Même si elle ne reflète pas l'activité des conteneurs, l'activité de Container Manager (Docker) est visible dans l'onglet [Processus], sous les noms containerd* et docker*.

Il faut d'abord identifier la cause du problème (consommation CPU excessive).

Tu verras ensuite pour la notification.

La commande top via SSH pourrait te renseigner sur le processus qui consomme autant de ressources.

As-vérifié les paramètres réseau du NAS ? Notamment la passerelle (qui doit être l'adresse IP de la box) et les serveurs DNS.

Et c'est l'une des raisons pour lesquelles les constructeurs n'ont pas l'air de se bousculer pour valider leurs disques chez Synology 😅

La liste des disques compatibles avec les modèles '25 reste désespérément exclusive aux modèles Synology 🙄

À la page 56 de la documentation :

1. Appuyer sur le bouton 1 (Control button),
2. Alimenter la caméra,
3. Attendre 15 à 30 secondes jusqu'à ce que le voyant Status devienne orange clignotant,
4. Relâcher le bouton 1,
5. Si aucune adresse IP n'est attribuée à la caméra par un serveur DHCP, elle prendra l'adresse 192.168.0.90.

Est-ce la procédure que tu as appliquée ?

@Mic13710 : Ça ne fonctionnera pas avec le port tcp/6690 de Synology Drive (non-HTTP).

Une solutions serait d'utiliser des ports différents dans les redirections NAT/PAT :

• Externe tcp/6690 > 192.168.0.10 tcp/6690
• Externe tcp/6691 > 192.168.0.11 tcp/6690
• Externe tcp/6692 > 192.168.0.12 tcp/6690
• …

Il y a 11 heures, Gaspard Ponsonnet a dit :

[...] rediriger le trafic de Synology Drive en fonction du domaine utilisé [...]

Il me semble que HAProxy (reverse proxy TCP) permette de le faire. Un paquet est disponible chez SynoCommunity.

Si la pile de la carte-mère (CR2032) est d'origine, il faudra certainement la changer.

Lorsque cette pile devient faible, le NAS perd l'heure au redémarrage, ce qui peut le bloquer.

Pour faire court : J'utilise AdGuard Home installé sur un NAS pour chiffrer l'ensemble des requêtes DNS (DoT, DoH, et DoQ peuvent être utilisés), et j'y ai ajouté une redirection vers DNS Server pour les zones locales.

Au passage, les réponses à tes questions sur les redirecteurs DNS sont indiquées dans la documentation Synology.

Ça confirme ce que je pensais lorsque le logo du forum et la typo du nom ont changé récemment. Ça confirme aussi le virage qu'est en train de prendre Synology depuis la sortie des premiers modèles '25.

C'est une très bonne nouvelle pour ce forum dont le nom n'en sera que plus cohérent avec son contenu. Le fait de s'appeler NAS Forum et de ne traiter que des NAS Synology n'était pas toujours bien compris par les nouveaux membres.

Est-ce que Xpenology restera un gros mot ? 😅

Oui, ça marcherait à condition de donner une adresse IP différente à chaque port LAN du NAS (sans agrégation de liens donc).

Attention par contre à rester cohérent :

• Local : Plex > LAN 2 >  switch DGS-1008P
• Distant : Jellyfin > LAN 1 > box

Il y a la réponse officielle (+4Go), et ceux qui ont installé bien plus que leur NAS (+8, +16, ou même +32Go).

Ils font vraiment tâche Synology face à la concurrence qui propose de base 8 ou 16Go de RAM.

Lors de la création d'une VM, il est demandé de choisir son emplacement de stockage sur le quel seront créés tous les volumes virtuels de la VM. Il n'est donc pas possible par la suite de créer un volume virtuel sur un volume physique tiers et de l'ajouter à la VM.

Il faut donc les volumes virtuels utilisés par Surveillance et ses données se situent sur le même volume physique.

Pour réaliser ce que tu souhaites :

1. Ajouter le volume réservé dans la section Stockage de VMM,
2. Éteindre la VM,
3. Migrer la VM vers le volume réservé : Clic-droit sur la VM > Migrer,
4. Optionnel : Créer un nouveau volume virtuel pour stocker les vidéos : Clic-droit sur la VM > Modifier > Stockage,
5. Démarrer la VM.

C'est nécessaire lorsque le programme a besoin de droits plus élevés pour s'exécuter.

Pourquoi un chmod 777 ? S'agit d'un programme, il ne faut pas qu'on puisse écrire dedans. Un chmod 544 (r-x r-- r--) devrait suffire, rajouter des 5 si nécessaire pour donner les droits d'exécution au groupe (554) ou à tout le monde (555).

La commande doit probablement être précédée de la commande sudo qui te demandera ton mot de passe utilisateur.

Il y a 13 heures, Pascalou59 a dit :

C'est très complet observium .....Une usine a gaz ?

Ca dépend de ton seuil de tolérance 😅

De manière plus globale, j'utilise un conteneur Observium pour monitorer toutes les métriques du NAS (et d'autres équipements comme des switches, cameras IP, AP Wi-Fi, …).

Dans le cas de l'onduleur connecté en USB, le NAS expose les données suivantes :

• Voltage de sortie (V)
• Capacité de la batterie (%)
• Charge (%)
• Autonomie restante de la batterie (minutes)

Ça me permet de recevoir des notifications sur l'autonomie restante selon des seuils personnalisés.

Observium se base sur SNMP pour récupérer des métriques (processeur, mémoire, stockage, réseau, températures, états, …) et les met en forme avec des graphiques pour avoir un historique complet sur différentes durées (6h, 1j, 2j 1s, 1m, 3m, 1a, 3a). Il supporte beaucoup d'équipements exposant leurs métriques via ce protocole.

Il y a une démo disponible ici : https://demo.observium.org

Si tu n'as besoin de ne monitorer que l'onduleur, ça risque d'être une solution trop conséquente.

Les connexions se font en IPv4 ou IPv6 ?

De mémoire, le réseau mobile IPv4 d'Orange est 92.184.0.0/16.

il suffit de vérifier quelle adresse IP source est utilisée à l'extérieur pour ajuster les règles de pare-feu en conséquence.

Bien sûr, chacun fait les règles comme il le souhaite. Il arrive toujours un moment en sécurité informatique où les choix sont subjectifs.

Ce que tu proposes inclut les 80 adresses supplémentaires de 23.178.112.[120-199] dont on ne sait pas à quoi elles correspondent.

Le risque est probablement minime, mais en réalité on n'en sait rien.

il y a 11 minutes, alan.dub a dit :

Pourquoi ne pas ouvrir au monde les ports 80 et 443 ?

Par le passé, certains se sont fait cryptolocker leurs fichiers car ces ports (et d'autres) étaient totalement ouverts alors que Web Station et/ou DSM présentaient des failles de sécurité activement exploitées. Et ce désagrément se reproduira tôt ou tard.

De manière générale, on ouvre les accès réseau au minimum nécessaire afin de garantir un niveau de sécurité minimum.

Le fond du problème, c'est que Synology n'a pas implémenté la synchronisation via HTTP (WebSocket, ou mieux : QUIC) comme le savent le faire d'autres solutions.

C'est une amélioration à leur proposer.

il y a 4 minutes, djiwalloo a dit :

mais pour une raison qui m'échappe, […]

La politique de sécurité réseau de ton entreprise ne permet pas d'établir une connexion sortante à destination du port tcp/6690 utilisé par Synology Drive Client.

Pour en revenir aux adresses IP, il semblerait que Let's Encrypt n'expose plus directement les adresses IP de ses serveurs Amazon, mais passe par CloudFlare. Les résolutions inverses pointent bien vers le nom du serveur Let's Encrypt d'origine, ce qui pourrait laisser croire que les IP sont fixes.

Ça reviendrait à ouvrir des accès pour les sources suivantes :

• 64.78.149.164
• 66.133.109.36
• 23.178.112.[100-119]
• 23.178.112.[200-219]

Il faudrait vérifier si ces adresses IP changent dans le temps :

66.133.109.36   outbound1.letsencrypt.org       outbound1.letsencrypt.org
23.178.112.100  outbound1a.letsencrypt.org      outbound1a.letsencrypt.org
23.178.112.101  outbound1b.letsencrypt.org      outbound1b.letsencrypt.org
23.178.112.102  outbound1c.letsencrypt.org      outbound1c.letsencrypt.org
23.178.112.103  outbound1d.letsencrypt.org      outbound1d.letsencrypt.org
23.178.112.104  outbound1e.letsencrypt.org      outbound1e.letsencrypt.org
23.178.112.105  outbound1f.letsencrypt.org      outbound1f.letsencrypt.org
23.178.112.106  outbound1g.letsencrypt.org      outbound1g.letsencrypt.org
23.178.112.107  outbound1h.letsencrypt.org      outbound1h.letsencrypt.org
23.178.112.108  outbound1i.letsencrypt.org      outbound1i.letsencrypt.org
23.178.112.109  outbound1j.letsencrypt.org      outbound1j.letsencrypt.org
23.178.112.110  outbound1k.letsencrypt.org      outbound1k.letsencrypt.org
23.178.112.111  outbound1l.letsencrypt.org      outbound1l.letsencrypt.org
23.178.112.112  outbound1m.letsencrypt.org      outbound1m.letsencrypt.org
23.178.112.113  outbound1n.letsencrypt.org      outbound1n.letsencrypt.org
23.178.112.114  outbound1o.letsencrypt.org      outbound1o.letsencrypt.org
23.178.112.115  outbound1p.letsencrypt.org      outbound1p.letsencrypt.org
23.178.112.116  outbound1q.letsencrypt.org      outbound1q.letsencrypt.org
23.178.112.117  outbound1r.letsencrypt.org      outbound1r.letsencrypt.org
23.178.112.118  outbound1s.letsencrypt.org      outbound1s.letsencrypt.org
23.178.112.119  outbound1t.letsencrypt.org      outbound1t.letsencrypt.org
64.78.149.164   outbound2.letsencrypt.org       outbound2.letsencrypt.org
23.178.112.200  outbound2a.letsencrypt.org      outbound2a.letsencrypt.org
23.178.112.201  outbound2b.letsencrypt.org      outbound2b.letsencrypt.org
23.178.112.202  outbound2c.letsencrypt.org      outbound2c.letsencrypt.org
23.178.112.203  outbound2d.letsencrypt.org      outbound2d.letsencrypt.org
23.178.112.204  outbound2e.letsencrypt.org      outbound2e.letsencrypt.org
23.178.112.205  outbound2f.letsencrypt.org      outbound2f.letsencrypt.org
23.178.112.206  outbound2g.letsencrypt.org      outbound2g.letsencrypt.org
23.178.112.207  outbound2h.letsencrypt.org      outbound2h.letsencrypt.org
23.178.112.208  outbound2i.letsencrypt.org      outbound2i.letsencrypt.org
23.178.112.209  outbound2j.letsencrypt.org      outbound2j.letsencrypt.org
23.178.112.210  outbound2k.letsencrypt.org      outbound2k.letsencrypt.org
23.178.112.211  outbound2l.letsencrypt.org      outbound2l.letsencrypt.org
23.178.112.212  outbound2m.letsencrypt.org      outbound2m.letsencrypt.org
23.178.112.213  outbound2n.letsencrypt.org      outbound2n.letsencrypt.org
23.178.112.214  outbound2o.letsencrypt.org      outbound2o.letsencrypt.org
23.178.112.215  outbound2p.letsencrypt.org      outbound2p.letsencrypt.org
23.178.112.216  outbound2q.letsencrypt.org      outbound2q.letsencrypt.org
23.178.112.217  outbound2r.letsencrypt.org      outbound2r.letsencrypt.org
23.178.112.218  outbound2s.letsencrypt.org      outbound2s.letsencrypt.org
23.178.112.219  outbound2t.letsencrypt.org      outbound2t.letsencrypt.org
172.65.32.248   acme-v02.api.letsencrypt.org    ca80a1adb12a4fbdac5ffcbc944e9a61.pacloudflare.com
172.65.46.172   acme-staging-v02.api.letsencrypt.org    56a5f4b0bc8146689ec3e272c43525f9.pacloudflare.com

 

Je n'utilise pas la méthode HTTP de Let's Encrypt (HTTP-01) pour les raisons précises que tu évoques (sécurité zéro). À une époque révolue où les adresses IP des serveurs Let's Encrypt étaient fixes, c'était plus acceptable de n'ouvrir qu'aux quelques IP réellement utilisées.

Bref, j'utilise la méthode par DNS (DNS-01). Ainsi, il n'y a aucun port à autoriser pour que le renouvellement fonctionne.

Malheureusement Synology ne propose pas cette méthode nativement dans DSM, et il faut donc mettre les mains dans le cambouis.

Il y a un tutoriel sur le forum qui explique comment procéder avec un domaine enregistré chez OVH. Il est possible de transposer ce tutoriel pour d'autres registrar que OVH car acme.sh en supporte toute une ribambelle.

Il y a 1 heure, Boaa PotPot a dit :

J'ai tenté de limiter les "emplacements" en spécifiant plein de pays (US, CA, FR, GB, …) en prenant soin de ne pas autoriser les pays que je trouve plus à risque (Russie, Corée, Chine, …)

Les USA font parti des pays à risque 😅 (le nombre de scans lancés depuis des IP US a explosé ces derniers mois, on se demande bien pourquoi 😇).