PiwiLAbruti

Tant que les serveurs DNS ne sont exposés qu'en local (donc pas sur internet), il n'est pas nécessaire de définir une clé de signature de transaction (TSIG). La procédure de @.Shad. est suffisante.

Ah oui, il s'agit de DSM et non SSH Quels sont les ports ouverts pour l'accès à DSM ? Commence déjà par restreindre les connexions à ton pays de résidence dans le pare-feu. Ton DSM n'a probablement pas besoin d'être visible du monde entier.

Il l'est nécessairement, sinon il n'y aurait aucune tentative.

Le meilleur moyen de limiter est d'ajouter des règles de pare-feu en identifiant les sources qui peuvent accéder au port tcp/22 (SSH).

Il est plus pertinent de n'autoriser que les adresses qui peuvent accéder au NAS.

L'adresse 173.162.192.5 appartient à Comcast, un FAI Américain, et ne devrait pas être en mesure d'accéder à la page d'identification du NAS si ce dernier était bien sécurisé. Il faut revoir les règles de pare-feu et activer le blocage automatique. Poste ici une capture d'écran des règles de pare-feu actuellement configurées. Précise aussi les paramètres du blocage automatique.

Ça sert notamment à personnaliser le domaine utilisé dans les liens partagés de File Station (je pensais naïvement que c'était précisé dans l'aide).

https://kb.synology.com/fr-fr/DSM/help/DSM/AdminCenter/connection_network_dsmsetting?version=6#b_38

Le NAS sur lequel Synology Directory Server est installé doit nécessairement avoir également le rôle de serveur DNS. Si tu veux que la zone DNS correspondante soit également résolvable sur le serveur DNS du routeur, il suffit de créer une zone DNS secondaire (esclave) sur ce dernier en indiquant l'adresse IP du NAS comme source. Attention à bien paramétrer la zone du NAS pour que le transfert de la zone vers le routeur fonctionne. Je recommande d'ailleurs d'utiliser une clé dans les règles de transfert.

As-tu ouvert un ticket auprès du support Synology en parallèle ?

Soit le NAS a un souci d'accès à internet (peu probable), soit les serveurs de Synology ne sont pas disponibles (très courant en ce moment).

Ton serveur DNS ne sachant pas résoudre d'autres domaines que ceux que tu y as défini dans les zones, il demande la résolution des autres domaines aux serveurs DNS externes que tu as configurés (ceux de FDN). Naturellement, ce sont ces serveurs qui sont vus par n'importe quel service externe. Pour info, mullvad.net utilise un nom de domaine généré aléatoirement (<random>.mullvad.net) pour détecter le serveur DNS qui interroge son serveur DNS.

C'est exactement le contraire. Le 10/8 permet de créer 65536 réseaux en /24, là où un 192.168/16 ne t'en laisse que 256, et 4096 dans un 172.16/12. @.Shad. donnait les cas d'utilisation des autres réseaux utilisés par défaut par certains services du NAS. Je ne vois pas ce qu'il y a d'étrange à cela.

Je découvre en même temps que toi : https://fr.wikipedia.org/wiki/NAT_Port_Mapping_Protocol

Il faut commencer par créer un utilisateur et activer SSH sur le switch : xxxxxxxx# configure terminal xxxxxxxx(config)# password manager user-name {nomUtilisateur} xxxxxxxx(config)# crypto key generate ssh xxxxxxxx(config)# ip ssh Pour se connecter via le client SSH de PowerShell, il faut forcer la méthode d'échange de clés (-o) et l'algorithme de chiffrement (-c). Ils ne sont pas supportés par défaut car obsolètes : > ssh user@switch Unable to negotiate with x.x.x.x port 22: no matching key exchange method found. Their offer: diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 > ssh -o KexAlgorithms=diffie-hellman-group1-sha1 user@switch Unable to negotiate with x.x.x.x port 22: no matching cipher found. Their offer: des,3des-cbc > ssh -o KexAlgorithms=diffie-hellman-group1-sha1 -c 3des-cbc user@switch