Fenrir

Il est à toi ce serveur ? Pour iptables (c'est à faire sur le serveur vpn, pas sur le nas), tu as un exemple ici : http://www.linux-france.org/prj/edu/archinet/systeme/ch62s03.html Si tu ne comprends pas, il nous faudra plus de détails.

La seule solution si tu n'as pas la main sur le "double nat" est effectivement de passer par un VPN (c'est ce que fait quickconnect), mais pas un machin "qui prétend protéger ton anonymat". Il faut un vrai VPN qui permette le routage (ou le NAT) entrant => dit autrement, il faut que tu montes un serveur VPN (chez des amis, sur un VPS, ...). Si tu as accès à un serveur et que ton nas est bien connecté dessus, tu as juste une règle de PREROUTING et de MASQUERADE à ajouter normalement. Sinon change d'offre, certains FAI proposent une vraie IP publique en 4G (je ne me rappelle plus desquels par contre, il y a un post quelque part). (en fait il y a une autre possibilité, mais qui vient avec un wagon d'inconvénients, c'est de passer par I2P ou tor) ps : ça devrait être interdit par la loi de ne pas proposer d'IP publique, à minima en IPv6, lors de la souscription d'un abonnement à "Internet"

Si tu débutes, n'héberge pas la zone public sur ton nas. C'est clairement indiqué dans le tuto en rouge et en gras, c'est uniquement faisable à parti d'un certain niveau de maitrise que tu n'as pas encore (vu tes question). Pour le moment, créé tes enregistrements chez Gandi (sans redirection, uniquement avec des type A, AAAA et CNAME) et fais ta zone DNS locale (+ les vues), quand tout marchera comme tu veux depuis Internet, tu reviendras tester la zone publique si ça t'amuse de tout gérer en interne.

Windows est très limité comme OS, donc oui, il faut booter sur une machine Linux.

Essaye avec le reverse proxy, si ça "masque" le problème, ça devrait résoudre ton pb.

Centreon c'est plusieurs briques, donc il est effectivement difficile de s'y retrouver dans les versions, pas contre je trouve la doc très bien bien faite et le produit très simple à installer et à prendre en main. Il y a également plusieurs templates de services et d'hôtes standard, tout comme des commandes. Je pourrais t'expliquer comment ça fonctionne, mais comme pour le reste, je t'ai peut être proposé "trop gros". Pour les commandes supplémentaire je n'ai jamais eu besoin de passer à la caisse. Je n'utilise que du fait main ou les centreon-plugins au travail. Exemple : Pour le CLAPI tu n'as a pas besoin à mon avis

Super nouvelle, même si une réinstallation aurait été nettement plus rapide, au moins ça aura permis de faire un peu joujou dans les entrailles de DSM.

Sa grande sœur (M-PRO) est nettement plus efficace (et plus cher), je fais du mesh @350mbits réels sur plus de 50m et son ancêtre (uap-outdoor+) a plus de 100m on peut encore se connecter et surfer en 2.4Ghz (pas un super débit mais stable et largement suffisant). Tu es certain de ne pas avoir loupé un réglage (à commencer par l'angle des antennes et le gain) ou une mise à jour ? Les commentaires, sans être élogieux, ne sont pas mauvais sur ce modèle (contrairement à l'UAP-AC Outdoor). De ce que je lis la couverture effective est d'environ 30-40m pour -70dBM (c'est peu mais pour le prix c'est très correct en outdoor). --- je viens de tomber sur un post avec pas mal de retours négatifs, mais aussi des tests relativement corrects. Un point important (en complément de ceux que j'ai indiqué juste au dessus) semble être la fréquence utilisée. L'UNII-1 est bridée à 50mw par la FCC, il faut passer sur des canaux DFS avec ce modèle. Avec les EdgeRouter l'ipv6 marche très bien (cli uniquement), donc ça doit marcher avec les USG puisque le code de base est le même (avec quelques versions de moins) => un exemple Sur les ER tu as aussi cette fonction, perso je ne m'en sers JAMAIS, je préfère créer mes règles de FW+NAT moins même, ce n'est pas plus long et c'est nettement plus précis et efficace (si on a les bonnes bases/notions). Sinon oui, généralement c'est suffisant pour la plupart des gens. Pas nécessairement dans cet ordre, avec le NAT, les vlan, le PBR, ... tu peux le faire de plein de manières. Perso je ferai box--usg---switch---le reste (dans des vlans différents si besoin). Il faudrait un post rien que pour cette question, donc en version simplifiée : proxy transparent : tu demandes au routeur de rediriger le trafic HTTP des clients vers le squid ou tu configures le squid comme routeur pour les clients => pas de conf client mais seul l'HTTP sera filtré (sauf à jouer avec les certificats ... on va éviter) proxy explicite : tu configures les clients (via un .pac sinon ça va être gênant en dehors de chez toi) pour utiliser le squid => ftp/http/https/gopher (peu importe le port) seront filtrés sans effort squid peut filtrer le trafic selon plein de critères (ip, port, domaine, url, mot clef, taille, heure, ...) maintenant la plupart du trafic est chiffré, donc le mode transparent est caduque => explicite ou rien il existe aussi des proxy pour la plupart des autres protocoles (même SIP), mais ils sont rarement utilisés oui, mais si tu remplace le /appli par un nom de domaine (appli.domaine.fr), le reverse proxy de base du syno est suffisant => exemple Le mien est en : https://unifi.domaine.fr avec unifi.domaine.fr = ip.de.mon.nas (avec le reverse proxy de base) Sur le nas tu ne peux pas (sauf peut être avec OpenvSwitch, mais pas testé), sur un serveur tu configures le daemon docker comme tu le souhaites. Tu peux aussi lancer le docker avec l'option --net=host (il y a un bouton sur le syno qui fait la même chose), comme ça il est directement bindé sur l'interface réseau du nas. De la même manière que pour aller ici, le trafic de ton PC est routé (plusieurs fois), il y a juste du NAT en plus car ton PC n'a pas d'ip publique. Mais tu n'es pas obligé de faire autant de segmentation, je t'indiquais simplement la "bonne pratique". =>pour parler au serveur, ton pc passera par ton routeur et ton serveur passera par le routeur pour répondre au pc Ça ne pose aucun problème du moment que le routeur tiens la charge (un USG c'est 3Gbits, ça devrait suffire). nb : ce n'est parce que le trafic est routé qu'il y a un Firewall ou du filtrage, typiquement entre ton PC et ce site tu dois traverser une dizaine de routeur (en plus de ta box), il n'y a aucun filtrage effectué (normalement) Si tu mets tout à plat, le Guest aura accès au nas/serveur/tes pc/... (sauf à filtrer avec la borne elle même). Le portail captif empêche simplement le trafic non authentifié, mais une fois authentifié, on fait ce qu'on veut. Si je prends chez moi comme exemple (en version simplifiée) : réseau 1 : WIFI+filaire (réseau principal pour les pc, nas, ...) => pas de vlan, ou vlan natif si tu préfères (les trames ne sont pas taguées) réseau 2 : WIFI pour les invités, c'est un autre SSID qui tombe dans un vlan dédié réseau 3 : WIFI+filaire pour les caméra de surveillance et autres trucs du même genre dans un autre vlan réseau 4 : WIFI+filaire pour mes tests dans un autre vlan =>les 4 réseaux WIFI et les 3 réseaux filaires sont tous routés par mon routeur avec des règles de FW dans certains cas : peut voir 3 + internet et être accessible depuis Internet (via du NAT&co) peut uniquement aller sur Internet, avec limite de débit ne peut aller nul part (mon nas a une carte wifi dans ce réseau pour recevoir les flux vidéo) peut voir 1+3+internet et être accessible depuis Internet (via du NAT&co) =>tout ceci me permet cela : les machines "normales" ont un accès normal à Internet et peuvent gérer l'IoT les invités avec des machines vérolées ne contamineront pas mes machines et ne boufferont pas mon petit ADSL tout ce qui est IoT est isolé d'internet je peux faire des tests divers et variés sans perturber les autres réseaux Pas nécessairement, des serveurs Linux ça consomme nettement moins de ressources que des Windows, tu peux faire tourner splunk+squid+centreon+plein d'autres choses sur une VM très modeste. ------- Je m'aperçois maintenant que ce que je t'ai proposé au départ est peut être un peu hors de ta portée (mais pas inaccessible). Ton matériel et les termes employés laissaient penser que tu avais déjà pas mal de bouteille dans le domaine. Il n'y a rien de compliqué pour qui sait lire une documentation et faire de recherches, par contre ça peut être assez long à mettre en place => il faut y aller étape par étape mais en gardant l'objectif final en tête.

arrêtez de le charrier

Ah! j’avais loupé l'info, pour les UAP-AC-M, normalement il faut leur adjoindre des antennes, les petites de bases ... bof, par contre j'ai des UAP-AC-M-PRO au travail, elles fonctionnent très bien avec les antennes internes (là on ne peut pas les changer) ou entre cartes physiques (ça dépend du nombre de ports, de la manière dont tu t'y prends, ...), mais oui, c'est la même chose et pour le switch, c'était juste en complément de mon commentaire sur les edgerouter, aucune obligation de quoi que ce soit Pour le filtrage DNS c'est très simple à mettre en place (il y a même des trucs tout fait, genre pihole), pour le proxy, avec squid c'est accessible car il y a de très nombreux tuto sur le net et pour le FW, les produits actuels (sauf chez cisco) sont maintenant simple à prendre en main. je croyais que tu allais prendre un USG Pour ça il faut suivre ce tuto : http://www.nas-forum.com/forum/topic/51393-reverse-proxy-avec-nginx-restauré/ Tu peux te créer un wildcard "privé" pour tes trucs perso et le LetsEncrypt tu peux l'automatiser (c'est le cas sur le syno) Mon contrôleur Unifi est dans un docker, mais pas dans un réseau masqué (c'est un choix) et le port tu peux toujours le fixer. Je n'ai jamais utilisé ce produit (je testerai), mais un bête script snmp vers ton switch te donneras l'info je pense le principe d'un conteneur, c'est que le conteneur doit être jetable (aucune data dedans), donc une mise à jour c'est juste un delete du conteneur et un redéploiement (avec un pull entre les 2 parfois), les datas/conf/... doivent être dans un volume Centreon sait utiliser les plugins nagios en standard splunk est top, juste un peu gourmand car il est capable de gérer des gros volumes (je parles de tera octets de logs) 1 par type de population/d'usage et pas plus de 150 clients par vlan (là ça devrait aller) => ex : wifi-enfants/wifi-parent/wifi-guest/domotique/serveurs/pbx/...

HyperBackup, mais en mode fichier (copie de données tout en bas)

grand luxe prends des PRO/PROHD/M/M-PRO, les LITE sont très bien (j'en ai), mais c'est du POE passif, donc pas compatible avec ton switch (sauf à mettre des injecteurs ou à prendre un USW) Il va bien s'intégrer avec tes AP, mais attention à la puissance, le modèle de base risque d'être limite avec ton installation si tu routes en interne (cf remarque précédente), perso je préfère les EdgeRouter, moins conviviales mais nettement plus paramétrables. Par contre si tu décides de changer aussi tes switchs pour des ubiquiti, fais 100% Unifi (USG+USW+UAP) Il est indépendant de la partie routeur/bridge de la box => pas de pb Filtrage DNS + Proxy explicite => tout le reste (DPI, filtrage protocolaire, ...) ça fonctionne moyennement (y compris avec des équipements à plusieurs dizaines de milliers d'€) Si tu parles d'un AD, pas besoin ici Pas tout seul pour ce que tu veux faire => installe aussi un serveur radius autonome (étonnant que tu n'en ais pas déjà un pour la téléphonie ...), freeradius est très bien si on accepte de mettre les mains dans le cambouis et utilises un bête fichier statique pour placer tel compte et/ou mac address dans tel ou tel vlan (802.1x, filaire et wifi) le client se connecte au RJ45/WIFI échange EAP avec le switch ou la borne le radius valide (ou non) le login mot de passe en le confrontant à un annuaire/une base de données/un fichier/... en fonction du login et/ou de la mac et/ou de l'heure, il envoi au switch ou à la borne le n° de vlan à utiliser le client se retrouve dans un vlan qui a plus ou moins de droits coté FW/proxy/... (tu peux même créer un vlan par compte si besoin) régulièrement l'EAP est revalidé (c'est transparent) => règle d'accounting dans le radius pour couper la connexion une fois le quota (temps/volume) atteind pas de lien de cause à effet dhcp : peu importe sauf si tu veux le coupler avec le dns (mise à jour des noms de machines) dns : celui du synology couvre tous les besoins d'un particulier routeur : à un routeur , mais une VM ça marche aussi (si l'esx est assez puissant) filtrage : une machine/vm dédiée ou un docker sur le syno si tu ne fais pas de filtrage antivirus reverse px : ça dépend de ce que tu souhaites faire, celui du syno est suffisant pour la plupart des besoins, mais pas tous vpn : celui du syno est suffisant pour un particulier, sinon une machine/vm dédiée (le vpn s2s est très bien sur les ubnt, mais le RoadWarrior laisse à désirer) monitoring : docker ou vm avec centreon ou zabbix splunk vu le nombre d'équipements tu gagnerais en perfs à créer des vlan ou à router (en clair, ne mets pas tout à plat, tu perds 10% de ta bande passante en broadcast à mon avis) oui, mais avec une Freebox v5 c'est galère (bridge NDP), avec la V6 ou la 4k on peut faire de la délégation de préfixe

Pour l'unidirectionnel, c'est un choix à faire au moment de la configuration sur le client, mais si tu le fais depuis plusieurs PC, ça ne doit pas être ça, par contre un bête problème de machine pas à l'heure est une piste à suivre.

Oui, sans le moindre doute (avec 1% de marge d'erreur contractuelle), c'est vraiment une méthode de sauvage Imagine que tu es entrain de lire un livre tout en l'annotant (pas bien d'écrire sur un livre ...) et que tous les soir, que tu sois ou non entrain d'écrire, je t'arrache le livre des mains => il ne va pas falloir très longtemps pour que le livre soit raturé et que des pages soient déchirées. Même si ce n'est pas recommandé dans l'absolu d'éteindre un NAS (ça fatigue les disques, tout comme la veille ou l'hibernation), ça serait tout de même mieux de la couper proprement (tu peux le planifier, utiliser l'interface web ou encore utiliser l'appli DSFinder). Si tu as un onduleur, branche tout dessus => il se chargera de couper le nas.

Il suffit de le renommer à la source (ton pc je suppose si tu utilises CloudStation). Si un renommage n'est pas pris en compte par le nas, c'est que le PC lui dit autre chose => tu ne serais pas en "unidirectionnel" ?

Je parlais de RainLoop, pour ton code custo je ne peux pas me prononcer. Soit dit en passant, pourquoi faire un site pour ça alors que DownloadStation le fait nativement ? ps : tu peux m'envoyer ton code si tu veux que je test

Les files d'attente ça fonctionne très bien avec Handbrake, en graphique comme en CLI et il est compatible avec autre chose que Windows

Je viens de tester, pas d'HTTP avec Chrome ou Firefox en supprimant la partie reverse proxy (donc avec https://nas.domaine.fr:5001/?launchApp=SYNO.SDS.VideoStation.AppInstance& .....) et la vidéo se lance bien.

Je n'ai qu'un seul volume sur mes nas, mais il me semble qu'il pose la question au moment d'installer le paquet.

Si ça fonctionne, c'est juste chez toi que ça bug

Oui c'est ça, je n'ai pas testé en direct mais si j'y pense je ferais le test.

Je sais et c'est mieux comme ça (c'était une boutade).

Sauf si Synology arrive à imposer à Apple l'intégration des API de CloudStation dans iOS

@jeanmich : bienvenu Ce qui est surprenant c'est qu'on ne t'ai pas vu poster plus tôt suite à un pb avec ton jbod (d'un autre coté, tu fais des sauvegardes, ça c'est bien) @StéphanH : moi j'ai compris assez vite car ça me complique la vie pour écrire @mac (mac address) sans citer quelqu'un par accident

Ce n'est pas ce que j'ai dit. Tu ne peux pas lire un AVI dans ton navigateur Web car ce dernier ne gère pas tes AVI (et surtout ce qu'il y a dedans comme codecs). Dans le cas de formats non supportés par le lecteur (donc ton navigateur), si le nas est assez puissant il va essayer de convertir la vidéo dans un format géré par le lecteur (donc ton navigateur). Mais même avec un modèle assez puissant (presque tous les modèles des gammes "play" et "+"), il vaut mieux ne pas le faire car la qualité est souvent mauvaise. Tu veux remplacer un NAS qui a 3ans juste pour ça ? (si vraiment tu y tiens => transcodage) Tu serais gagnant à convertir tes vidéos avec ton PC : tu installes un logiciel de conversion, par exemple Handbrake (c'est gratuit) tu choisis bien un format de sortie compatible (vidéo en h264+son en AAC+conteneur m4v => compatible avec 99% des lecteurs) tu lui donnes à manger les vidéos à convertir tu lances la conversion et tu le laisses travailler (il va te convertir toutes les vidéos les unes après les autres) Avec une machine pas trop vielle ça devrait aller assez vite. Avec mon pc qui a presque 7ans ça prend moins de 30min pour une vidéo format "divx" (avi de 700mo). Avec un PC récent qui gère l'encodage h264 matériel c'est quelques minutes. Il faut juste faire attention quand il y a des sous titres ou plusieurs pistes audio (mettre la bonne langue en premier par exemple). Je l'ai fait il y a quelques années pour toutes mes vidéos. Depuis dès que je récupère une nouvelle vidéo, je la converti directement si elle n'est pas dans un bon format => je peux tout lire sans problèmes Un autre avantage avec convertir les vidéos en h264 c'est que le décodage est géré matériellement la plupart du temps, donc typiquement sur un smartphone ça consomme nettement moins de batterie. nb : le h265 commence tout doucement à se diffuser, mais l'encodage est encore très long, par contre le taux de compression est sympa (un bon facteur 2 par rapport à l'h264)