PiwiLAbruti

Je ne comprends pas le problème, IPv6 ne remplace pas les adresses IPv4 existantes.

En attendant une IPv4 full-stack, pourquoi ne pas utiliser IPv6 pour accéder au NAS ?

Pour compléter la remarque de @Mic13710 sur le masquage de confidentialité : https://kb.synology.com/fr-fr/SurveillanceStation/help/SurveillanceStation/camera_settings_masking?version=9

De manière générale, il vaut mieux laisser le maximum de rôles à la caméra (détection de mouvements, falsification, zones de confidentialité, …). À ma connaissance, Surveillance Station ne permet pas de définir des zones de confidentialité. Elles sont configurable sur la caméra uniquement. La caméra peut communiquer à Surveillance Station les détections de mouvement : Article relatif : Pour activer la détection de mouvement à l'aide des algorithmes intégrés à la caméra

C'est ce qui devait également poser problème à WireGuard. ProTip : Si tu ne souhaites pas faire passer tout ton trafic internet par le VPN du NAS, il faut décocher la case précédente et ajouter une route statique vers 192.168.1/24 sur le client. C'est automatisable avec un script ip-up comme sur Linux en créant le fichier de script /etc/ppp/ip-up et en le rendant exécutable : chmod 0755 /etc/ppp/ip-up Contenu du script : #!/bin/sh /sbin/route add 192.168.1.0/24 -interface $1 Ainsi, à chaque connexion au VPN, le script sera automatiquement exécuté et seul le trafic à destination du réseau 192.168.1/24 passera par le VPN. Dans WireGuard, cette configuration est possible en retirant les destinations 0.0.0.0/0 et ::/0 indiquées dans l'instruction AllowedIPs et en y ajoutant 192.168.1.0/24.

Le réglage Envoyer tout le trafic sur la connexion VPN doit être activé, sans quoi les réseaux autres que 10.8.0.0/29 seront injoignables. Sans surprise, ce sont les mêmes symptômes qu'avec Wireguard. As-tu essayé avec un iPhone ?

IPSec/L2TP est bien plus capricieux à configurer que WireGuard. Vu les soucis déjà rencontrés avec WireGuard, je te souhaite bonne chance 😅

Quelle est l'application Wake On Lan que tu utilises exactement ? Tu dois y renseigner l'adresse l'adresse IP publique de la box et l'adresse MAC de la machine à réveiller. Je ne pourrais pas t'aider plus si tu n'appliques pas ce que j'ai indiqué :

300Mbit/s plutôt, ce qui fait un peu moins de 40Mo/s (attention aux unités : 1 octet = 1 Byte = 8 bits).

Je ne vais pas faire un cours sur les réseaux ici. Pour moi l'objectif est que ton WoL fonctionne, c'est tout. Il est inutile d'utiliser WireGuard pour envoyer un paquet WoL car ce dernier n'a rien de bien confidentiel. Donc fais les tests sans WireGuard. Seul le WoL doit être activé sur la Freebox. S'il existe une redirection de port concernant le WoL (udp/7 ou udp/9), il faut la supprimer. Le paquet WoL doit être envoyé à destination de l'adresse IP publique de la box (ou un nom de domaine pointant vers cette adresse). La box se chargera ensuite de la diffusion du paquet sur le réseau local, ce que j'ai décrit comme "redirection implicite" (c'est concrètement ce qui est activé par l'option WoL de la box). Toutes les machines connectées au réseau local reçoivent ce paquet WoL, mais seule celle dont l'adresse MAC correspond à celle indiquée dans le paquet l'interprêtera.

Est-ce que les interfaces réseau du NAS et du PC indiquent bien 1Gbit/s pendant les chutes de débit ? Ca peut aussi se vérifier au niveau de la box si elle affiche la vitesse de ses ports Ethernet.

Peu importe que le NAS ait une IP fixe sur la box ou non. Hors du réseau local, c'est le proxy WoL de la Freebox qui se charge de transmettre le paquet WoL en broadcast sur le réseau local. Il n'y a pas besoin non plus de définir une redirection de port (udp/9) car il est implicite lorsque le proxy WoL est activé. C'est d'ailleurs probablement l'origine du problème rencontré.

Le déploiement a été rapide par rapport à d'habitude, la mise à jour m'a été proposée en automatique aujourd'hui (2 jours après l'annonce, contre au moins 3 semaines habituellement).

Comment as-tu configuré le WoL sur la Freebox ? (c'est différent de la bidouille faite sur une Livebox)

Synology ne supporte pas les versions de PHP antérieures à la 5.6. @Eric Plontz a donné une solution.

Même vers des appareils autres que le NAS ? (toujours adressés en 192.168.1.x) Cest-à-dire ?

Ça donne quoi ?

Une fois connecté, tu dois voir les règles de routage suivantes sur ton Mac (commande netstat -rn dans le Terminal) : Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique 192.168.27.64 255.255.255.224 On-link 192.168.27.88 5 192.168.27.88 255.255.255.255 On-link 192.168.27.88 261 192.168.27.95 255.255.255.255 On-link 192.168.27.88 261 192.168.1.0 255.255.255.0 On-link 192.168.27.88 5 192.168.1.255 255.255.255.255 On-link 192.168.27.88 261 Essaye également de faire un ping vers différentes machines de ton réseau distant (192.168.1.x).

Avec le fichier de configuration suivant, seul le trafic à destination des réseaux indiqués dans AllowedIPs est envoyé sur le VPN : [Interface] PrivateKey = <base64> Address = 192.168.27.x/32 DNS = 212.27.38.253 MTU = 1360 [Peer] PublicKey = <base64> Endpoint = <publicIP>:<port> AllowedIPs = 192.168.27.64/27, 192.168.1.0/24 PersistentKeepalive = 30 PresharedKey = <base64> Je viens de tester et ça fonctionne parfaitement. Il est toujours étrange que le réseau 192.168.27.64 soit en /24 dans ta configuration alors que j'ai un /27. Je ne comprends toujours pas les conditions dans lesquelles tu fais les tests, mais ça pourrait être à l'origine du problème que tu rencontres.

Tu peux autoriser le réseau 192.168.0.0/255.255.0.0 pour éviter ce problème à l'avenir. Le blocage explicite de la Chine est inutile si la règle finale bloque bien tout le trafic (à moins qu'il y ait un service ouvert au reste du monde, hors Chine).

Est-ce que le pare-feu et le blocage auto sont activés dans DSM ? Si c'est le cas désactive-les le temps de faire les tests.

Es-tu certain que 192.168.1.166 est l'adresse IP du NAS ?

Oui, de toute façon le NAS refusera la création du groupe avec des disques de taille inférieure 😅

Si le VPN ne te sert qu'à accéder au réseau local, il est inutile d'y faire passer le trafic internet du mobile. Dans ce cas, il faut retirer le réseau 0.0.0.0/0 (passerelle par défaut) de l'instruction AllowedIPs de la configuration WireGuard du client. Pour le reste, je ne comprends toujours rien à la façon dont tu fais les tests avec le Mac. L'idéal serait de faire un partage de connexion avec un smartphone pour que le Mac ne soit pas sur le même réseau local que le NAS.

Je ne comprends rien à ton architecture réseau. C'est 192.168.27.64/255.255.255.224 qu'il faut autoriser (ça ne changera rien au problème, mais c'est plus précis).