le conteneur s'est créé sans erreur, vous devriez voir un code à rallonge, c'est son ID. Pour l'instant on ne démarre pas le conteneur, il va falloir créer la base de données dans laquelle stocker nos informations. 2/ Création de la base de données Rappelez-vous, sur le NAS nous avions précisé dans le fichier telegraf.conf un nom de bdd à utiliser, ainsi que les données d'identification pour les droits d'écriture. Cette base de données avait été créée à la création du conteneur influxdb, donc il n'y avait rien eu à configurer manuellement. Ici on va stocker les données dans une bdd séparée, donc il va falloir créer un nouvel utilisateur, et une nouvelle bdd. Pour cela il faut se connecter directement dans le conteneur influxdb du NAS. Donc retour en SSH sur celui-ci. On se connecte en root et on entre la commande suivante : docker exec -it influxdb influx -username admin -password admin Notes : docker exec -it influxdb permet la connexion au conteneur influxdb, influx c'est la commande ouvrant la base de données, si on avait écrit bash à la place on serait arrivé sur l'invite de commande propre au conteneur et on aurait pu écrire influx pour faire la même chose, mais en plus long. 😛 Vu qu'on a activé l'authentification HTTP dans notre conteneur, si on ne précise rien à la connexion, toute tentative de modification se soldera pas un échec dû à un défaut de permission. De plus, vu qu'on souhaite créer de nouveaux éléments, il faut que le compte utilisé ait les pouvoirs d'administration. Il faut donc préciser les données d'authentification au lancement de la commande influx. Ces données sont celles que l'on avait renseignées à la création du conteneur InfluxDB, dans le tutoriel on a choisi admin/admin comme username/password. Première étape : on crée la base de données, il suffit de taper la commande suivante : CREATE DATABASE raspi_telegraf puis on sélectionne la base de données qu'on vient juste de créer : USE raspi_telegraf On crée maintenant l'utilisateur dédié au raspberry : CREATE USER raspi_telegraf WITH PASSWORD 'raspi_telegraf' Notes : - Ne pas oublier les guillemets autour du mot de passe. - Si on s'est trompé dans l'écriture, il est toujours possible de supprimer un utilisateur ou une base de données avec les commandes DROP USER nom_utilisateur et DROP DATABASE nom_bdd. On peut vérifier à ce stade que tout se passe bien, il suffit de taper les commandes SHOW DATABASES et SHOW USERS : La dernière étape consiste à donner des droits à notre utilisateur raspi_telegraf sur la bdd du même nom, ce qui se fait par la commande : GRANT ALL ON raspi_telegraf TO raspi_telegraf On relance le conteneur pour s'assurer que les modifications ont été prises en compte : docker restart influxdb On peut maintenant quitter la session SSH sur le NAS et revenir sur celle du raspberry. A ce stade, notre base de données est prête à l'emploi, il suffit maintenant de renseigner dans notre fichier telegraf.conf sur le raspberry les données d'exportation vers influxdb sur le NAS. On peut le faire avec la commande nano ou vi : cd /home/pi/docker/telegraf nano telegraf.conf ############################################################################### # OUTPUT PLUGINS # ############################################################################### # Configuration for sending metrics to InfluxDB [[outputs.influxdb]] ## The full HTTP or UDP URL for your InfluxDB instance. ## ## Multiple URLs can be specified for a single cluster, only ONE of the ## urls will be written to each interval. # urls = ["unix:///var/run/influxdb.sock"] # urls = ["udp://127.0.0.1:8089"] # urls = ["http://127.0.0.1:8086"] urls = ["http://192.168.0.51:8086"] ## The target database for metrics; will be created as needed. ## For UDP url endpoint database needs to be configured on server side. database = "raspi_telegraf" ## The value of this tag will be used to determine the database. If this ## tag is not set the 'database' option is used as the default. database_tag = "" ## If true, no CREATE DATABASE queries will be sent. Set to true when using ## Telegraf with a user without permissions to create databases or when the ## database already exists. skip_database_creation = true ## Name of existing retention policy to write to. Empty string writes to ## the default retention policy. Only takes effect when using HTTP. retention_policy = "" ## Write consistency (clusters only), can be: "any", "one", "quorum", "all". ## Only takes effect when using HTTP. write_consistency = "any" ## Timeout for HTTP messages. timeout = "5s" ## HTTP Basic Auth username = "raspi_telegraf" password = "raspi_telegraf" Notes : - Dans urls, on doit entrer l'adresse IP locale du NAS (ou son nom NetBios), et préciser le port sur lequel influxdb est exposé, par défaut 8086 dans notre installation précédente. - On pense bien à préciser le nom de la base de données dans database et les login/password de notre utlisateur dans la partie HTTP Basic Auth. - On passe skip_database_creation à true. Tout est maintenant configuré sur le raspberry, il suffit de lancer le conteneur telegraf : docker start telegraf si on utilise les lignes de commande ou bien se placer dans le dossier telegraf et lancer la commande suivante : docker-compose up -d si on utilise docker-compose. Si tout a bien marché, en regardant les logs du conteneur influxdb on doit voir quelque chose ainsi : On remarque bien deux envois, un venant de 172.22.0.2 correspondant à l'IP du conteneur telegraf sur le NAS, un venant de 172.22.0.1, le NAS, servant de passerelle au raspberry pour accéder à notre instance d'influxdb. 3/ Ajout d'une source de données sur Grafana Direction Grafana => panneau latéral : Configuration (roue dentée) => Datasources On clique sur Add data source On valide, si tout a bien été configuré, on verra le message "Datasource is working" apparaître en vert au moment du clic. 4/ Création de graphiques Il s'agit juste ici de vérifier que les données sont accessibles : Ici j'ai créé un graphique pour suivre l'état d'utilisation de la mémoire vive : - On notera le choix de la datasource relative au raspberry. - Dans la liste "host" vous devriez voir le nom que vous avez précisé dans le champ hostname du script de création du conteneur. Si vous avez laissé le réglage par défaut, il affichera la valeur hostname du système. MàJ : 07/05/20
  29. 3 points
    Balooforever

    Gagnez un IronWolf pour votre NAS

    Hello @seagate_surfer Nous aurons bientôt les résultats ? 🙂
  30. 3 points
    Varx

    Mémoire Vive (RAM)

    Pour les intéressés voici un fichier récapitulant les compatibilités RAM / Syno testé par les membres. Connaitre les caractéristiques de la RAM d'un SYNO => https://www.synology.com/fr-fr/products/accessories/ram_railkit * info @maxou56 Commande ssh pour connaitre les info sur la RAM (en root sudo -i ou mettre sudo devant la commande) dmidecode -type memory (pour tout) dmidecode -t 16 (pour la RAM max du modèle) dmidecode -t 17 (pour la RAM installées) NAS-Compatibilité_RAM.xlsx
  31. 3 points
    Fenrir

    [TUTO] Remplacer un disque en SHR

    Un petit tuto rapide pour vous indiquer les étapes à effectuer lors du remplacement d'un disque dur sur un NAS avec 2 disques en SHR, la procédure est la même pour le raid1, le raid5, le raid6 et le SHR2. ######################## Mon DS712+ était monté en SHR avec un disque de 3To et un disque de 4To => 3To de disponibles. Comme il commençait à être très rempli (moins de 1% d'espace disponible) et que j'avais un disque de 4To en spare, j'ai décidé de lui donner un peu d'air. C'était l'occasion de vous faire les captures d'écran des différentes étapes à réaliser. nb : vous l'aurez compris, ici je n'ai pas eu de panne disque, je souhaitais juste augmenter l'espace disponible, mais les premières étapes sont les mêmes. ######################## Tester le disque en spare Il est recommandé de tester les disques avant de les utiliser, il existe plusieurs manières de faire. Certains recommandent d'utiliser les outils du constructeurs, d'autre de faire un formatage de bas niveau et les derniers d'utiliser le programme badblock présent sur les Synology. Je n'ai pas de méthode préférée, chacun fait comme il veut, l'important est de s'assurer de ne pas installer un disque défaillant. ######################## Identifier le disque à remplacer Afin d'être certain de retirer le bon disque (enfin celui qui est mauvais ), surtout si les disques sont du même modèle, le plus fiable est de relever le numéro de série dans le Gestionnaire de stockage : Ici les 2 disques sont sains, pour la suite on va dire que le disque 2 était en panne, donc je relève son numéro de série. On peut aussi se fier à la numérotation des disques (vous trouverez des exemples dans les commentaires), mais l'utilisation du numéro de série ne devrait pas laisser de place au doute. ######################## Vérifier que les sauvegardes sont à jour Comme toujours, il faut s'assurer d'avoir des sauvegardes des données du NAS, on n'est jamais à l'abri d'un problème, surtout en cas de reconstruction d'un raid comme ici. La réparation d'un volume est une opération assez intense pour les disques. ######################## Couper proprement le NAS Certains NAS permettent le remplacement d'un disque à chaud (c'est le cas des miens), mais si c'est possible, il vaut mieux éteindre proprement le NAS et débrancher son cordon secteur pour faire la manipulation. ######################## Remplacer le disque à changer On retire le disque à changer et on contrôle que c'est bien lui grâce au numéro de série. Il serait dommage de retirer le disque qui fonctionne. C'est un des avantages de faire la manipulation NAS coupé : si on retire le mauvais disque (enfin celui qui va bien ), il suffit de le remettre à sa place. On insère le nouveau disque dans son emplacement et on rallume le NAS. nb : si votre disque était stocké dans un endroit froid (en hiver dans le garage par exemple), attendez qu'il soit revenu à température ambiante avant d'allumer le NAS, dans le cas contraire, la dilatation des composants (plateaux et têtes de lecture) risque de l'endommager définitivement. ######################## Volume dégradé Au démarrage (qui sera peut être un peu plus long que la normal), votre NAS va se mettre à biper. En vous connectant à l'interface, le Gestionnaire de stockage et le Panneau de configuration vont s'ouvrir. Le panneau de configuration vous servira juste à couper le bip s'il est gênant. Dans le gestionnaire de stockage vous aurez quelque chose comme ceci : Comme indiqué dans le message, le nouveau disque doit avoir une taille minimale (ici il doit faire au moins 2794 Go). Notez en passant le taux de remplissage. Ne laissez pas votre NAS se remplir autant, c'est mal, ça ralenti tout le système et ça peut même créer des pannes (ça faisait très longtemps que je devais m'occuper de ça, j'ai trop trainé). Ici vous devez cliquer sur le bouton Gérer (suivez la flèche). ######################## Réparation du volume Un nouvel écran apparait, il vous propose de Réparer le volume : Lisez le message (contrairement à ce que j'avais fait, je viens de m'en rendre compte en me relisant), validez le choix et faites Suivant. Le NAS vous indique le disque qu'il va utiliser pour faire cette réparation (c'est le nouveau disque). Choisissez le disque à utiliser (ici je n'ai pas le choix) puis faites Suivant. Le NAS vous rappel une dernière fois que le disque sélectionné sera effacé : Si vous êtes certain d'avoir choisi le bon disque, validez avec OK Vérifiez que tout est conforme puis appliquez la configuration avec le bouton Appliquer. ######################## Contrôle de l'avancement Dans le gestionnaire de volume, vous pourrez contrôler l'avancement de la réparation : Si vous avez configuré les notifications, vous recevrez ceci : Puis ceci : À partir de ce moment, même si ce n'est pas recommandé, vous pourrez utiliser votre NAS normalement, même l'éteindre si besoin (la réparation recommencera au démarrage suivant). Par contre toutes les opérations seront fortement ralentis. Je vous recommande de laisser le NAS faire sa réparation tranquillement (ce n'est pas le moment d'aller y recopier des Giga de données). ######################## Contrôle de l'avancement en SSH Si vous souhaitez avoir plus de détails sur l'avancement de la réparation, connectez vous en ssh et entrez la commande : cat /proc/mdstat fenrir@nas:~$ cat /proc/mdstat Personalities : [linear] [raid0] [raid1] [raid10] [raid6] [raid5] [raid4] md2 : active raid1 sdb5[2] sda5[3] 2925531648 blocks super 1.2 [2/1] [U_] [>....................] recovery = 2.7% (79955328/2925531648) finish=614.9min speed=77126K/sec md1 : active raid1 sdb2[1] sda2[0] 2097088 blocks [2/2] [UU] md0 : active raid1 sdb1[1] sda1[0] 2490176 blocks [2/2] [UU] unused devices: <none> Ici la vitesse est cohérente par rapport au taux de remplissage de mon NAS, à sa charge et à la vitesse des disques. ######################## Accélérer la vitesse de réparation La reconstruction d'un raid c'est toujours long, surtout avec des disques de plusieurs To et avec les raid de parité (raid5 ou 6) c'est encore plus long, donc il faut prendre son mal en patience. Avec mes 2 disques de 4To, mon NAS m'annonce environ 10h, il va bosser toute la nuit. La meilleur des actions à effectuer consiste à ne rien faire sur le NAS : laissez le tranquille. Néanmoins, dans certains cas, il arrive que la vitesse soit anormalement basse, il peut y avoir 3 causes : l'un des disque est fatigué ou défaillant : comme indiqué précédemment, la reconstruction d'un raid est une opération lourde pour les disques, d'où l'importance des sauvegardes votre NAS est trop sollicité : coupez les applications non essentiels, mettez vos téléchargement en pause, reportez votre soirée ciné ... la réparation est bridée Pour le dernier cas, il faut vérifier les 3 valeurs suivantes : La vitesse en dessous de laquelle la réparation ne doit pas aller (par défaut c'est 10000) : cat /proc/sys/dev/raid/speed_limit_min La vitesse au dessus de laquelle la réparation ne doit pas aller (par défaut c'est 200000) : cat /proc/sys/dev/raid/speed_limit_max La vitesse maximal autorisée dans la limite de la valeur précédente (par défaut c'est "max") cat /sys/block/md?/md/sync_max Si vous constatez des valeurs différentes chez vous, postez le résultat sur le forum, on vous indiquera si oui ou non c'est normal et si vous devez ou non modifier ces valeurs. ######################## Résultat final Une dernière notification pour indiquer que l'opération est terminée : Au final l'opération aura pris 12h chez moi, par contre je ne m'attendais pas à ça (mais j’aurais du puisque c'était indiqué dans le message dès le début) : Mon Syno a décidé tout seul d'agrandir le volume agrandi le volume comme annoncé, sans aucune intervention de ma part (je pense qu'il a fait ça en 2h, après les 10h estimées pour la réparation du raid). On appréciera ou non, perso, même si c'est ce que je comptais faire, j'aurai préféré qu'il laisse le choix (pour créer un nouveau volume par exemple). En pratique il a créé un nouveau volume physique LVM (pv) qu'il a associé au groupe (vg) afin d'agrandir le volume logique (lv) : fenrir@nas:~$ cat /proc/mdstat Personalities : [linear] [raid0] [raid1] [raid10] [raid6] [raid5] [raid4] md3 : active raid1 sdb6[1] sda6[0] 976646528 blocks super 1.2 [2/2] [UU] md2 : active raid1 sdb5[2] sda5[3] 2925531648 blocks super 1.2 [2/2] [UU] md1 : active raid1 sdb2[1] sda2[0] 2097088 blocks [2/2] [UU] md0 : active raid1 sdb1[1] sda1[0] 2490176 blocks [2/2] [UU] unused devices: <none> On voit bien l'apparition de md3 (environ 1To).
  32. 3 points
    unPixel

    [TUTO] Désactiver Universal Search - DSM6

    Bonjour, Dans ce tuto, je vais vous montrer la "petite" manipulation à faire pour désactiver Universal Search. On peut voir ici ou là sur la toile beaucoup de personnes se plaindre de ce paquet qui prend pas mal de ressources surtout sur des NAS de petites configurations et malheureusement, on ne peut pas à ce jour le désactiver. Mais avec cette petite manipulation, ça sera le cas ! ATTENTION : depuis une mise à jour récente d'Universal Search, ce dernier dépend entièrement des paquets Drive et Office. C'est pourquoi vous ne pourrez le désactiver si vous utilisez un de ses paquets ! Nouvelle méthode simplifiée : On se rend dans Panneau de configuration > Planificateur de tâches puis on créer une nouvelle tâche avec comme script : sed -i 's/ctl_stop="no"/ctl_stop="yes"/g' /var/packages/SynoFinder/INFO Le fichier INFO est ainsi modifié et on peut ensuite stopper UNIVERSAL SEARCH Si en plus on veut pouvoir le désinstaller on ajoute cette ligne : sed -i 's/ctl_uninstall="no"/ctl_uninstall="yes"/g' /var/packages/SynoFinder/INFO Source : @daffy Ancienne méthode : Prérequis : Accès root en SSH à votre NAS. Durée : Deux minutes maximum. ATTENTION : ni moi, ni le staff ne pourront être tenus pour responsables de ce que vous faites avec votre NAS ! 1. Se rendre sur son NAS via SSH (connecté en root) puis taper la commande : vi /var/packages/SynoFinder/INFO 2. Ensuite, on entre en mode éditeur en tapant la lettre "i" puis on se rend sur la ligne ctl_stop="no". Là, on met yes à la place de no puis on quitte le mode éditeur en tapant sur la touche "Echap" puis on tape ensuite ":wq" pour enregistrer le changement effectué puis on tape "exit" pour quitter. Résultat ci-dessous : On peut maintenant se rendre dans le Centre de paquets puis sur le paquet "Universal Search" et arrêter le paquet comme n'importe quel autre. Si comme sur la capture ci-dessus, vous voulez avoir la possibilité de désinstaller Universal Search, alors il vous suffit de commenter la ligne ctl_uninstall="no" en yes ! ---------------------------------------------------------------- Si vous ne savez pas comment vous connecter en ROOT SSH, alors voici le tuto : Source : forum officiel
  33. 3 points
    unPixel

    La confidentialité chez Synology...

    Bonjour, Juste un petit coup de gueule que je dois passer en public en espérant que Synology tombe dessus un de ses quatre. Mrs dames de chez Synology, pourriez-vous revenir à un peu plus de confidentialité svp et arrêter de donner vos fesses aux américains comme Google ou Amazon ! Beaucoup de vos clients achètent un NAS domestique dans le but de se détacher des services des GAFAM et ceux pas loin de rejoindre ces derniers alors je vous prierai svp de les écouter et d'arrêter vos mises à jour qui inclus des services provenant de tiers. Aujourd'hui, certains de vos services passent par d'autres services, scripts et autres données qui se trouvent en dehors des serveurs des clients. Ex: Note Station passe par Google pour soit disant gérer la "vérification orthographique". Photo Station passe par Google et Amazon (Cloudfront) Quand on se connecte sur une instance Photo Station, voilà le résultat : Et là je suis gentil, n'ayant pas tous vos services, je ne peux pas tout voir mais je suis certain que d'autres services inclus aussi ce genre de ****** Alors merci d'arrêter de donner vos fesses à ces GAFAM et d'essayer de soit rien proposer, soit le créer par vous même ! Et surtout, soyez 100% transparent svp 🙄 Il existe assez d'alternatives pour les éviter quand même... Il y a quelques années et plus récemment, j'ai décidé de limiter l'envoi ou le partage de mes données avec ces GAFAM ou en tout cas en limiter au maximum en devenant client chez Synology. Aujourd'hui, je dois soit chercher des alternatives à vos paquets, soit réfléchir à aller voir ailleurs en espérant (j'en doute) que les autres concurrents ne fassent pas la même chose. Merci de m'avoir lu.
  34. 3 points
    PiwiLAbruti

    Vos avis sur le nouveau forum officiel?

    Déjà que j'utilisais peu l'ancien forum (qui est une mine d'or), là ça me coupe l'envie de poster quoi que ce soit dans cette espèce de [qualificatif adapté à votre humeur]. Le plus inadmissible n'est pas tant l'ergonomie mais surtout la perte d'informations, et finalement le mépris du partage du Savoir. Je n'imagine même pas les réactions qu'il y aurait si Wikipedia procédait à une migration aussi calamiteuse.
  35. 3 points
    Lapin

    Certificat Auto-Sign

    Bonjour à tous, Voici un petit tuto pour éviter les avertissements de sécurité sous Outlook, Internet Explorer et Google Chrome. En effet ces logiciels ne permettent pas d'accepter de façon définitive un certificat auto-signé. C'est fort gênant pour ceux qui veulent utiliser une connexion SSL perso. Voici comment procéder en images. 1- Récupérez le certificat installé dans le Syno: Allez dans le panneau de configuration, puis Paramètres de DSM. Choisir l'onglet Certificat, puis cliquez sur Exporter le certificat. Vous allez obtenir un fichier archive.zip qu'il faudra décompresser quelque part. 2- Cliquez sur le bouton droit de la souris sur le fichier ca.crt fraîchement décompressé. 3- Choisir Ordinateur local (afin d'appliquer le certificat pour tous les utilisateur du PC). 4- Choisir le magasin Autorités de certification racines de confiance. 5- Vous pouvez vérifier que votre certificat a bien été installé dans le bon magasin. Pour ce faire, appuyez sur le raccourcie clavier "touche Windows" + R. Lancez l'application certmgr.msc. Vous pouvez alors vérifier qu'il est au bon endroit. Et voilà !!! Fini les messages pénibles lors d'une connexion en https. Testé sous Win7, Win8 et Win8.1 avec succès.
  36. 3 points
    warkx

    [Résolu]Fichier Host Uptobox / Host File Uptobox

    Mise à jour en 1.5 sortie disponible sur la 1ere page. Pour la partie premium c'est OK. Pour la gratuite ça semble OK aussi mais je peux plus tester, il faut attendre 2h x) Et dans 2h j'aurais pas le temps de test.
  37. 3 points
    Vtsax

    Ignorance majeure d’un utilisateur

    Bonjour les amis, Je me permet d'intervenir à nouveau sur ce topic.. Je vais très certainement me faire lynché mais vu que je ne suis pas d'accord, j'ai envie de le dire.. Je n'ai peux être pas tout compris mais j'aimerais que l'on m'explique certaines choses.. J'ai lu plusieurs fois le topic et vu de l’extérieur, je n'arrive pas à comprendre pourquoi "Patrice05" c'est fait dégommé de la sorte.. J'avoue que le titre d'origine n'était pas très approprié et bien entendu je comprend aussi qu'il puisse faire peur aux nouveaux membres du forum mais je trouve que le nouveaux titres ne l'est pas non plus.. Ça m'attriste car c'est une succession de violence et au final on en retire pas grand chose de positif. Le sujet initial est peut-être infondé pour certain mais je vous avoue que moi je ne savais pas et je suis content de l'apprendre.. pourtant j'ai passé pas mal de temps à lire sur ce même forum (en ne comprenant pas tout par moment ) Moi perso, dans le premier message je lis une forme de détresse.. Donc nous ne sommes pas obligé d'agir de la sorte à chaque fois, ce forum est merveilleux, une mine d'or, certains membres sont TRÈS compétant donc ce serait super bien qu'à la place de nous énerver pour au final pas grand chose, de rester peace et zen Bonne journée les amis, J'espère n'avoir heurté personne ^^ Biz
  38. 3 points
    pews

    Un NAS, pourquoi faire ?

    Bonjour à tous, Je prend plaisir à déployer des fonctionnalités sur mon NAS depuis un certain temps étant passionné par ces petites bêtes. Alors je partage un petit tableau qui résume tout ce que j'ai mis en œuvre sur un Synology DS213 acquis en 2013. ITEM Fonctionnalités Protocole Local Distant STOCKAGE Stockage centralisé des données avec gestion des droits X SECURITE Haute disponibilite RAID X SECURITE Sauvegarde intégralité des données du NAS vers DD local avec versionning (journalière) HYPER BACKUP X SECURITE Sauvegarde des données critiques du NAS vers un cloud (journalière) HYPER BACKUP X SECURITE Sauvegarde données d'un NAS Externe vers mon NAS (journalière) HYPER BACKUP X SECURITE Sauvegarde données d'un PC vers le NAS (temps réel) CLOUD STATION SERVER X SECURITE Protection des données contre les attaques : antivirus, firewall, blocage port IP, DDOS, MAJ X SECURITE Protection du NAS par onduleur + prise en charge UPS UPS X RESEAU Serveur DHCP DHCP X RESEAU Serveur PROXY transparant WPAD X RESEAU Serveur Reverse Proxy (avec gestion domaine + certificat) Proxy inversé X RESEAU Connexion lecteur réseau local Service de fichier Windows / Mac X RESEAU Connexion lecteur reseau à distance : Serveur WEBDAV WEBDAV X RESEAU Connexion à distance : Serveur VPN L2TP/OPEN VPN X MULTIMEDIA Synchronisation des données entre NAS et Cloud Cloud Sync X MULTIMEDIA Partage de fichier FileStation, DS FILE X MULTIMEDIA Centre multimédia pour lire des fichiers multimédia sur la TV DLNA X MULTIMEDIA Serveur Audio Audio Station, DS Audio X X MULTIMEDIA Serveur Video Video Station, DS Station X X MULTIMEDIA Serveur Photo Photo Station, DS Photo X X MULTIMEDIA Centre de Telechargement Download Station, DS X X MULTIMEDIA Synchronisation des photos tablettes, smartphones vers le NAS DS Photo X X MULTIMEDIA Serveur d'impression (Ipad, imprimantes USB…) X MULTIMEDIA Centralisation et conservation des mails sur le NAS Mail station X X MULTIMEDIA Surveillance par Camera IP Surveillance station X MULTIMEDIA Outil de gestion des mot de passes Keepass, WEBDAV X X SUPERVISION Notification par mail de tous les événements du NAS Notification X X SUPERVISION Alerte SMS pour des notifications critiques Notification X X SUPERVISION Rapport automatique : Test SMART, utilisation disque X En espérant que ce tableau puisse donner des idées à certains :). Les 2 dernières colonnes reflètent une utilisation plutôt en local (à la maison) ou distante (hors de la maison) de la fonctionnalité décrite. Ci-dessous le tableau complet car je viens de m'apercevoir qu'il est tronqué (et je n'arrive pas à le supprimer...)
  39. 3 points
    whilefork

    Module Pour Les Paroles

    Bonjour, J'ai modifié le module existant officiel qui n'est pas capable de récupérer les paroles complètes pour des raisons légales. Whilefork.
  40. 3 points
    PiwiLAbruti

    module cPasBien.dlm 1.2

    C'est bon pour Torrent9 : [Lien supprimé] Pour ceux qui utilisent T411, le module fonctionne toujours ?
  41. 3 points
    lamplis

    T411.ai.dlm

    T411.ai.dlm Voir le fichier Moteur de recherche T411.ai pour Download Station : - Identification de l'utilisateur. - Limitation des recherches aux 500 premiers résultats. - Utilisation de l'API T411. - Mise à jour du dlm développé par giov et modifié par lolosam : Remplacement de t411.me par t411.io t411.io par t411.in t411.in t411.ch par t411.li t411.li par t411.ai ----- Procédure d'installation ----- 1 - Importer le module t411.ai.dlm dans Download Station : Download Station -> Paramètres -> Recherche BT -> Ajouter 2 - Paramétrage des identifiants de connexion : Sélectionner la ligne "t411.ai" puis cliquer sur "Modifier". Contributeur lamplis Soumis 20/11/2016 Catégorie Créations de nos membres
  42. 3 points
    naellysse

    Synology Et Wdtv Live - How To

    Bonjour, Suite à mes déboires de lectures de vidéos avec sous-titres entre mon Synology DS213+ et mon WD TV Live, je me suis dit qu'un petit tuto pourrait être utile Quelques recommandations : 1) Mettre une adresse IP fixe à votre WD TV Live 2) Utiliser un raccordement câble plutôt que Wi-fi même si celui-ci semble bien fonctionner A - Côté Synology Alors commençons par aller dans la partie d'administration de votre Synology. 1 - Mise en service du partage Windows Ouvrez le panneau de configuration et choisissez "Win/Mac/NFS" Dans l'onglet "Service de Fichiers Windows" : Cochez la case "Activer le Service de fichiers Windows" Laissez WORKGROUP dans la case "Groupe de Travail" Cochez la case "Activer SMB 2 et Large MTU" Validez le tout 2 - Création de l'utilisateur dédié et droits d'accès - optionnel Toujours dans le panneau de configuration, cliquez maintenant sur "Utilisateur" Cliquez sur "Créer" et remplissez de cette manière : Nom : wdtv Mot de passe : <votre choix - faites simple> Confirmez le mot de passe : <le même que ci-dessus> Cochez "Ne jamais autorisez..." Validez le tout Sélectionnez votre utilisateur nouvellement créé et cliquez sur "Modifier" : Dans l'onglet "Groupe Utilisateur", cliquez sur la coche "Ajouter" de la ligne "users" Dans l'onglet "Configuration des privilèges", cochez les cases sous "Lecture Seule" pour au minimum "video" (cliquez aussi pour le reste si vous voulez) Validez le tout 3 - Vérification du partage - inutile si vous n'avez pas fait le 2 Dans le panneau de configuration, cliquez maintenant sur "Dossier partagé" et sélectionnez la ligne "video". Cliquez sur le bouton "Privilèges" et sélectionnez "Configuration des privilèges". Dans l'onglet "Configuration des privilèges", vérifiez que l'utilisateur wdtv possède bien le droit en lecture. Fermez la fenêtre, pas d'autre action requise ici. 4 - Vérifiez que tout est ok Dans l'explorateur de fichiers Windows, dans la partie "Réseau" vous devez avoir votre Diskstation qui s'affiche maintenant. Pressez F5 pour rafraichir si ce n'est pas le cas. Cliquez sur votre Diskstation, et mettez le login/mot de passe que vous avez créer dans l'étape 2 ou bien l'utilisateur "admin" si vous avez sauté l'étape 2. Si vous avez accès à votre répertoire "video", c'est un WIN Next step : faire le nécessaire côté WD TV Live dans le prochain post (dès que j'ai fini les captures d'écrans !)
  43. 3 points
    Vitria

    echec lors du lancement de la réparation du paquet

    Solution: Réinstaller les paquest, ne pas les lancer. Redémarrer le nas puis les lancer depuis le gestionnaire de paquets. Pour moi ça a marché ;) Source: http://it-tuto.com/installer-transmission-sur-votre-nas-synology/
  44. 3 points
    Comment installer le DSM 6 sur DS710+ ATTENTION, vous utiliserez ce qui va suivre à vos propres risques !!! D'abord merci aux forums allemands et US pour leur aide. Un ordinateur sous Linux est nécessaire ainsi qu'une connaissance raisonnable de Linux 1° Modification de la carte micro-usb du DS710+ Cette modification est nécessaire pour l'amorçage du DSM, en effet au boot le syno teste le checksum des fichiers rd.gz et hda1.tgz, ces fichiers ayant été modifiés le checksum est faux et personne ne sait comment le recalculer ( idée empruntée au forum xpenology. - Démonter le capot du syno (3 vis), dans le coin inférieur gauche de la carte mère on voit une carte enfichée munie d'un port micro-USB, la dépose de la carte mère n'est pas nécessaire. - Déposer cette carte, avec une pince plate serrer les deux ergots du téton fixant la carte ( flèche) et la soulever délicatement sans forcer pour ne pas tordre les pins du support Une fois le téton dégagé retirer la carte en la soulevant, elle comporte un disque flash avec deux partitions. - Démarrer l'ordinateur sous Linux et se connecter en tant que root - A l'aide du connecteur micro-USB connecter cette carte à l'ordinateur sous Linux, dans un terminal, entrer successivement : dmesg, le résultat vous donnera le nom du disque que vous venez de connecter, nous l'appellerons sdx mount /dev/sdx1 /mnt Aller dans le fichier /mnt/boot/grub/grub.conf et ajouter # au début de la ligne cksum /grub_cksum.syno puis sauvegarder. A cet instant, il n'est pas inutile de copier quelque part le contenu de sdx1 et sdx2, il suffirait de les restaurer pour débriquer le syno. umount /mnt Déconnecter la carte et la reposer délicatement sur la carte mère ( attention à ne pas décaler ). Refermer le syno, c'est terminé, vous pouvez le réamorcer et continuer à l'utiliser sous DSM 5 ou installer DSM 6 placé dans la zône de téléchargements. 2° Construction du paquet DSM 6 (sous linux en tant que root) Le software du DS712+ est pratiquement identique à celui du DS710+, seuls 3 fichiers sont à modifier dans hda1.tgz et 2 dans rd.gz Pour réussir, il faut savoir que Synology utilise dans busybox un vieux format pour comprimer DSM et Hda1. La non utilisation de ce vieux format explique les echecs à construire des paquets. Enfin, il faut savoir que rd.gz est le résultat d'une compression cpio suivi d'une compression lzma. Je n'ai pas réussi à déterminer les options utilisées pour la compression cpio, ce qui explique l'utilisation d'un éditeur binaire. - télécharger le DSM du DS712+ : DSM_DS712+_7321.pat et celui du DS710+ DSM_DS710+_5644.pat - le décomprimer dans le répertoire de votre choix par la commande tar --format=oldgnu -xvf DSM_DS712+_7321.pat (de mème pour DSM_DS710+_5644.pat) - dans le fichier version changer 712+ en 710+ - remplacer bios.rom par celui du 710+ décomprimé précédemment - supprimer le fichier checksum.syno - déplacer hda1.tgz dans un répertoire de travail - le décomprimer par la commande tar --format=oldgnu -xvJf hda1.tgz (J majuscule) - editer /etc.defaults/synoinfo.conf : remplacer unique="synology_x86_712+" par unique="synology_x86_710+" upnpmodelename="DS712+" par upnpmodelename="DS710+" sata_deeo_sleep_en="yes" par support_esata_led="yes" max_volumes="512" par max_volumes="256" maxlanport="2" par maxlanport="1" supprimer les lignes eth1_mtu et eth1_wol_option - editer /usr/syno/etc.defaults/manutil.conf supprimer la ligne MAC address 2 - editer /usr/syno/etc.defaults/scemd.xml remplacer la section fan_config correspondant au DS712+ par celle correspondant au DS710+ dans le DSM 5-5644 - Recompresser hda1.tgz par la commande tar --format=oldgnu -cvJf hda1.tgz * et le replacer dans le dossier de décompression du DSM 712+ - déplacer rd.gz dans un répertoire de travail - le renommer en rd.lzma - le décompresser par la commande lzma -cd rd.lzma > rd - ouvrir rd dans un éditeur binaire (okteta) et remplacer 712+ par 710+ dans les occurences unique= et upnpmodelename - recompresser par la commande lzma -zc rd > rd.lzma - renommer rd.lzma en rd.gz et le replacer dans le dossier de décompression du DS712+ C'est presque terminé, il nous faut maintenant recalculer le fichier checksum.syno - télécharger dans un répertoire synologychecksum.zip placé dans la zône de téléchargements, le décompresser et lancer la compilation par la commande make - se placer dans le répertoire du DSM 712+ et lancer la commande /nom du repertoire checksum.zip/synochecksum-emu1 -q `find *` > checksum.syno Construire le DSM par la commande tar --format=oldgnu -cvf ../DSM_DS710+_7321.pat * ATTENTION, vous utiliserez ce qui précède à vos propres risques !!!
  45. 3 points
    keltharak

    Module herbergeur Alldebrid

    Version 1.4.0

    1 872 téléchargements

    /! Module fonctionnel /! Module hébergeur pour alldebrid en version 1.3.0 Fonctionnel chez moi mais je ne l'ai pas encore testé à fond. je suis preneur des remonté de bug et de l'ajout d'hébergeurs pris en charge. La notation de la version est sur 3 chiffres : X.Y.Z X : versions majeures Y : corrections de bugs Z : ajouts d'hébergeurs, aucune mmodification du code Voir pour plus d'informations /! Aux utilisateurs de Mac, si vous décompressez le zip sur votre mac vous n'obtiendrez pas le .host mais le contenu de celui-ci. Pour avoir un fichier .host exploitable, transférez l'archive du module sur votre syno et décompressez le directement dans l'interface de celui-ci ou recomposez vous même le fichier .host avec la commande "tar zcf Alldebrid.host INFO alldebrid.php" /!
  46. 3 points
    placuduso

    T411.dlm

    Version 1.0.5

    538 téléchargements

    Moteur de recherche T411.ch pour Download Station : - Identification de l'utilisateur. - Limitation des recherches aux 500 premiers résultats. - Utilisation de l'API T411. - Mise à jour du dlm développé par giov et modifié par lolosam : Remplacement de t411.me par t411.io t411.io par t411.in t411.in par t411.ch ----- Procédure d'installation ----- 1 - Importer le module t411.dlm dans Download Station : Download Station -> Paramètres -> Recherche BT -> Ajouter 2 - Paramétrage des identifiants de connexion : Sélectionner la ligne "t411.in" puis cliquer sur "Modifier". t411.dlm
  47. 3 points
    Zegorax

    Mail Server & Web Server - Configuration De A

    Et voilà ! Vous êtes presque le maître du monde. Maintenant, la partie Synology / DSM ! Précision : Je suis sous le DSM 5.0, mais cela ne devrait rien changer. Donc, allumez votre Synology, (C'est bête mais c'est comme ça ) et loggez vous en tant qu'Administrateur. Lancez le gestionnaire de paquets, et tapez dans la barre de recherche : "DNS Server" (Indispensable pour les enregistrements et les redirections). : Installez le premer, comme sur l'image. Une fois installé, lancez-le. Vous arriverez ici : Cliquez sur le bouton "Créer" en haut, puis "Zone master" : Une fenêtre de configuration va s'ouvrir, entrez votre nom de domaine et cliquez sur "OK" : Votre domaine sera maintenant ajouté. Faites un clic-droit sur votre nom de domaine, et cliquez sur "Enregistrement de ressource" : Cliquez sur "Créer" puis sur "MX Type" : (Oui vous l'avez compris, nous allons créer un miroir de CloudFlare) Je vous montrerai juste le MX, car il est différent à faire. Mettez maintenant les valeurs suivantes : (Excepté le nom de domaine et laissez vide la première boîte !) Cliquez sur "OK" pour valider. Ensuite, mettez exactement la même chose que moi ici (Excepté le nom de domaine et les IP's) : PS : Pour le CNAME : L'information "www" va dans le champ "Nom canonique" (Non, pas besoin de revolver ) Une fois ceci fait, vous pouvez maintenant fermer DNS Server. Nous n'en auront plus besoin.
  48. 3 points
    PiwiLAbruti

    Lancement Dsm 5.0

    Mis à part la partie CMS qui est impressionnante (et ce n'est que le début), je n'ai pas appris grand chose de nouveau que ce qu'on savait déjà. Aucune date pour la beta et encore moins pour la finale. En ce qui concerne CardDAV, l'équipe France a parfaitement connaissance de la grogne montante et l'a remontée depuis longtemps à Taïwan. Même eux ne comprennent pas que ça ne soit pas déjà fait. Maintenant quand on voit les nouveautés du DSM 5.0, on comprend que les développeurs avaient d'autres priorités. Et vu le résultat ils ont du mérite.
  49. 3 points
    mikijone

    Lancement Dsm 5.0

    Moi j'aimerai un simple client ftp intégré dans file station où on pourrait envoyer des liens à télécharger directement dans download station.... J'ai essayé les eXtplorer et autres "solutions" je suis pas convaincu du tout. Rien ne vaut un client proprement intégré par Synology.
  50. 3 points
    kenji

    Nouvelle Version 4.3-3776-3 Vient De Sortir

    je trouve cela pratique, cela m'évite d'aller sur le site de syno et l'anglais ne me dérange pas
Ce classement est défini par rapport à Bruxelles/GMT+02:00
  • Lettre d’informations

    Voulez-vous être tenu au courant de nos dernières nouvelles et informations ?
    S’inscrire