PiwiLAbruti

Quel est ton besoin ? À moins que tu utilises le service iSCSI, le MTU doit toujours être laissé à sa valeur par défaut (1500).

Bienvenu parmi les utilisateurs de NAS Synology. Les NAS peuvent faire beaucoup (trop ?) de choses. L’important est de partir des besoins qui on te motivé ton achat, le reste est superflu (ou se transformera plus tard en nouveau besoin).

Je te conseille également de suivre le guide de l’utilisateur disponible sur le site de Synology. https://www.synology.com/fr-fr/support/download/DS218play#docs Et plus généralement de te documenter dans la rubrique Assistance du site : https://www.synology.com/fr-fr/support

Le RS2818+ vient de sortir.

Quelles menaces as-tu identifiées sur ton réseau local ?

Vu les pré-requis demandés, l’installation sur un NAS Synology me semble foretement compromise. Il n’y a que la compatibilité du NAS cible avec le paquet Docker qui pourrait permettre d’y parvenir.

Ça m'étonnerait que les lenteurs soient dues à L2TP/IPSec, sur ma bouse de DS213j je n'ai aucun souci pour accéder à DSM à travers le VPN.

Faudrait savoir... Expose déjà ce que tu souhaites obtenir et ce que tu as fait, car je crains qu'il n'y ait pas beaucoup de volontaires pour te faire un cours particulier.

Tu peux déjà commencer par les cours sur les réseaux disponibles en ligne : https://openclassrooms.com/courses/apprenez-le-fonctionnement-des-reseaux-tcp-ip/l-histoire-d-internet

Les adresses de leurs serveurs ne vont pas non plus changer tous les jours. Tu peux n'autoriser que les adresses suivantes : outbound1.letsencrypt.org 66.133.109.36 outbound2.letsencrypt.org 64.78.149.164

Je me débarrasserais de ce switch 100Mbps pour acheter un switch 8 ports 1Gbps sur lequel je brancherais tout ce petit monde. Gain de place, de performance, et d’efficacité.

On l’avait rencontré en mars 2013 avec @Diaoul peu de temps après qu’on ait créé SynoCommunity. Ensuite je l’avais revu lors du lancement de la bêta de DSM 5.0. C’est quelqu’un de très sympathique, je garde un très bon souvenir de nos échanges (également ses explications sur le fait de ne pas proposer des produits dual-head au sein d’un même boîtier pour les modèles professionnels, ça m’a un peu surpris mais son point vue se défendait). Il n’est pas parti de loin, il fait parti des pionniers de la marque en travaillant à l’elaboration des premiers produits au débuts des années 2000. Il était dejà PDG en 2013. Le poste de PDG chez Synology est renouvelé tous les ans par un des membres du conseil d’administration.

Il ne vont rien faire concernant les performances. Hormis sur un score de benchmark, ce n’est pas perceptible.

Ça se configure au niveau du client VPN, c’est une option du type "Tout envoyer sur le VPN" qu’il faut décocher dans les paramètres avancés.

Une fois connecté au VPN, il suffit d’utiliser l’adresses locale (privée) du NAS pour monter un lecteur réseau via SMB. Pour utiliser le reste des protocoles hors VPN, il faut utiliser l’adresse IP publique.

Et pour le suivi des failles traitées par Synology : https://www.synology.com/en-global/support/security

Tu as déjà entendu parler de zone master et de zone slave ? https://www.synology.com/fr-fr/knowledgebase/DSM/help/DNSServer/dns_server_zone_mng Sinon ça risque de devenir compliqué...

Le DNS primaire pourrait fonctionner sur le routeur et le secondaire sur le NAS, ça augmenterait la disponibilité du service DNS sur ton réseau.

Sur le routeur, tu n'as pas besoin de le bloquer explicitement le port udp/1701 puisque la règle par défaut s'en chargera. Pourquoi utiliser le serveur VPN du NAS alors que le routeur peut s'en charger ? (c'est d'ailleurs plus son rôle)

Dans le cas de l'utilisation du serveur VPN du routeur Synology (VPN Plus Server), il me semble qu'il faille autoriser les adresses locales (au moins le range IP VPN client) à accéder au port udp/1701 ?

Faut pas s’offusquer avec le changement de titre, regarde mon pseudo Dès qu’on aborde le sujet de la confidentialité des données, le chiffrement devient vite incontournable. Synology propose les outils qu’il faut pour l’assurer.

Et ça suffit à ce que la faille soit inexploitable ? (jusqu'à ce que Synology sorte un correctif)

Ça m’inspire que tu devrais en dire plus sur l’exploitation de cette faille. Quel est le service/protocole attaqué ?

Pour vérifier que le paquet WoL est bien envoyé par le NAS, vous pouvez utiliser la commande tcpdump via SSH : user@DiskStation:~# tcpdump udp port 7 or udp port 9 -Anq Cette commande affichera tous les paquets réseau envoyés ou reçus sur les ports udp/7 ou udp/9.

La règle de blocage peut être facultative, par contre il faut impérativement bloquer le trafic par défaut pour chaque interface.