MilesTEG1

Hello again Tu ne rames pas tant que ça, tu es déjà arrivée à faire pas mal de chose c’est super (je te ferais une réponse plus détaillée plus tard quand je serais devant mon ordi). Mais en version courte ou presque : Pour ne pas trop se disperser, il faudrait faire les choses dans l'ordre Là j'ai l'impression que tu essayes diverses choses, mais un peu dans le désordre ^^ La première chose à faire, c'est de configurer correctement le pare-feu du NAS. 1) Le pare-feu du NAS : Avec les règles actuelles du pare-feu seules les IP Lan (donc locales) sont autorisées, ça inclue les IP données par le serveur DHCP de ta box (c’est ce qui affecte une iP a un périphérique), mais aussi les IP du serveur VPN de la freebox, c'est ce qui fait qu'en 4G quand tu te connectes au serveur VPN de la freebox, tu accèdes aux ressources réseau. D'ailleurs en parlant des règles paramétrées, je pense qu'on peut en enlever certaines... La n°1 n'est pas utile si tu n'as pas de réseau local avec des IP en 10.x.x.x... Supprime-là ou désactive-là. La n°2 : même chose, mais j'ajouterais que si tu utilises Docker sur ton NAS, il faut la laisser à toi de voir si tu en as besoin ou pas. La n°3 : essentielle, ça prend toutes les plages d'IP LAN classiques des box/routeurs FR. On pourrait réduire la plage d'IP, mais bon, autant laisser ainsi. Il faut ajouter une règle qui va autoriser les IP FR (si tu habites en France) à accéder au port 443. Pour cela il faut créer une nouvelle règle qu'il faudra placer avant la dernière règle qui refuse tout sur tout. Pour accélérer la recherche du pays, tu peux taper les premières lettres dans le champ de recherche (2). Tu déplaces cette règle nouvellement créée en avant-dernière position. La dernière règle devra toujours être celle qui refuse tout sur tout Tu crées ensuite une règle pour le port de synchronisation de Drive, le port 6690, de la même manière, et là aussi que sur les IP françaises. N'oublie pas de déplacer la règle en avant-dernière position. Tu devrais avoir alors ceci (si tu as supprimé la règle des 10.0.0.0...) : Là, maintenant ton pare-feu de NAS est correctement configuré, n'est pas une passoire, et est juste permissif de ce qu'il faut. Si jamais tu dois aller dans un autre pays, il faudra ajuster les pays autorisés Personnellement, je n'ai que ces ports (443 et 6690) ouverts sur internet, avec un autre pour l'ICMPv6 (mais c'est une autre histoire, et tu n'en auras probablement jamais besoin), et je n'ai aucun souci d'accès, que ce soit avec le VPN, ou sur les applications qui passent par le reverse proxy. Donc, ton pare-feu bloquait bien comme il le fallait les connexions. Précisions : si à l'avenir tu voulais ajouter des services à ton NAS, comme NoteStation, Synology Photos, etc... tu n'auras besoin que de rajouter des entrées dans le reverse proxy 😉 Normalement, pas de nouveaux ports à ouvrir sur internet. 2) La Freebox, et le port 6690 impossible à choisir Ici, ça ne va pas être dur. Il faut aller dans ton interface de gestion de compte freebox et demander une IPv4 Fullstack, car tu as ce qu'on appelle une IP CGNAT, donc partagée avec plusieurs personnes, donc tu n'as qu'une fraction des ports de connexion disponibles. Et là tu n'as pas le pour 6690, et donc pas le 443 disponible depuis internet... C'est râlant, mais avec la pénurie d'IPv4, les FAI font de plus en plus cela. Mais chez free, c'est rapide d'obtenir une IP avec tous les ports (FullStack). Donc dans ton compte de gestion free ( https://adsl.free.fr/ ), tu vas dans Ma Freebox, puis tu cliques sur Demander une IP fix V4 Full-stack. Il faudra attendre un petit peu, je ne me rappelle pas du délai, car j'ai demandé la mienne avant même que ma fibre soit branchée chez free... Une fois que tu auras une IP full-stack, il faudra redémarrer la freebox, et là tu pourras choisir les ports 6690 et 443 à rediriger vers ton NAS. 3) Le serveur VPN de la Freebox, via Wireguard : Alors, maintenant passons au serveur VPN Wireguard de la Freebox. Déjà, pourquoi t'ai-je orienté dessus ? Parce que c'est facile, et rapide à mettre en place, et qu'en prime, c'est un des protocoles les plus performants, et je pense, sécurisé (bon là, je me mouille peut-être un peu 😅). Il faut savoir que ton NAS peut aussi faire office de serveur VPN (OpenVPN, L2TP pour les plus utilisés), mais Synology n'a toujours pas daigné mettre en place ce qu'il fallait pour avoir le protocole Wireguard ... 🤬). Sache que si tu changes de FAI, tu n'auras plus le serveur VPN wireguard de la freebox, il te faudra alors mettre en place un protocole du paquet VPN Server sur le NAS. Ce n'est pas vraiment complexe. Mais la freebox est plus simple et rapide à mettre en place. Donc, par rapport au serveur VPN de la FB (=freebox), chez moi les adresses IP que j'ai en étant connecté via ce VPN, sont en 192.168.27.xxx. Je vais partir du principe que c'est aussi ton cas. Si ce n'est pas le cas, faudra adapter les IP plus bas. 4) Le Reverse Proxy & les Profils de contrôle d'accès Pourquoi je parle de cela que maintenant ? C'est parce qu'il faut d'abord les infos précédentes sur le VPN, mais aussi par rapport à ce message : Tu n'as pas mis la plage d'adresse IP du VPN 😆 dans le profil de contrôle d'accès. Ajouter une ligne, avant la dernière qui refuse tout pour autoriser la plage d'IP : 192.168.27.0/24 . Sinon, quand tu te connecteras au VPN de la freebox, tu ne pourras pas accéder aux ressources du NAS, car ton IP sera une qui ne sera pas autorisées. Ensuite, dans ce message, tu montres comment tu as configuré l'entrée du RP (=Reverse Proxy) pour Drive : Sauf que là, avec le profil de contrôle d'accès défini pour l'URL drive.ton-domaine.synology.me, tu ne pourras pas, ni tes parents, accéder au drive depuis l'extérieur. Il me semble que tu souhaites pourtant partager l'accès avec tes parents, non ? Si c'est bien le cas, ne mets pas de profil de contrôle d'accès sur cette entrée du RP. En revanche, il faut bien le mettre pour l'entrée du RP concernant DSM ! PS : tu peux nommer comme bon te semble le profil de contrôle d'accès 😉 car moi j'ai mis DSM et SRM, car j'ai un routeur Synology dont l'OS s'appelle SRM. __________________________________________ Enfin, pour ta méthode de test depuis une connexion 4G/5G, je valide, je procède de la même manière. C'est probablement mieux, mais pénible pour ta soeur ^^ sauf si elle doit accéder à DSM... Si les mots de passes des comptes sont robustes, et si le 2FA est activé, normalement, les risques sont minimes de laisse l'accès à Drive et Filestation ouvert sur internet (si tu as bien tout appliqué de ce qui précède). Après, si ça ne gêne pas tes proches de se connecter via un VPN, c'est sûr que là c'est top 😉 Après avoir ajuster avec tout ce que j'ai dit dans ce message, il faudrait que tu testes ceci : Accéder depuis le LAN aux différents services : DSM, Drive, etc... (Normalement pas de problèmes) ; Accéder à Drive depuis internet : normalement ça devrait fonctionner. Accéder à DSM depuis internet : normalement ça ne devrait pas fonctionner, grâce au pare-feu. Une fois connectée au VPN depuis internet : Accéder à Drive : normalement ça devrait fonctionner. Une fois connectée au VPN depuis internet : Accéder à DSM : normalement ça devrait fonctionner. S'il y a une étape qui ne fonctionne pas, ce n'est pas normal. Faudra qu'on creuse. Et enfin, pour la synchronisation Drive, depuis un ordi, mais que quand tu auras récupéré une IP full-stack, il faudra vérifier que la connexion se fait bien dans le client Drive depuis une connexion 4/5G, donc depuis internet. Voilà voilà, je ne pense pas avoir raté une de tes interrogations 😉 Pouf, le pavé est fini. Si tu as réussi à tout lire jusque-là sans avoir la tête qui explose, bravo 👏🏻🎉 @val134 maintenant, au travail, remarque, c'est peut-être déjà fini 😁

Si tu veux bien, on garde le sujet du VPN pour après. Je suis en train d'éditer mon précédent message. Attends quelques minutes, il va arriver ^^

Finalement, le gros message sera mis en nouvelle réponse... 🤣 Je supprimerais ce message tout à l'heure.

@Antimousse Safe Access est installé, mais pas configuré, il ne gère donc rien. Est-ce que ça peut causer des soucis ? Je la désinstalle des fois que... edit : je stoppe le paquet, il ne semble pas possible de le désinstaller.

@val134 le tuto suivi pour Wireguard me semble très bien. Montre voir les règles déjà mises. Et qu'entends-tu par " je ne peux plus ouvrir ds file sur mon telephone portable..." ? Ça te met un message d'erreur ? Essaye de mettre :443 après le nom de domaine. Ensuite, il faudrait préciser dans quelles circonstances tu fais les essais : est-ce depuis le LAN ou bien depuis internet (donc via connexion 4G par exemple). Pour la plage d'IP, il faut regarder quelle adresse IP tu obtiens de ta freebox. Je pense que ce sera une en 192.168.1.xxx, donc en CIDR, la plage à mettre dans le profile d'accès sera : 192.168.1.0/24 Voir ici un calculateur : https://www.cidr.eu/en/calculator/+/192.168.1.0/24

@val134 Bon ça avance 🙂 Tu peux supprimer le certificat n°2 : Il ne te sert à rien avec un certificat wildcard du 1. Pense à bien associer le certificat qui reste à tous les domaines présents dans "Paramètres", car là tes services sont associés au certificat que tu vas supprimer.) Ha je n'avais pas fini de lire le message ni regarder la capture qui suivait 🤣 Ne tiens pas compte de la ligne précédente. Pour les photos, tu ne veux pas utiliser Synology Photos ? Pour DS File, il te faut configurer une entrée de reverse proxy pour FileStation. Pour la synchronisation Drive, j'ai déjà répondu précédemment. Pour tes parents, ce sera via FileStation. Pour ces usages, il n'y a pas besoin d'accéder à DSM. Par exemple comme ceci : Enfin pour toi, afin d'accéder à DSM, il va falloir te pencher sur le serveur VPN. Ou mieux vu que tu as une freebox, utiliser le serveur Wireguard de ta freebox pour accéder à ton réseau local quand tu n'es pas chez toi, et ainsi ne pas avoir besoin d'ouvrir l'accès de DSM sur internet. Quand tu auras réussi à configurer le serveur VPN (où qu'il soit), il faudra créer un profil de contrôle d'accès pour ton entrée de reverse proxy de DSM : Dans la liste des adresses IP, il faudra que tu mettes les plages d'IP (CIDR) que tu veux autoriser : mon LAN est dans la plage 192.168.2.xxx -> 192.168.2.0/24 Le réseau de mon serveur VPN est dans la plage 192.168.10.xxx -> 192.168.10.0/24 etc... Et la dernière règle est celle qui refuse tout : Et enfin tu choisis ce profil de contrôle d'accès dans ton entrée de reverse proxy : Voilà 🙂 Ha, je n'ai pas précisé, mais dans le pare-feu, tu n'auras que le port 443 du reverse proxy, et que le port 6690 de la synchronisation Drive d'ouvert sur internet. Ne met rien d'autre. Enfin quand tu auras paramétré le serveur VPN. En attendant, si tu as vraiment besoin d'accéder à DSM depuis internet, n'ouvre que ton port à lui, qui j'espère est un n° personnalisé.

Bonsoir, J'ai un souci assez étrange sur mon réseau que j'impute au routeur. Il arrive de temps à autre, et de manière aléatoire, que l'un de mes macs (mon MBA, ou l'iMac de ma femme) perte l'accès au réseau parce qu'il n'obtient pas d'adresse IP du serveur DHCP du routeur : j'ai une adresse auto-affectée. Aujourd'hui, l'iMac de ma femme a perdu son adresse IP sans pouvoir la retrouver deux fois. Le seul point commun à ces deux pertes, et à celles que j'ai subies sur mon MBA, c'est que le mac est parti en veille, et a été réveillé après quelques temps en veille. J'ai beau tenté de désactiver l'interface réseau ou de redémarrer le mac, il garde cette adresse auto-affectée et en récupère pas l'adresse IP du serveur DHCP (j'ai fait en sorte que les macs aient une IP réservée, donc toujours la même). J'ai aussi tenté de redémarrer le(s) switch(s) entre le routeur et les macs, mais là aussi ça ne fonctionne pas mieux après. Le seul truc qui fonctionne c'est de redémarrer le routeur, un RT2600AC qui a déjà quelques années. Est-ce que c'est déjà arrivé à quelqu'un ce genre de soucis ? Comment faire pour que ça ne se reproduise pas ? Merci de votre aide.

Ok je vois ce qui coince. tu as utiliser tondomaine.synology.me po dsm et tu veux l’utiliser aussi pour Drive . Ça n’est pas possible. en revanche , avec les « spud-domaines » ça passera : dsm.tondomaine.synology.me (443) -> iP nas sur port dsm drive.tondomaine.synology.me (443) -> iP nas sur port drive du coup tu n’as pas le choix , il faut refaire le certificat et utiliser les sous domaines.

Bonjour, C'est-à-dire "perte de connexion au NAS" ? Via quel type d'accès ? Montre voir comment tu as configuré le reverse-proxy pour DSM ? Car ce n'est pas normal que ça râle pour l'entrée de drive... J'ai tenté sur mon Syno de mettre mon ndd synology sans "sous-domaine", et ça passe sans soucis sur le port 443. Est-ce que tu as mis le port 443 ailleurs dans DSM ? J'entends à d'autres endroits de configuration ou pour une application ? As-tu installé WebStation ? À titre d'exemple, voilà comment j'ai configuré mon accès Drive (enfin quand j'utilisais le reverse proxy de DSM) : Pour la synchronisation, pas besoin d'entrée dans le reverse proxy, car ne fonctionnera pas, il faut juste ouvrir le port dans le parefeu du NAS (attention à restreindre l'accès aux seuls pays concernés, voir tuto configuration du pare-feu sur le forum) et à rediriger le port dans la freebox. D'ailleurs, je ne te conseille pas d'ouvrir le port de DSM sur internet 😉 Il faudra configurer l'accès VPN. Bref, normalement ce que tu as fait est censé fonctionner ^^ Il doit y avoir un réglage ailleurs qui coince. Essaye aussi, des fois que..., de refaire le certificat pour avoir un wildcard, avec le *.

Attention en copiant ainsi les données, si elles sont utilisées au moment de la copie, il se passe quoi ? Si c'est une base de données, c'est la corruption assurée de la copie. Je pense qu'il est préférable d'utiliser un rsync. Ensuite, comme @.Shad. l'a dit, ce qui est utile de sauvegarder pour un conteneur, c'est le volume qui est monté dans le conteneur. Et si tu as installé créé correctement le conteneur, tu as utilisé un point de montage sur ton nas pour accéder à la configuration/données/... du conteneur. Le reste du conteneur est inutile, ça ne sert à rien de le sauvegarder... Après, si tu veux vraiment, tu sauvegardes avec Hyperbackup le dossier /volumeX/docker/ complètement. Mais même en faisant celà, tu ne sauvegarderas pas tout le conteneur... pas les OS (Linux Alpine, Arch, ou autre...), ni les binaires, etc... Juste les données. PS : pour les conteneurs utilisant ou étant une base de données, comme MariaDB, Vaultwarden, Gitea, etc... il est préférable d'arrêter le conteneur avant de faire la copie des données. PPS : et attention, c'est cp -R /path_to/source /path_to/destination la commande que tu devrais utiliser. Et si tu veux un vrai contrôle, rsync : https://doc.ubuntu-fr.org/rsync rsync -avh --progress --append --exclude={'@eaDir','#recycle','~$*.*','~*','~*.tmp','desktop.ini','.DS_Store'} --log-file="/volume1/rsync-`date +%Y-%m-%d--%Hh%Mm%Ss`.log" /path_to/source /path_to/destination/

@val134 Pour la redirection de port dans la freebox : Juste je ne suis plus sûr que ce soit TCP (point ') et pas les deux (TCP et UDP) qu'il faudrait ouvrir, dans mes souvenir TCP suffit. Pour l'absence d'* sur le certificat, c'est ce qu'on appelle le wildcard, ça permet que ton certificat couvre ton domaine machin.synology.me et aussi truc1.machin.synology.me, et truc2.machin.synology.me, etc... en gros tout ce que tu veux en *.machin.synology.me. Tu peux recréer le certificat par la suite. Relis et suis mon tuto si tu veux le refaire. Mais si tu n'as pas besoin des "sous-domaines" (techniquement ça n'existe pas, ce sont des domaines à part entière, mais ça permet de comprendre plus facilement de quoi on parle ^^), tu peux laisser ainsi.

@val134 ça va dépendre de la box 😊 Mais surtout avant d’ouvrir un port sur la box il faut configurer correctement le pare-feu du nas .

@val134 : bonjour 👋🏻 j’ai rédigé un tuto assez simple (sur un autre forum) qui concerne l’utilisation du nom de domaine synology. je pense que ça pourrait te convenir. j’y traite aussi de la génération du certificat let’s encrypt et aussi du reverse proxy. Et elle aussi la configuration du pare-feu (le tuto sur nas-forum est beaucoup plus fourni en explications et détails, le miens va plus vite mais explique quand même hein 😊) mais sache que la synchronisation drive ne peut pas passer via le reverse proxy, seule l’interface web drive le peut. Donc pour la synchronisation il te faudra ouvrir et rediriger le port 6690 dans la box/routeur et dans les pare-feu.

Vérifie la vitesse de la connexion si tu est bien en 1000M de bout en bout. le moindre maillon faible impose son débit. iperf3 est idéal. J’ai fait ce script pour qu’avec une seule commande tu testes l’upload et le download entre le client et le serveur : https://github.com/MilesTEG1/iperf_both_ways

Il existe un moyen, mais ça nécessite de bricoler, et d'avoir le support de docker : https://github.com/mandarons/icloud-drive-docker

@Fidjial Quand tu fais une capture d'écran, tu veux bien la poster en image et non en PDF ? C'est pénible de devoir télécharger le fichier puis l'ouvrir. Il existe plein d'outils qui permettent ça, voire d'envoyer directement sur un service d'hébergement comme imgur. Cela dit, tes règles me semblent encore bien trop permissives. Tu n'as pas de restrictions de pays ? ( @Mic13710 vient de poster pendant que je rédige mon message 🙂 ) Voilà ma config (adaptée à mes besoins bien sûr) : Je n'ouvre que le strict minimum : port 443 (HTTPS...) et port 6690 (Drive Server, pour la synchronisation) Je viens de supprimer le 32400 plus nécessaire, le PMS est sur un autre NAS. Ces deux ports sont donc les seuls ouverts sur mon routeur (en plus du port ICMPv6). Mes conseils : Restreint les accès uniquement aux pays où tu veux accéder à ton NAS depuis l'extérieur ; Utilise le reverse proxy (port 443) pour accéder aux services du NAS qui peuvent passer par lui ; Ne passe que par le serveur VPN pour accéder aux services sensibles du NAS : SSH, DSM, etc... Change les ports par défaut des applications DSM. Ça, je n'y avais pas pensé 🙂. C'est une bonne idée ^^ En revanche, si on veut désactiver qu'un seul service, il faut aller éditer la règle. Décocher la case de la règle pour un seul service est plus rapide ^^

@krapomatic Cool 🙂 Cela dit, le test iperf3 reste le meilleur moyen pour faire un benchmark d'une connexion réseau. Essaye à l'occasion.

Il te faut télécharger le fichier .zsh si ton shell est bien ZSH. Pour le savoir lance cette commande dans le terminal : echo $SHELL Ça va écrire le conteneur de la variable SHELL qui contient donc le shell en marche sur ta machine. SInon vu ta capture d'écran, ça ne m'étonnerait pas que les transferts que tu lances passe par ton interface gigabit, et pas par la 10G... As-tu paramétré l'ordre des interfaces réseau ? Bon chez moi, j'ai désactivé l'interface LAN1, donc elle n'apparait pas, mais dans la liste tu pourras placer ton LAN5 avant le LAN4.

@krapomatic Bon j'ai déjà envoyé les fichiers sur github : https://github.com/MilesTEG1/iperf_both_ways J'ai fait une version zsh et une version bash. Si tu utilises une version récente de macOS, utilise la version zsh car le shell est zsh dans ces versions de macOS. (le passage de bash à zsh semble avoir eu lieu avec Catalina).

@krapomatic: comment effectues tu les tests de débits ? je te suggère de passer par iperf3. J’ai fais un script en zsh pour que ça teste les deux sens de communication sans avoir besoin de tout entrer à chaque fois comme options. si tu es intéressé dit le moi 😊 je posterais sur GH le script . il te faudra juste installer iperf3 sur les différents périphériques. pour macos je passe par homebrew, très pratique pour installer rapidement certains binaires ou certaines applications

Le contrôle du bip ne sert que si on peut venir cliquer sur le bouton pour désactiver un bip qui est émis à. un instant t : Ha en fait j'ai rien dit, dans les paramètres on peut désactiver certains bip : @YanHulbert Par contre, faudrait savoir pourquoi ton NAS émet des bips lorsqu'il fait des backups... Ce n'est pas normal. Le mien ne fait pas de bip en dehors des erreurs de volume ou de disque. Ou quand je l'éteints via le bouton.

J’ai voulu tenter les jumbo frames sur les deux nas équipes de connexion 2,5G, et bien entre eux pas de soucis mais dès lors que j’utilise un mac le débit est moindre car ceux ci ne peuvent avoir leur mtu augmenté via macos… je n’ai donc pas laissé activé ces Jumbo Frames. je n’ai peut être pas les meilleurs débits mais ils sont quand même nettement bons 😊

@Jeff777 J'ai mis à jour mon script : https://github.com/MilesTEG1/synology-driver-pkgctl-r8152-restart-reload Réécriture du code, c'est plus clair maintenant, plus concis, et avec la possibilité d'envoi de notifications Gotify. Si des fois tu avais un peu de temps pour tester ^^

@mandaurelien Je te croise ici aussi ^^ Suis bien les conseils de @.Shad. !

@.Shad. merci ^^ Ok, je désactive UseTLS. C'est-à-dire ? Faut que je fasse quoi exactement ? Je suppose que ça ce n'est pas bon : .rwxrwxrwx pour l'user root ?