PiwiLAbruti

Quel autre ticket ? Si c'est le cas, oui, ça ne fonctionne qui si j'interroge directement mes serveurs DNS (en interne ou externe).

Pas nécessairement @CyberFr. Par exemple, c'est une excellente nouvelle pour ceux qui ont investi dans un NAS Synology à processeur Celeron J4125 en 2020 😄

En réseau local, essaye de connecter les applications DS * avec l'adresse IP locale du NAS (192.168.x.y). Vérifie la vitesse de connexion de la carte réseau du NAS (doit être 1000Mbit/s), ainsi que la charge processeur/RAM/disque du NAS dans le Moniteur de ressources.

Ok, c'est un choix. C'est une bonne pratique. Par contre il vaudrait mieux placer le NAS dans la DMZ de la box dans ce cas, ça t'éviterai de devoir rediriger les ports sur la box. Sans proxy WoL ce ne sera pas possible.

DSM est installé sur tous les disques par défaut (bande RAID1), tu ne peux pas choisir son emplacement. Avant d'envisager des investissements probablement inutiles dans des SSD ou un nouveau NAS, il faudrait peut-être trouver l'origine du problème ? Est-ce que l'accès sur le même réseau que le NAS et depuis le même appareil mobile présente les mêmes lenteurs ?

Si on veut qu'un NAS soit accessible n'importe quand, il vaut mieux désactiver la veille de ce dernier. Quelle est l'utilité du TP-Link Archer AX18 ? Si ce n'est "que" pour bénéficier du Wi-Fi 6, il devrait alors être configuré en mode point d'accès Wi-Fi. Ainsi, le réseau s'en trouverait simplifié (suppression du double-NAT). Un paquet WoL est diffusé via l'adresse 255.255.255.255 à tous les équipements d'un même segment réseau. C'est précisément ce que que fait une application sur le même réseau que l'équipement à réveiller. Dans le cas du WoW, il faut nécessairement un proxy WoL sur le même réseau pour diffuser le paquet WoW (ce qu'une Freebox sait faire par exemple). Est-ce que le TP-Link Archer AX18 dispose de cette fonctionnalité ?

Nouvelle demande = Nouveau sujet

Quelques modèles 2025 ont été présentés à Taïwan (les liens ci-dessous remontent jusqu'à l'origine de l'information) : [Fr] https://www.cachem.fr/synology-ds225-ds725-ds925/ [En] https://nascompares.com/2025/03/13/synology-ds525-ds1525-ds425-ds1825-and-more-revealed/ [Tw] https://www.chiphell.com/thread-2679631-1-1.html Enfin du 2,5GbE mais sur un seul port pour les DS225+, DS425+, DS625+, et DS725+. Les modèles DS725+, DS1515+, et DS925+ perdent leur extension 10GbE. Conclusion : Synology fait un pas en avant pour reculer de deux. Les DS225+, DS425+, et DS625+ conservent le sempiternel Intel Celeron J4125 de fin 2019 présent depuis la série '20 dans les modèles DS720+, DS920+, et DS1520+. Le support de ces derniers modèles pourrait être étendu bien au-delà de ce que Synology prévoirait (un petit upgrade dans synoinfo.conf pour gagner 5 ans de mises à jour ?) Aucun nouveau processeur sur les modèles DS725+, DS925+, DS1525+, DS1815+, DS1815xs+, et RS2825RP+ qui se partagent les Ryzen V1500B (série '21), V1600 (série '22) et V1780B (série '23).

Vérifie la configuration DNS de ton client, et la zone DNS contenant l'enregistrement nas.ndd.ovh.

Quelle(s) adresse(s) retourne la résolution de nas.ndd.ovh ?

Ça fonctionne dans les conditions de ton test. Si tu envoies un mail à une adresse Microsoft (plutôt pointilleux sur le rDNS, si c'est toujours le cas) et que ça passe par IPv6, tu risques de te faire jeter.

@Jeff777 Ça fonctionne dans les conditions de ton test. Si tu envoies un mail à une adresse Microsoft (plutôt pointilleux sur le rDNS, si c'est toujours le cas) et que ça passe par IPv6, tu risques de te faire jeter. @Ericzen01 En entreprise, c'est au bon vouloir du service IT. Certains restent en full-IPv4, d'autres font appel aux services gérés de leur FAI (€€€), d'autres gèrent leurs propres réseaux IPv6 (donc les DNS associés). Tu pourras déclarer autant de zones DNS inverses que tu souhaites, aucune requête externe n'y parviendra puisqu'il faut au préalable que ton FAI ait créé la-dite zone inverse et qu'il en fasse pointer les enregistrements NS vers l'adresse IP de ton serveur DNS, comme expliqué ici : https://simpledns.plus/kb/191-how-to-sub-delegate-a-reverse-zone-ipv6 L'intérêt de gérer ses serveurs DNS est de définir des vues pour différencier les résolutions publiques et privées, et d'en limiter le périmètre de résolution (sécurité supplémentaire). Par exemple, j'utilise 3 NAS sur 3 sites différents et chacun d'eux gère ses propres zones DNS publiques et privées qui sont elles-mêmes répliquées sur leurs pairs pour la redondance.

Rien de sorcier, il suffit que l'enregistrement MX pointe uniquement vers un enregistrement de type A (IPv4) : domain.tld MX mx.domain.tld mx.domain.tld A <adresseIPv4> Aucun opérateur grand public ne propose la délégation de zone DNS inverse IPv6. Donc il n'est pas possible de disposer d'un rDNS IPv6 actuellement.

Non, IPv6 et bridge sont deux choses distinctes. Quel souci ? On peut très bien activer IPv6 est n'utiliser que IPv4 sur les MX (ce que je fais).

Peux-tu tester la résolution DNS vers des serveurs DNS tiers ? > nslookup google.fr 94.140.14.14 Quel résultat donne une résolution DNS exécutée depuis le NAS ? (SSH + nslookup)

Ça dépend des options IPv6 du switch, mais la plupart construisent leur adresse IPv6 en EUI-64. Pour que les équipements soient joignables en IPv6 depuis internet, il faut aussi que le pare-feu IPv6 de la Freebox soit désactivé. Et c'est surtout là le drame, Freebox OS (toutes box Free confondues donc) ne propose pas d'options de filtrage IPv6 pour ne rendre accessible en IPv6 que certains équipements.

Je ne sais pas comment se comporte l'adressage des équipements réseau lors de la bascule de la fibre à la 4G chez Free. Elle est plus simple à identifier car l'adresse IPv6 contient l'adresse MAC qui contient elle-même le nom du constructeur (00:11:32:: = Synology) suivi l'identifiant unique de l'appareil (::xx:xx:xx). Une fois le constructeur identifié, il est possible de lancer des attaques sur les vulnérabilités publiées par le constructeur lui-même (Synology dans le cas présent) : https://www.synology.com/en-us/security/advisory Ensuite il y a pléthore de sites qui donnent plus de détails pour choisir le type de vulnérabilité qu'on souhaite exploiter : https://www.cvedetails.com/vendor/11138/Synology.html D'où la nécessité de maintenir son NAS à jour et d'appliquer le tutoriel sur la sécurité si on veut qu'il survive sur internet.

Mais pas que. La construction UEI-64 peut se faire avec n'importe quel préfixe n'ayant aucune spécificité au-delà du /64, et est propre à la configuration de l'appareil par le constructeur (certains l'utiliseront, d'autres non). Cependant, c'est fortement déconseillé sur les préfixes publiques GUA (2000::/3) car ça permet d'identifier de manière unique une machine sur internet (ce qui n'est pas possible en IPv4). Et sans surprise, Synology adresse nos NAS de cette manière… 🤦‍♂️

Ce n'est que l'une des différentes méthodes d'assignation de la partie hôte d'une adresse IPv6 (EUI-64). Cette partie hôte peut également être assignée par un serveur DHCPv6, ou générée aléatoirement par le client lui-même. Regarde sur tes différents équipements, certains ont même plusieurs adresses IPv6 assignées sous un même préfixe selon la façon dont sera utilisée l'adresse.

Donc la destination locale pour HA est l'adresse IP privée de la VM suivi du port HA ? (format 192.168.x.y:zzzz)

@Hesediel : Au lieu de masquer l'adresse IP/nom local de la VM HA, tu aurais mieux fait de masquer les domaines *.domain.tld de la colonne Source. Ceci dit, ça m'a permis de constater que ton reverse proxy fonctionne maintenant avec HA. Donc le problème est résolu. @Audio : On est d'accord que le routeur ne redirige le port tcp/443 que vers le NAS n°1 ?

Pourquoi ?

Quel est l'état du pare-feu IPv6 de la Freebox ?

D'après le log de FileZilla (où ton adresse IP apparaît en clair), la connexion de donnée sur le port tcp/55700 (216*256+148) n'a pas pu être établie même si ce port appartient bien à la plage ouverte (55536 à 55899). Est-ce que la connexion FTP s'établit bien en local ? (sans passer par la box donc)

Synology répond toujours, même si le produit n'est plus suivi. Je les embête encore avec des reliques de 2009 et 2012 😅 On ne voit pas le message de Suggestion en entier sur la capture d'écran.