Fenrir

@Moogli Moogli oui

@Dimebag Darrell change de navigateur (ou passe en navigation privée)

Le GLUE n'est pas toujours obligatoire, ça dépend de la conf de chacun, pour que le serveur soit accessible de tout Internet, une fois le test zonemaster OK (rien de bloquant), il faut indiquer à ton registrar la nouvelle adresse de tes NS

Il y a tellement de combinaisons de conf (avec ou sans DNS, avec ou sans netbios, avec ou sans reverse proxy, avec ou sans les ports par défaut, avec ou sans QC, avec ou sans VPN, ...) que je ne peux pas gérer tous les cas de figure 😛 =>l'important c'est de comprendre la portée des réglages et de savoir qu'ils existent en cas de problèmes 🙂

Que donne nslookup ? nslookup xxxx.synology.me adresse.ip.du.nas NB : tu as bien créé une zone xxxx.synology.me (en entier, avec le xxxx) ?

Il faut que tes clients locaux utilisent ton NAS comme serveur DNS

Si, ça me permet de voir que le fixe et le portable n'interrogent pas le même serveur DNS et quelle est la réponse qu pose problème, information qui n'était pas clair dans le message précédent =>priorité des interfaces Tu peux essayer avec cette option (dans la conf client) setenv opt block-outside-dns ou en changeant la métrique de l'interface VPN (https://arador.com/fix-openvpn-block-outside-dns-problems-windows-10/) @Stixen92 : je te recommande de laisser par défaut, ça marche suffisamment bien

@Mic13710 je voulais "voir" le résultat des 2 commandes, mais déjà si l'un est en WIFI et l'autre en filaire, le comportement peut changer (priorité des interfaces) @Stixen92 ça dépend des cas d'usage, il y a trop de paramètres à prendre en compte pour te donner une réponse binaire

hors contexte c'est inutilisable et comme la capture est une page blanche (censurée de partout), il n'y a rien à en tirer Ton lien recommande au contraire de créer un certificat "fictif" (utilisé pour les requêtes douteuses) et un certificat valide (utilisé pour le reste) mais même si l'idée n'est pas mauvaise, ça reste de la sécurité par l’obscurantisme => ça ne vaut rien face à une attaque, au mieux ça gênera un débutant (ou un scan générique), il le dit lui même, trouver des nom de domaine valide n'est pas un problème. On y trouve au moins le nom de domaine de base (domaine.fr), il suffit ensuite de tester les noms DNS courant pour en trouver un qui marche ... (les autres champs comme le type de hash, les dates, l'autorité, ... sont aussi des informations qui peuvent servir). Si à un moment ou à un autre la clef privée est entre leurs main => NON la réponse est valide pour la plupart des gens c'est à fuir pour 2 raisons : ils prennent l'habitude d’accepter l'avertissement sans vérifier => le jour où en allant sur le site de leur banque il on une erreur de ce type, il vont passer outre !!! par défaut le navigateur enregistre cette exception => comme toute exception, un jour ou l'autre ça créera un problème Maintenant un utilisateur averti qui utilise un certificat auto signé (ou mieux, signé par sa propre autorité) pour un usage strictement limité aux "sachant" (=>à des personnes qui ne tomberont pas dans les problèmes cités plus haut), ce n'est pas un problème @InfoYANN : voici une base de départ pour ton besoin initial : https://blog.blaisot.org/letsencrypt-wildcard-part2.html#generation-de-certificat-wildcard-avec-scripts-maison-dedition-de-zone

depuis les 2 pc, que donne un "nslookup lenomdedomaine" (sans spécifier le serveur à utiliser)

trop de pages à lire, qui me fait un résumé ?

Les avertissements restant ne sont pas grave pour un particulier, tu peux laisser comme ça. ps : on voit ton nom de domaine dans les captures

Ça ne me gène pas d'expliquer, ça prend juste du temps alors quand la réponse est dans la doc ... En version courte, avec cette option openvpn ne désactive pas l'interface et ne relance pas les éventuels scripts en cas de coupure, il tente simplement de rétablir le tunnel. @Mic13710 : l'os est il le même sur les 2 machines ? Il peut aussi s'agir du cache DNS des machines (ipconfig /flushdns en admin) ou d'autres choses

https://openvpn.net/index.php/open-source/documentation/manuals/65-openvpn-20x-manpage.html

@Stixen92 : des détails sur quoi, ce que veulent dire les termes "authentification" et "chiffrement" ou sur les différences entre les algorithmes ? Dans une cas comme dans l'autre ça serait trop long de d'expliquer précisément de quoi il s'agit. En version très simplifiée, l'authentification sert à vérifier que le client et le serveurs sont bien qui ils prétendent être (échange de login/pass/certificat) et le chiffrement c'est le chiffrement des données elles mêmes (ce qui passe dans le tunnel). Niveau perf c'est aussi trop long de répondre car ça dépend de la puissance des clients, du serveur, du type de hardware (accélération matériel), de la version des système (lib ssl), ... Le réglage que je propose est est celui qui offre actuellement le meilleur compromis perf/sécurité/consommation de ressources. @Dimebag Darrell : commence par remettre le plan d'adressage par défaut dans le serveur VPN (en 10.0.x)

a) met dans une zone ce qui doit être utilisé par les clients de cette zone b) il doit manquer un bout de ta question, pour ce qui est du contenu, rien ne l'interdit, c'est juste un choix à faire en fonction des besoins c) pas question => pas de réponse d) un secondaire c'est comme un primaire à la seule différence que le fichier de zone est téléchargé depuis un autre serveur, le reste fonctionne de la même manière, pour la résolution, c'est sans lien avec le rôle master/slave (=>à toi de voir) et si ça reste vide c'est que tu as loupé un truc

En doute rigueur je vais te répondre les 2. Pour faire simple, ça sera un réseau wifi créé par les bornes qui permettra à des machines de contacter ton routeur. Un réseau WIFI c'est comme un réseau filaire, mais sans le fil. edit : dit autrement, tu n'as pas à te poser de questions, ça marchera de manière transparente pour toi

encore une fois, ce n'est pas une erreur, juste un avertissement ! Pour le chiffrement et l'authentification, la différence c'est que l'un sert au chiffrement et l'autre à l'authentification. Niveau perf et sécurité, sauf à avoir un gros débit et de gros ennemies, ça ne change pas grand chose. @Dimebag Darrell par défaut (et je recommande de laisser comme ça), le serveur VPN va te donner une ip en 10.x.x.x. Si tes clients ont une ip en 192.168.0.x c'est soit que tu ne regardes pas au bon endroit, soit que tu as changé l'adressage par défaut du serveur VPN et enfin, les systèmes de "découverte réseau" (netbios, bonjour, ...) sont des M*RDES à ne pas utiliser sauf a bien connaitre le sujet (ce qui est l'exacte contraire des utilisateurs de ces systèmes)

Les répéteur ou autres amplificateurs sont à fuir, c'est une catastrophe dans la plupart des cas. Si tu souhaites améliorer la couverture WIFI chez toi, achète une borne WIFI (pas un routeur ni un répéteur) qui sera reliée en filaire à ton routeur et place cette borne à un endroit adapté au lieu. Si tu ne peux pas tirer de câble, prends une solution MESH (ou éventuellement CPL). Dans tous les cas, tu pourras indiquer à tes bornes de diffuser le ou les réseaux de ton choix, avec le même SSID et la même clef que ton réseau "principal", tu passeras donc d'une borne à l'autre presque instantanément sans déconnexion gênante. Pour ce qui est de ton accès invité, avec une borne ubiquiti par exemple ça ne pose pas de problèmes.

La plupart des personnes ont ce message, il indique que le mot de passe est dans la mémoire de ton ordinateur (en ram), à coté de tout ce que tu as cliqué/tapé sur ton ordi depuis son dernier reboot. Si tu es dans une situation telle que le fait d'avoir un mdp en ram soit risqué pour ton utilisation, je ne saurais trop te conseiller de revoir de fond en comble ton niveau de sécurité (passer sous qubes-os par exemple) et d’arrêter d'utiliser le moindre produit grand public (fini les android, les iphone, windows, synology, samsung, ....). Mais encore une fois, tu peux ajouter l'option dans le fichier de configuration .ovpn

Pour le warning, ce n'est pas plus gênant que ça pour la plupart des utilisateurs et le conf simpliste (grand public) de synology ne permet pas de changer ça simplement. Le traceroute est normal, avec un traceroute on voit les adresses des routeurs qui sont de notre coté, pas leurs adresses de sortie. Le but d'un VPN est d'établir un tunnel sécurisé entre le client vpn et le serveur vpn, pas avant ni après

ce n'est pas une erreur mais un Warning, tu n'as pas le choix si tu veux une reconnexion automatique en mode login/pass Ton VPN est entre ton poste et ton NAS, pas plus loin

Le filaire est toujours mieux que le sans fil, le mesh sert là où le filaire n'est pas possible. =>si tu peux passer des câbles, fais le =>si ce n'est pas possible, le Mesh peut aider

Ça veut probablement dire que ton nas n'a pas accès à Internet ou n'a pas le droit d'utiliser les DNS configurés (peut être un fai qui bloque).

CloudStation ne fonctionne pas via un reverse proxy, il faut utiliser son port natif en direct (ou un vpn)