Fenrir

@apossium : http://www.datacenterknowledge.com/archives/2016/05/04/impact-block-sizes-data-center http://www.linux-magazine.com/Online/Features/Tune-Your-Hard-Disk-with-hdparm https://www.storagereview.com/the_impact_of_misalignment

https://ip.privée.du.nas:5001 peut être (ou http://ip.privée.du.nas:5000)

Une personne se présente sur ce forum mais personne ne répond, c'est dommage 😛 welcome 😉

https://letsencrypt.org/docs/staging-environment/ https://github.com/Neilpang/acme.sh/blob/master/acme.sh Commands: --help, -h Show this help message. --version, -v Show version info. --install Install $PROJECT_NAME to your system. --uninstall Uninstall $PROJECT_NAME, and uninstall the cron job. --upgrade Upgrade $PROJECT_NAME to the latest code from $PROJECT. --issue Issue a cert. --signcsr Issue a cert from an existing csr. --deploy Deploy the cert to your server. --install-cert Install the issued cert to apache/nginx or any other server. --renew, -r Renew a cert. --renew-all Renew all the certs. --revoke Revoke a cert. --remove Remove the cert from list of certs known to $PROJECT_NAME. --list List all the certs. --showcsr Show the content of a csr. --install-cronjob Install the cron job to renew certs, you don't need to call this. The 'install' command can automatically install the cron job. --uninstall-cronjob Uninstall the cron job. The 'uninstall' command can do this automatically. --cron Run cron job to renew all the certs. --toPkcs Export the certificate and key to a pfx file. --toPkcs8 Convert to pkcs8 format. --update-account Update account info. --register-account Register account key. --deactivate-account Deactivate the account. --create-account-key Create an account private key, professional use. --create-domain-key Create an domain private key, professional use. --createCSR, -ccsr Create CSR , professional use. --deactivate Deactivate the domain authz, professional use. Parameters: --domain, -d domain.tld Specifies a domain, used to issue, renew or revoke etc. --challenge-alias domain.tld The challenge domain alias for DNS alias mode: $_DNS_ALIAS_WIKI --domain-alias domain.tld The domain alias for DNS alias mode: $_DNS_ALIAS_WIKI --force, -f Used to force to install or force to renew a cert immediately. --staging, --test Use staging server, just for test. --debug Output debug info. --output-insecure Output all the sensitive messages. By default all the credentials/sensitive messages are hidden from the output/debug/log for secure. --webroot, -w /path/to/webroot Specifies the web root folder for web root mode. --standalone Use standalone mode. --stateless Use stateless mode, see: $_STATELESS_WIKI --apache Use apache mode. --dns [dns_cf|dns_dp|dns_cx|/path/to/api/file] Use dns mode or dns api. --dnssleep [$DEFAULT_DNS_SLEEP] The time in seconds to wait for all the txt records to take effect in dns api mode. Default $DEFAULT_DNS_SLEEP seconds. --keylength, -k [2048] Specifies the domain key length: 2048, 3072, 4096, 8192 or ec-256, ec-384. --accountkeylength, -ak [2048] Specifies the account key length. --log [/path/to/logfile] Specifies the log file. The default is: \"$DEFAULT_LOG_FILE\" if you don't give a file path here. --log-level 1|2 Specifies the log level, default is 1. --syslog [0|3|6|7] Syslog level, 0: disable syslog, 3: error, 6: info, 7: debug. These parameters are to install the cert to nginx/apache or anyother server after issue/renew a cert: --cert-file After issue/renew, the cert will be copied to this path. --key-file After issue/renew, the key will be copied to this path. --ca-file After issue/renew, the intermediate cert will be copied to this path. --fullchain-file After issue/renew, the fullchain cert will be copied to this path. --reloadcmd \"service nginx reload\" After issue/renew, it's used to reload the server. --server SERVER ACME Directory Resource URI. (default: https://acme-v01.api.letsencrypt.org/directory) --accountconf Specifies a customized account config file. --home Specifies the home dir for $PROJECT_NAME . --cert-home Specifies the home dir to save all the certs, only valid for '--install' command. --config-home Specifies the home dir to save all the configurations. --useragent Specifies the user agent string. it will be saved for future use too. --accountemail Specifies the account email, only valid for the '--install' and '--update-account' command. --accountkey Specifies the account key path, only valid for the '--install' command. --days Specifies the days to renew the cert when using '--issue' command. The max value is $MAX_RENEW days. --httpport Specifies the standalone listening port. Only valid if the server is behind a reverse proxy or load balancer. --local-address Specifies the standalone/tls server listening address, in case you have multiple ip addresses. --listraw Only used for '--list' command, list the certs in raw format. --stopRenewOnError, -se Only valid for '--renew-all' command. Stop if one cert has error in renewal. --insecure Do not check the server certificate, in some devices, the api server's certificate may not be trusted. --ca-bundle Specifies the path to the CA certificate bundle to verify api server's certificate. --ca-path Specifies directory containing CA certificates in PEM format, used by wget or curl. --nocron Only valid for '--install' command, which means: do not install the default cron job. In this case, the certs will not be renewed automatically. --no-color Do not output color text. --force-color Force output of color text. Useful for non-interactive use with the aha tool for HTML E-Mails. --ecc Specifies to use the ECC cert. Valid for '--install-cert', '--renew', '--revoke', '--toPkcs' and '--createCSR' --csr Specifies the input csr. --pre-hook Command to be run before obtaining any certificates. --post-hook Command to be run after attempting to obtain/renew certificates. No matter the obtain/renew is success or failed. --renew-hook Command to be run once for each successfully renewed certificate. --deploy-hook The hook file to deploy cert --ocsp-must-staple, --ocsp Generate ocsp must Staple extension. --always-force-new-domain-key Generate new domain key when renewal. Otherwise, the domain key is not changed by default. --auto-upgrade [0|1] Valid for '--upgrade' command, indicating whether to upgrade automatically in future. --listen-v4 Force standalone/tls server to listen at ipv4. --listen-v6 Force standalone/tls server to listen at ipv6. --openssl-bin Specifies a custom openssl bin location. --use-wget Force to use wget, if you have both curl and wget installed. --yes-I-know-dns-manual-mode-enough-go-ahead-please Force to use dns manual mode: $_DNS_MANUAL_WIKI --branch, -b Only valid for '--upgrade' command, specifies the branch name to upgrade to.

Tu es un hobbit ? Quand tu as supprimé le paquet, tu as aussi supprimé les conf résiduelles ? (/volume1/@appstore/VPNCenter) Tes plans d'adressages ne sont pas en conflit ? Pour les logs la plupart sont dans /var/log, par exemple pluto.log pour l'ike Mais vu le nombre de personnes qui ont suivi ce tuto avec succès, je pense que tu as raté un truc tellement gros qu'on le voit pas même en vérifiant 15 fois (ça arrive souvent)

Si la clef est correctement déclarée tu ne devrais pas avoir de soucis de connexion, pour les droits c'est un autre sujet, Synology applique des ACL en plus des droits POSIX, donc sur certains dossiers le comportement est plus complexe qu'un simple RWX.

Pour vos tests, acme.sh accepte l'option --staging ... Pour le script, je l'ai regardé vite fait, je vous recommande plutôt de tout enregistrer (acme.sh, script et certificats) dans un partage (/volumeX/scripts par exemple), ça évitera les surprises en cas de mise à jour de DSM. De même plutôt que de faire des cp, faites des redirections d'output ("cat truc > chose" par exemple), ça permet de conserver les droits des fichiers (donc plus besoin de chmod) et enfin, il faudrait y ajouter des contrôles d'erreur (if [ "$?" != 0 ]; then ...). Vous pouvez aussi vous inspirer de ça : https://github.com/fenrir-github/acme-haproxy/blob/master/Dockerfile (en passant, ce docker fonctionne sur un syno, c'est fait pour)

@InfoYANN converti tes sauts de ligne (\r => \n // CR => LF)

;) un peu de lecture : http://livre.g6.asso.fr/index.php/Table_des_mati%C3%A8res https://cisco.goffinet.org/adressage-ipv6/

Pour la découverte locale et la transmission directe (trop long à détailler sans faire un cours IPv6) plusieurs réponses possibles mais avec quickconnect en chemin, je ne peux pas répondre ça fonctionne de la même manière, exemple ici : http://www.ipdeny.com/ipv6/ipaddresses/aggregated/fr-aggregated.zone mais avec quickconnect en chemin, je ne peux pas répondre Les services LAN sont accessibles depuis Internet => c'est un gros problème (le reste est ok) => tu as du rater un truc dans la section Firewall => traité dans un autre post

ouverture du port UDP 1701 depuis le LAN dans le nas ? autorisation des réseaux VPN dans le nas ?

Tu peux faire des liens partagés avec FileStation

Il faut tuner les paquets VPN server et DHCP + certains morceaux de DSM, trop long a faire et à expliquer et trop risqué donc je ne détaillerais pas, mieux vaut investir dans un raspberry

Mauvaise pratique, ce n'est pas à faire (moins fiable et moins performant) La bonne pratique est d'autoriser ce qui doit l'être et de bloquer le reste par défaut Dans le cas d'un serveur MAIL, il faut autoriser le port 25 depuis les pays susceptibles de communiquer avec le nas, les autres ports (587 par exemple) peuvent être limités en fonction des besoins

@Brenac tes questions concernent un routeur, pas un nas (un nas n'est pas fait pour ça) et ta description d'usage ne correspond pas à un bond (agrégation de lien)

Je n'ai pas d'autres éléments à apporter que ceux déjà indiqués mais le pb semble venir de l'onduleur (ou de la gestion de l'onduleur par le nas). Si tu as as le même souci avec le 712+, le pb vient de l'onduleur, sinon il vient du nas =>tu peux tenter de laisser le nas sur l'onduleur mais sans le raccorder (usb ou autre)

Si tu n'as que ces 2 messages oui, mais es tu certains de vouloir héberger tes NS ? Pour le reverse, la question n'est pas clair et ça n'a pas de lien avec le fait d'être DNS master ou slave Pour les résolveur, ce n'est pas très important pour un particulier de choisir des fournisseurs différents => perso je recommande FDN

C'est possible mais pas sans aller faire des modifications en SSH qui seront supprimées à chaque mise à jour.

Si tu tombes sur une page blanche (et pas une page d'erreur) c'est probablement que la partie DNS est OK. Avec Firefox, ouvre un onglet, fait F12, va dans le sous onglet Réseau puis tente d'accéder à ta page et regarde ce qui s'affiche dans Réseau, si des éléments se chargent ou non.

Je ne conseille pas forcement Ubiquiti en routeur et encore moins la gamme ER, car même s'ils sont très bien et imbattable en rapport qualité/prix, ils restent assez complexe pour un particulier, même si pour des besoins simples, le Wizard du début facilite grandement les choses. Néanmoins la gamme de routeur USG d'Ubiquiti est très simple à prendre en main et peut parfaitement convenir à un particulier, je la trouve juste moins puissante et trop cher par rapport à la gamme ER. Mais la meilleur des questions est celle de @InfoYANN => si tu as déjà un routeur (ou n'importe quel type de produit) qui répond à tes besoins, inutile d'en changer.

@PiwiLAbruti les services de geoloc utilisent aussi la base du RIPE, donc ta méthode n'est plus ni moins fiable => pour les FAI c'est souvent OK, pour le reste c'est aléatoire

@Dimebag Darrell : réinstalle le paquet puis désactive le FW et refais la conf à partir de zéro, pour le moment je ne vois que ça, mais un bug n'est pas à exclure (il faudrait les logs client+serveur)

Tu n'arrives pas avec l'une des IP autorisée pour x ou y raison. Probablement un service comme maxmind ou ipdeny, mais la geolocalisation IP n'est pas une science exacte (loi de là), pour les IP d'opérateur officiel c'est assez fiable (les FAI), pour le reste, c'est random. Chacun doit bien sur adapter à ses besoin (je n'ai jamais branché de dongle 4g ou sur un autre port au hasard et je en souhaite pas non plus avoir cette protection sur toutes les interfaces => choix perso), mais j'ai ajouté un commentaire

@Dimebag Darrell oui 🙂

Ton nat est correct ?