Mic13710

Non DSM peut très bien être joint via le reverse proxy. C'est juste qu'il ne faut pas l'exposer à l'extérieur à l'aide d'un profil de connexion qui interdit aux ip publiques d'y accéder. Mon ndd pour DSM s'appelle nas.ndd.fr et il est joignable d'une part de mon réseau privé (je dirais plutôt mes réseaux privés puisque mes deux sites sont interconnectés via VPN), et via VPN de l'extérieur d'autre part, plus comme je l'ai dit à partir d'IP publiques de confiance. Mais pour que le nom soit résolu localement, il faut utiliser un serveur DNS local (voir tuto sur le serveur DNS), ou au minimum que le routeur puisse faire du loopback bien qu'il faille plutôt privilégier le serveur local. Si vous n'avez ni l'un ni l'autre alors effectivement, l'accès à DSM via un ndd n'a pas d'intérêt pour vous. Tout à fait, mais il faudra bien positionner vos règles pour qu'elles ne soient pas annihilées par d'autres plus permissives. Il est plus simple d'avoir des règles de parefeu plus ouvertes et de créer dans le reverse proxy des profils d'accès spécifiques à chaque application (ou pour plusieurs) si on veut être plus restrictif.

Si l'alimentation du 411 est identique à celle du 415 (je n'ai pas vérifié), as-tu essayé avec celle du 415 ?

Bonjour @francis31 , soyez le bienvenu sur ce forum.

Ce tuto s'adresse à ceux qui utilisent directement le réseau privé de leur box orange. Si vous insérez un routeur, le réseau de votre NAS est dissocié du réseau de la box et sauf erreur, ce tuto n'est plus applicable.

Le Reverse Proxy n'est pas un moyen de sécurisation. C'est un mode de connexion qui permet de s'affranchir des ouvertures de ports en utilisant qu'un seul port. C'est généralement le 443 qui est le port https par défaut, mais vous pouvez très bien prendre un autre port si vous voulez, avec la contrainte de devoir le renseigner dans l'url. Il est illusoire de croire que le changement de port constitue une protection efficace. Ca ne fait que retarder (un peu) les attaques. Il n'y a pas de connexion externe sans risque et le seul moyen efficace pour les éviter c'est de ne pas les autoriser, ce qui limite drastiquement l'usage d'un NAS. Sinon, c'est au parefeu qu'il revient le rôle de protection. C'est lui qu'il faut régler pour limiter l'exposition vers l'extérieur. Le reverse proxy permet toutefois un réglage plus fin grâce aux profils de connexion. On peut en définir plusieurs pour protéger chaque application de manière spécifique. Perso, je n'en utilise qu'un pour protéger les applications sensibles pour lesquelles je ne veux qu'une connexion locale ou via le VPN. L'accès à DSM par exemple n'est possible de l'extérieur que via le VPN et à quelques ip publiques fixes de confiance qui m'appartiennent et qui ne sont là juste en cas de dysfonctionnement du VPN. Je n'ai pas de problème d'identification avec mes applications nomades. Chacune d'elle se connecte avec un ndd spécifique pour chaque application et certaines avec des identifiants différents. Mais peut-être est-ce du au fait que les identifiants sont enregistrés dans mon smartphone. L'accès à toutes les applications sensibles sont protégées soit par biométrie, soit par code. Les autres utilisent un identifiant dont les droits sont réduits au strict minimum.

La dernière version officielle est celle-ci : https://web.archive.org/web/20230130112806/https://global.download.synology.com/download/DSM/release/2.0/0731/DSM_CS-406_0731.zip Si vous aviez une version supérieure c'est que vous avez fait un upgrade non officiel et que vous avez bidouillé pour l'installer. Le problème c'est que le NAS ne peut pas accepter de version inférieure à la dernière sans une modification de l'eprom. Pour info, la 1157 n'est pas du tout compatible avec le CS406 (pas le même CPU). La dernière version 2.3 pour le CS407e est la 1157 téléchargeable ici : https://web.archive.org/web/20230205133012/https://global.download.synology.com/download/DSM/release/2.3/1157/synology_ppc824x_cs407e_1157.zip Commencez par la dernière version officielle (731). Si le NAS refuse de l'installer avec un message disant qu'on ne peut pas installer une version inférieure à XXX, c'est que le NAS a été upgradé vers le CS407e. Essayez la 1157 pour ce modèle, à vos risques et périls il va de soit.

Il faudrait faire un test de la carte mère : https://kb.synology.com/fr-fr/DSM/tutorial/Why_am_I_unable_to_install_my_Synology_NAS_and_why_is_my_power_LED_is_flashing_constantly Il est possible que suite à la manip décrite dans l'autre sujet, tu aies flingué le bloc d'alimentation.

La seule possibilité pour intégrer une caméra non reconnue c'est qu'elle soit ONVIF. Sans cela, inutile de chercher plus loin.

Ce qui me semble évident c'est que ce n'est pas du côté des notifications que ça se passe. Le NAS se contente d'envoyer un email avec l'api et c'est le site smsapi.free-mobile.fr qui gère le transfert vers l'usager. Chez moi, les sms arrivent bien et je suis notifié par un son comme pour les autres sms que je reçois.

Le disque est peut-être le fautif. Vous pouvez le retirer et tenter de démarrer sur le disque restant. Si vous êtes en SHR avec protection des données, vous devriez retrouver toutes vos données et vos accès. Il se peut aussi que ce soit une panne du bloc alimentation. Panne finalement assez courante et récurrente ces temps ci.

Si votre ip publique côté NAS local est fixe, vous avez tout intérêt à l'ajouter dans la liste des ip autorisées du NAS distant.

Regardez du côté du parefeu si votre adresse n'a pas été bloquée. Il est probable que les tentatives précédentes avec l'ancien mot de passe ont atteint le nombre d'essai de blocage.

Je ne connais pas la limite du nombre de NAS sur CMS. Il n'y a rien à ce sujet dans les kb. Vu le nombre que vous contrôlez, c'est un sujet qui peut intéresser synology directement. Il se pourrait bien qu'il s'agisse d'un problème lié à CMS car j'ai moi même un seul NAS supervisé (on est loin des 800) et je reçois souvent des messages de déconnexion de cet unique NAS alors qu'il fonctionne parfaitement. Ce n'est pas un problème de réseau car les 2 sont sur le même réseau privé.

Certes, mais je vois tellement souvent des membres qui ne reçoivent pas l'email qu'il est beaucoup plus rassurant de conserver la clé. Ne se fier qu'à un hypothétique mail est trop risqué alors que la clé sauvegardée est utilisable sur n'importe quelle application otp.

A vrai dire, plus de 800 NAS connectés, ça me semble beaucoup. De plus via quickconnect, ce n'est pas optimal comme mode de connexion. Avez-vous consulté la kb synology sur CMS ? https://kb.synology.com/fr-fr/DSM/help/CMS/cms_server?version=7 Dans les remarques, il y a ceci :

Ce n'est pas une clé de secours. C'est la clé qui permet la génération des OTP. Rappel de ce qui est dit à ce sujet dans le tuto sur la sécurisation :

Il n'y a aucun problème avec la 2FA si on prend le soin de sauvegarder la clé et que les horloges sont synchronisées via un serveur NTP. Depuis des années j'utilise le 2FA et mis à part au tout début un souci d'horloge non synchronisée, je n'ai jamais eu de problème avec ce mode de connexion. Évidemment, si on ne fait confiance qu'à un seul générateur OTP et/ou qu'on n'a pas sauvegardé la clé dans un gestionnaire de mdp (par exemple keepass), on s'expose à ce que vous venez d'expérimenter.

Le sujet tout entier. C'est déplacé 😉

OTP = One Time Password. C'est une code utilisable une fois et renouvelé par défaut toutes les 30 secondes. Il est pseudo aléatoire puisqu'il est créé à partir de la clé (dont je parle plus haut) qui doit être identique entre le serveur et le gestionnaire otp (google authenticator, Free OTP, OTP+, etc...) et de l'UTC (temps universel coordonné). Il faut donc impérativement que les horloges soient exactement à la même heure UTC pour que le code généré par le gestionnaire otp et celui attendu pour le 2FA soient identiques.

C'est toujours difficile d'apporter des réponses à ce genre de problème. Ca peut être l'alimentation (alimente un disque mais pas les 4), un disque HS qui bloque le boot, le système corrompu. Si le NAS ne démarre pas avec les 4 disques, j'aurais tendance à dire que c'est l'alimentation qui est défaillante.

On ne parle ici que d'accès à des fichiers. Ce n'est que de la lecture simple sans conversion de format. Je confirme dans ce cas qu'un modèle J est largement suffisant. Si par contre vous voulez faire de la conversion dans le NAS avant lecture, c'est une autre histoire que vous n'avez pas indiquée dans votre demande. Je ne conseille pas du tout de laisser au NAS l'exécution de cette tâche (trop de ressources mobilisée) alors qu'un boitier multimedia (Nvidia shields, Apple TV, etc..) le fera beaucoup plus vite et mieux. Mais si vous souhaitez le faire alors effectivement il va falloir vous orienter vers un modèle plus puissant.

Cette demande n'a rien à faire dans la section vente et achat. Je déplace. Merci de faire attention à la section où vous postez. Si ce n'est que pour de la sauvegarde, alors un modèle J est largement suffisant. Inutile prendre un modèle plus puissant. Ce qui vous laisse l'option de prendre un modèle J neuf qui aura l'avantage de bénéficier de mise à jour plus longtemps. Les modèles 218 et 718 sont en fin de vie. Ils bénéficient encore de la version 7.3 et ce sera la dernière pour ces modèles. Pour le raccordement, que ce soit en wifi ou ethernet, aucune importance. Seul l'accès au même réseau est à considérer.

Attention, quel que soit le montage des disques dans un NAS multi baies, tous les disques sans exception ont une surcouche RAID. Il n'y a pas de vrai disque en basic comme c'est le cas sur un NAS monobaie (DS1xx). Cela signifie que les disques ne peuvent pas être lus directement sur un PC sous linux. Il faut aussi charger le gestionnaire de RAID mdadm et si SHR, il faut en plus charger lvm2. Ensuite, je confirme ce qui a été dit. Oui, on peut faire une sauvegarde d'un groupe vers un autre groupe d'un même NAS mais ça ne peut pas être considéré comme une vraie sauvegarde puisqu'elle n'est pas dissociée de la source et qu'elle n'est pas dans un autre lieu. Si le NAS prend l'eau, brûle dans un incendie, tombe de l'étagère ou qu'il est vérolé par un cryptolocker, la source et sa sauvegarde sont à tout jamais perdues. Je vous conseille plutôt de prendre un NAS 2 baies pour faire un raid1 et de trouver d'occas un nas 1 baie ou 2 baies pour vos sauvegardes. Ce sera déjà plus safe qu'une sauvegarde locale.

Et pourtant si. Si vous n'aviez que ce support pour générer l'otp et que vous ne l'avez plus, alors effectivement il va falloir faire une réinitialisation mode 1. Pour la suite, je vous conseille de stocker la clé OTP (elle n'est visible qu'une seule fois à la création du compte) et aussi de la faire tourner sur plusieurs supports. Si l'un est défaillant, vous pouvez en utiliser un autre. Tout ceci est expliqué dans le tuto sur la sécurisation de nos NAS que je vous encourage par ailleurs à mettre en pratique si ça n'a pas été fait.

Le problème est maintenant résolu. N'hésitez pas à ouvrir un nouveau message en cas de problème. Ceci est une réponse automatique.