Einsteinium

A ce tarif la c’était il Y a 2 ans, depuis c’était 90€ mini en promotion et rarement....

Ouai c’est une spéciale pour toi 🤣

Ouaip, cela fessait presque 1 an que je cumulais les code promo gratuit, là je termine mes 3 mois avec tidal, c’est déjà actif pour mon second compte qui deviendra le principal.

Alors il faut choisir en pays l'Australie, cela revient au taux de change MasterCard à 60,87€.

@Vinky Et bien on suis la logique, le 920+ doit pas trop tardé à venir.

OpenVPN est bien au dessus de l2tp 😉

Aller merci grand chef, participation pour le fun 👍🏼

Après faut aller dans l’application puis réglage/notification, c’est en train de s’étoffe avec les updates.

Faut savoir que l’on peut désormais avoir les notifications (comme avec tautulli) et avoir des notifications de connection ou de lecture.

Cela veut dire que la compression ne sera plus utilisable des la version 2.5, actuellement on conseil de la désactivé (désactivé par défaut si nouvelle installation), la compression est une faille niveau sécurité 😉 Desactive l’option sur ton serveur et retelecharge le config.opvn et réimporte le sur ton nas

En plex pass, sinon c’est 1mega, c’est un peu à la façon quickconnect.

Si tu ne connais même pas les bases (ls, rm) attends le retour de synology qu’il le fasse directement, cela va te faire patiente mine de rien.

Ah nas source, j’avais pas fait gaffe, alors faut tuer le processus manuellement en ssh, il doit y avoir un dossier et des fichiers temporaires aussi à la racine d’un volume caché à supprimé.

Tu te prends la tête pour rien... reset le nas, branche le sur onduleur et recommence 😉

Si tu regardes mon tutoriel sur plex, tu verras qu’on peut aussi le faire sans docker compose, en exportant la config, la modifiant et réimportant ensuite. Achète un RT2600, perso via safe access, plus de pub.

A toi de jouer avec les paramètres jusqu’à trouvais le juste milieu, mais là c’est effectivement faible pour ce type de nas (désolé j’ai dû lire entre les lignes)

C’est vrai qu’on est con... je ne pensais pas que synology laissé actif synogroup, voir l’utilisé sur le routeur 🤣 @Zeus A mettre dans le tutoriel pour le coup.

Le nas peut faire de la balance-slb, faut pas l’oublie 🙂 Attention le modèle choisis ne fera que du transcodage logiciel et donc si un de tes lecteurs ne fait pas le taf, tu vas monopoliser toutes les ressources du cpu pour 1 seul flux 1080P...

alors je suis de la vieille école moi, après apt-get à encore bien plus de fonction que apt qui est encore tout jeune comparé, voilà le pourquoi ici 😜 Unbound, c’est une fonction qui peu être envisageable pour un VPS, mais ici c’est vraiment pour servir de relais, la suite du tutoriel que je mettrais d’ici fin août, sera un peu plus costaud, surtout niveau sécurité pour nginx, et cela afin d’avoir une très bonne note, le tout en filtrant géographiquement les sous domaines contre les indésirables assez simplement.

Alors j’habite dans un hameau de 3000 âmes qui n’a qu’une antenne 4G free, je suis à 1,2km à vol d’oiseau, le routeur et pas particulièrement bien placé (aussi bien chez moi, que géographiquement par l’antenne) et je n’utilises que ses deux oreilles de lapin. C’est un routeur que je dois avoir mis en signature de mémoire, mais je n’ai pour le moment que deux bande sur l’antenne relais (bientôt 3 huhu), je download à environ 20mo/s et upload à 3mo/s (au lieu de 1mo/s et 115ko/s en adsl...), débit constant en permanence, par contre je remarque que en face y a des ralentissements sur les serveurs de téléchargement par exemple (je dois en cumulé plusieurs pour plafonné au lieu d’un seul, uptobox par exemple) Nan franchement dans ma ville, je suis surpris de la 4G, après je penses aussi que le routeur y est pour beaucoup aussi sur la réception et la stabilité, car vue le nombre de gens chez free dans ma zone, l’antenne elle doit être bien chargée 🤣

Sur iPhone XS Max, et la mise en forme sur iPad Pro 12,9’´ 🤣 Oui ce tutoriel est utile pour ceux comme moi qui n’ont pas la fibre 🤣 Et bien en 4G on ne peut pas ouvrir de port globalement (hormis quelques exceptions coûteuses), dans mon cas oui cela me sert en t’autre pour plex, ds file et chat, le nas passant par la connection 4G au lieu de l’adsl. Il y a des coupures en 4G, comme sur l’adsl en IP non fixe, mais le fait d’avoir une liaison VPN actif, réduit ses dernières, qui se font que lors des périodes de temps mort d’activité (on parle d’une micro coupure, qui ne se ressent même pas à l’usage, du moins avec mon routeur 4G), le nas lui ne se déconnecte même pas du VPN à vraie dire (sauf si reboot du VPS suite update), cela doit entrainé quelques millisecondes de timeout voir 1 seconde ou 2 grand Max avec le VPS... Au début je passais que par cette méthode d’ouverture de port direct (bon après tu le sais à 15€ les 10 ans pour un .eu la promo...) Je passes par le reverse dns, avec tout de déclare sur le serveur plex et c’est transparent et plus de bridage de débit, enfin si la limite du VPS qui est de 100mbits, mais à 12,5mo/s... faut déjà avoir de très gros flux. Après en suivant ce que j’ai mis dans le tutoriel, le traffic du nas ne traverse pas en totalité le VPS, seul les échanges entre les services ouverts, quand on les interroges via les sous domaines/ports transitent, le reste passe normalement à travers la connection habituelle.

Alors faut pas oublié son modèle de synology (je suis en mobile donc je le vois si en signature), cela joue pas mal et sans oublié la perte de débit du à l’encryption.

Installation d'un domaine avec son serveur web : Attendre son serveur avec l'ip c'est cool, mais avec un domaine c'est bien plus sympa pour le partage de serveur plex, chat ou filestation à mon gout, je condense les blocs de commandes qui s'enchainent ici, attention pour utilisateurs confirmés, je donne des configs complètes et parfaitement optimisées, si vous suivez à la lettre ce qui suit, votre serveur sera parfaitement sécurisé. Il vous faudra un site à mettre à la racine, mais aussi une page 404 et timeout si vous suivez mon exemple, à vous de laisser court à votre créativité ou de reprendre de l'existant, cela ne sera qu'une vitrine (voir plus si vous voulez...) Praparation DNS chez OVH : Chez OVH on modifie le pointage DNS, l'exemple concret : Installation du serveur WEB : echo "deb http://nginx.org/packages/debian/ buster nginx">/etc/apt/sources.list.d/nginx.list wget http://nginx.org/keys/nginx_signing.key apt-key add nginx_signing.key apt update apt install nginx php7.3-fpm sudo update-rc.d nginx enable (installation de ngix et php 7.3) vim /etc/nginx/conf.d/default.conf On modifie juste avec son domaine : server_name VOTREDOMAINE; On remplace le contenu du fichier suivant : vim /etc/nginx/nginx.conf Par : user nginx; worker_processes 1; error_log /var/log/nginx/error.log warn; pid /var/run/nginx.pid; events { worker_connections 1024; } http { #Requete maximun par ip limit_req_zone $binary_remote_addr zone=flood:10m rate=1000r/s; limit_req zone=flood burst=100 nodelay; #Connexions maximum par ip limit_conn_zone $binary_remote_addr zone=ddos:10m; limit_conn ddos 100; include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /var/log/nginx/access.log main; sendfile on; tcp_nopush on; tcp_nodelay on; keepalive_timeout 65; types_hash_max_size 2048; server_tokens off; gzip on; gzip_disable "msie6"; gzip_vary on; gzip_proxied off; gzip_comp_level 6; gzip_buffers 16 8k; gzip_http_version 1.1; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript; include /etc/nginx/conf.d/*.conf; } (Mon fichier perso, alors je vais pas détailler chaque ligne, mais ne vous en faites pas il est tip top caviar, google est votre ami sinon) On regarde ensuite dans le fichier : vim /etc/php/7.3/fpm/pool.d/www.conf Que l'on a bien : listen = 127.0.0.1:9000 A partir d'ici avant de relancer nginx, nous lancerons un "nginx -t" afin de vérifier la configuration et ne pas planter ce dernier. Ensuite on relance l'ensemble : /etc/init.d/php7.3-fpm restart /etc/init.d/nginx restart Certificat Lets Encrypt : cd /home/VOTREUSER wget https://dl.eff.org/certbot-auto mv certbot-auto /usr/local/bin/certbot-auto chown root /usr/local/bin/certbot-auto chmod 0755 /usr/local/bin/certbot-auto (logiciel qui va générer les certificats qu'on télécharge et place au bon endroit avec ces droits ) cd /etc/ssl/private rm -f ocsp-certs.pem && wget -O- https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem https://letsencrypt.org/certs/lets-encrypt-x4-cross-signed.pem | tee -a ocsp-certs.pem > /dev/null (Une petite augmentation du niveau de sécurité niveau certificat) openssl dhparam -out /etc/ssl/certs/dhparam.pem 4096 (Là aussi, car j'aime bien avoir de bonnes notes en test) /usr/local/bin/certbot-auto --nginx certonly --rsa-key-size 4096 (Ici on va générer le certificat pour le domaine mis plus haut, rien de compliqué, vous devriez y arriver sans difficultés, cela installe au passage certbot pour ce premier lancement) /usr/local/bin/certbot-auto certonly --server https://acme-v02.api.letsencrypt.org/directory --manual -d '*.VOTREDOMAINE' --rsa-key-size 4096 (On crée maintenant le wildcard, il y aura un enregistrement à faire chez OVH, on remplace bien sûr dans la commande avec son domaine) On va créer les snippets pour nos certificats, on remplacera bien sur par son domaine, on commence par le certificat de base : vim /etc/nginx/snippets/ssl-VOTREDOMAINE.conf On met dedans : ssl_certificate /etc/letsencrypt/live/VOTREDOMAINE/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/VOTREDOMAINE/privkey.pem; Et là encore pour le wildcard : vim /etc/nginx/snippets/ssl-wildcard.VOTREDOMAINE.conf Avec : ssl_certificate /etc/letsencrypt/live/VOTREDOMAINE-0001/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/VOTREDOMAINE-0001/privkey.pem; On va maintenant s'occuper des paramètres ssl : vim /etc/nginx/snippets/ssl-params.conf Son contenu : ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_ciphers "TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:EECDH+CHACHA20:EECDH+AESGCM"; ssl_ecdh_curve secp384r1; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; ssl_stapling on; ssl_stapling_verify on; ssl_trusted_certificate /etc/ssl/private/ocsp-certs.pem; resolver 213.186.33.99 valid=300s; resolver_timeout 5s; ssl_dhparam /etc/ssl/certs/dhparam.pem; Maintenant les paramètres proxy : vim /etc/nginx/snippets/proxy-params.conf Son contenu : proxy_redirect off; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; client_max_body_size 10m; client_body_buffer_size 128k; client_header_buffer_size 64k; proxy_connect_timeout 150; proxy_send_timeout 150; proxy_read_timeout 150; send_timeout 150; proxy_buffer_size 64k; proxy_buffers 16 32k; proxy_busy_buffers_size 64k; Maintenant on retourne modifier la configuration nginx pour l'intégration des certificats et la sécurité et je vous colle une édition des miens, avec en bonus un exemple de sous domaine pour plex, ici on regarde bien, vim /etc/nginx/conf.d/default.conf On met dedans : server { listen 80 default_server; listen [::]:80 default_server; return 301 https://$host$request_uri; } server { listen 443 ssl http2; listen [::]:443 ssl http2; include snippets/ssl-wildcard.VOTREDOMAINE.conf; include snippets/ssl-params.conf; server_name *.VOTREDOMAINE; return 301 https://VOTREDOMAINE$request_uri; add_header X-Frame-Options "SAMEORIGIN" always; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "allow 'self'; base-uri 'self'"; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; } server { listen 443 ssl http2 default_server; listen [::]:443 ssl http2 default_server; include snippets/ssl-VOTREDOMAINE.conf; include snippets/ssl-params.conf; root /usr/share/nginx/DOSSIERQUEVOUSVOULEZRACINESITEWEB; index index.php; server_name VOTREDOMAINE; add_header X-Frame-Options "SAMEORIGIN" always; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "allow 'self'; base-uri 'self'"; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; error_page 403 404 429 500 502 503 504 /PAGE404.html; location = /PAGE404.html { root /usr/share/nginx/DOSSIERQUEVOUSVOULEZPAGE404/; internal; } location / { try_files $uri $uri/ =404; } location ~ \.php$ { try_files $uri =404; fastcgi_index index.php; fastcgi_pass 127.0.0.1:9000; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include /etc/nginx/fastcgi_params; } location ~ /\.ht { deny all; } } server { listen 443 ssl http2; listen [::]:443 ssl http2; include snippets/ssl-wildcard.VOTREDOMAINE.conf; include snippets/ssl-params.conf; include snippets/proxy-params.conf; server_name plex.VOTREDOMAINE; access_log /var/log/nginx/plex.access.log main; add_header X-Frame-Options "SAMEORIGIN" always; add_header X-Content-Type-Options nosniff; add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "allow 'self'; base-uri 'self'"; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; error_page 403 404 429 500 502 503 504 /timeout.html; location = /TIMEOUT.html { root /usr/share/nginx/DOSSIERQUEVOUSVOULEZTIMEOUTQUANDSERVERDECONNECTERVPN/; internal; } location / { proxy_pass https://10.0.0.XXX:32400; } } Le premier bloc redirige les requêtes http vers https, le second bloc renverra les demandes de sous domaine inexistants, vers le domaine principal (VOTREDOMAINE à modifier 3 fois), le troisième bloc concerne le domaine principal (VOTREDOMAINE à modifier 2 fois & 2 chemins de dossier à modifier) Enfin le 4ième et dernier bloc concerne un sous domaine qui ramène vers plex, dans la suite logique du tutoriel (VOTREDOMAINE à modifier 2 fois, un chemin de dossier et surtout l'ip que vous avez fixée à votre nas) Dans ce cas niveau OpenVPN on peut retirer la dmz mise dans le premier tutoriel et fermer le port dans le pare feu d'ovh. On relance ensuite nginx et c'est tout bon 🙂 /etc/init.d/nginx restart On va maintenant mettre à jour la protection du serveur via fail2ban : vim /etc/fail2ban/jail.conf Avec : ignoreip = VOTREIPFIXE/32 (Afin de ne jamais se bannir) Après le bloc [nginx-botsearch] on rajoute cela afin de bannir les abus et tentatives d'attaques et recherches de failles : [nginx-301] port = http,https logpath = /var/log/nginx/access.log /var/log/nginx/plex.access.log findtime = 60 maxretry = 4 [nginx-400] port = http,https logpath = /var/log/nginx/access.log /var/log/nginx/plex.access.log maxretry = 1 [nginx-404] port = http,https logpath = /var/log/nginx/access.log /var/log/nginx/plex.access.log findtime = 60 maxretry = 4 (Sous domaine plex pour être dans la suite logique du tutoriel, mettre tous vos sous domaines au fil du temps) On fait maintenant les filtres de ces nouvelles règles, en les reproduisant ensuite avec 400 & 404 : vim /etc/fail2ban/filter.d/nginx-301.conf Son contenu : [Definition] failregex = <HOST> - - \[.*?\] ".*?" 301 ignoreregex = On rajoute maintenant des jails : vim /etc/fail2ban/jail.d/defaults-debian.conf En mettant à la fin : [nginx-http-auth] enabled = true [nginx-limit-req] enabled = true [nginx-botsearch] enabled = true [nginx-301] enabled = true [nginx-400] enabled = true [nginx-404] enabled = true [php-url-fopen] enabled = true Et on relance ensuite fail2ban : /etc/init.d/fail2ban restart Il y aura les 2 commandes à faire tous les 3 mois pour re générer les certificats lets encrypt que vous avez exécutés plus haut, je ne le fais pas en auto car il y toujours quelque chose qui coince avec l'automatisme... après cela me donne l'occasion de voir un peu les logs au passage et de vérifier que tout tourne bien. Voilà roulez jeunesse les amis, on peut aussi voir à limiter les ip entrantes, dans mon cas seules les ip françaises et belges peuvent naviguer sur le site, mais aussi recevoir un mail avec whois lorsqu'une IP se fait bannir, éventuellement je peux voir à mettre cela en plus dans le tutoriel s'il y a de la demande. Concernant plex, il faudra générer le certificat et modifier 2/3 paramètres, si c'est l'usage que certains font, je vous donnerai la procédure en réponse dans le topic. Alors bon je ne détaille pas tout... c'est le fruit de longues heures de recherches pour avoir des configurations parfaites, par exemple si vous ouvrez un sous domaine pour filestation, vous aurez l'adresse IP réelle de la personne, si vous voulez vérifier la qualité ssl du serveur vous aurez du A+ en note, mon serveur tourne maintenant depuis 1 an sans aucun soucis ou faiblesse de sécurité et je peux vous dire que les tentatives sur le serveur web sont légions, ce qui a résulté la création des filtres fail2ban 301/400/404 pour ne pas surcharger inutilement le serveur web (et polluer les logs).

Bah tu supprimes le routeur dans DSM, cette fonction ne devrait même pas existé... c’est Une faille à elle seule avec cette ouverture de port

Mais non c’est ce que la femme me dit à chaque fois 🤪