MilesTEG1

Bonsoir, J'ai un souci assez étrange sur mon réseau que j'impute au routeur. Il arrive de temps à autre, et de manière aléatoire, que l'un de mes macs (mon MBA, ou l'iMac de ma femme) perte l'accès au réseau parce qu'il n'obtient pas d'adresse IP du serveur DHCP du routeur : j'ai une adresse auto-affectée. Aujourd'hui, l'iMac de ma femme a perdu son adresse IP sans pouvoir la retrouver deux fois. Le seul point commun à ces deux pertes, et à celles que j'ai subies sur mon MBA, c'est que le mac est parti en veille, et a été réveillé après quelques temps en veille. J'ai beau tenté de désactiver l'interface réseau ou de redémarrer le mac, il garde cette adresse auto-affectée et en récupère pas l'adresse IP du serveur DHCP (j'ai fait en sorte que les macs aient une IP réservée, donc toujours la même). J'ai aussi tenté de redémarrer le(s) switch(s) entre le routeur et les macs, mais là aussi ça ne fonctionne pas mieux après. Le seul truc qui fonctionne c'est de redémarrer le routeur, un RT2600AC qui a déjà quelques années. Est-ce que c'est déjà arrivé à quelqu'un ce genre de soucis ? Comment faire pour que ça ne se reproduise pas ? Merci de votre aide.

Ok je vois ce qui coince. tu as utiliser tondomaine.synology.me po dsm et tu veux l’utiliser aussi pour Drive . Ça n’est pas possible. en revanche , avec les « spud-domaines » ça passera : dsm.tondomaine.synology.me (443) -> iP nas sur port dsm drive.tondomaine.synology.me (443) -> iP nas sur port drive du coup tu n’as pas le choix , il faut refaire le certificat et utiliser les sous domaines.

Bonjour, C'est-à-dire "perte de connexion au NAS" ? Via quel type d'accès ? Montre voir comment tu as configuré le reverse-proxy pour DSM ? Car ce n'est pas normal que ça râle pour l'entrée de drive... J'ai tenté sur mon Syno de mettre mon ndd synology sans "sous-domaine", et ça passe sans soucis sur le port 443. Est-ce que tu as mis le port 443 ailleurs dans DSM ? J'entends à d'autres endroits de configuration ou pour une application ? As-tu installé WebStation ? À titre d'exemple, voilà comment j'ai configuré mon accès Drive (enfin quand j'utilisais le reverse proxy de DSM) : Pour la synchronisation, pas besoin d'entrée dans le reverse proxy, car ne fonctionnera pas, il faut juste ouvrir le port dans le parefeu du NAS (attention à restreindre l'accès aux seuls pays concernés, voir tuto configuration du pare-feu sur le forum) et à rediriger le port dans la freebox. D'ailleurs, je ne te conseille pas d'ouvrir le port de DSM sur internet 😉 Il faudra configurer l'accès VPN. Bref, normalement ce que tu as fait est censé fonctionner ^^ Il doit y avoir un réglage ailleurs qui coince. Essaye aussi, des fois que..., de refaire le certificat pour avoir un wildcard, avec le *.

Attention en copiant ainsi les données, si elles sont utilisées au moment de la copie, il se passe quoi ? Si c'est une base de données, c'est la corruption assurée de la copie. Je pense qu'il est préférable d'utiliser un rsync. Ensuite, comme @.Shad. l'a dit, ce qui est utile de sauvegarder pour un conteneur, c'est le volume qui est monté dans le conteneur. Et si tu as installé créé correctement le conteneur, tu as utilisé un point de montage sur ton nas pour accéder à la configuration/données/... du conteneur. Le reste du conteneur est inutile, ça ne sert à rien de le sauvegarder... Après, si tu veux vraiment, tu sauvegardes avec Hyperbackup le dossier /volumeX/docker/ complètement. Mais même en faisant celà, tu ne sauvegarderas pas tout le conteneur... pas les OS (Linux Alpine, Arch, ou autre...), ni les binaires, etc... Juste les données. PS : pour les conteneurs utilisant ou étant une base de données, comme MariaDB, Vaultwarden, Gitea, etc... il est préférable d'arrêter le conteneur avant de faire la copie des données. PPS : et attention, c'est cp -R /path_to/source /path_to/destination la commande que tu devrais utiliser. Et si tu veux un vrai contrôle, rsync : https://doc.ubuntu-fr.org/rsync rsync -avh --progress --append --exclude={'@eaDir','#recycle','~$*.*','~*','~*.tmp','desktop.ini','.DS_Store'} --log-file="/volume1/rsync-`date +%Y-%m-%d--%Hh%Mm%Ss`.log" /path_to/source /path_to/destination/

@val134 Pour la redirection de port dans la freebox : Juste je ne suis plus sûr que ce soit TCP (point ') et pas les deux (TCP et UDP) qu'il faudrait ouvrir, dans mes souvenir TCP suffit. Pour l'absence d'* sur le certificat, c'est ce qu'on appelle le wildcard, ça permet que ton certificat couvre ton domaine machin.synology.me et aussi truc1.machin.synology.me, et truc2.machin.synology.me, etc... en gros tout ce que tu veux en *.machin.synology.me. Tu peux recréer le certificat par la suite. Relis et suis mon tuto si tu veux le refaire. Mais si tu n'as pas besoin des "sous-domaines" (techniquement ça n'existe pas, ce sont des domaines à part entière, mais ça permet de comprendre plus facilement de quoi on parle ^^), tu peux laisser ainsi.

@val134 ça va dépendre de la box 😊 Mais surtout avant d’ouvrir un port sur la box il faut configurer correctement le pare-feu du nas .

@val134 : bonjour 👋🏻 j’ai rédigé un tuto assez simple (sur un autre forum) qui concerne l’utilisation du nom de domaine synology. je pense que ça pourrait te convenir. j’y traite aussi de la génération du certificat let’s encrypt et aussi du reverse proxy. Et elle aussi la configuration du pare-feu (le tuto sur nas-forum est beaucoup plus fourni en explications et détails, le miens va plus vite mais explique quand même hein 😊) mais sache que la synchronisation drive ne peut pas passer via le reverse proxy, seule l’interface web drive le peut. Donc pour la synchronisation il te faudra ouvrir et rediriger le port 6690 dans la box/routeur et dans les pare-feu.

Vérifie la vitesse de la connexion si tu est bien en 1000M de bout en bout. le moindre maillon faible impose son débit. iperf3 est idéal. J’ai fait ce script pour qu’avec une seule commande tu testes l’upload et le download entre le client et le serveur : https://github.com/MilesTEG1/iperf_both_ways

Il existe un moyen, mais ça nécessite de bricoler, et d'avoir le support de docker : https://github.com/mandarons/icloud-drive-docker

@Fidjial Quand tu fais une capture d'écran, tu veux bien la poster en image et non en PDF ? C'est pénible de devoir télécharger le fichier puis l'ouvrir. Il existe plein d'outils qui permettent ça, voire d'envoyer directement sur un service d'hébergement comme imgur. Cela dit, tes règles me semblent encore bien trop permissives. Tu n'as pas de restrictions de pays ? ( @Mic13710 vient de poster pendant que je rédige mon message 🙂 ) Voilà ma config (adaptée à mes besoins bien sûr) : Je n'ouvre que le strict minimum : port 443 (HTTPS...) et port 6690 (Drive Server, pour la synchronisation) Je viens de supprimer le 32400 plus nécessaire, le PMS est sur un autre NAS. Ces deux ports sont donc les seuls ouverts sur mon routeur (en plus du port ICMPv6). Mes conseils : Restreint les accès uniquement aux pays où tu veux accéder à ton NAS depuis l'extérieur ; Utilise le reverse proxy (port 443) pour accéder aux services du NAS qui peuvent passer par lui ; Ne passe que par le serveur VPN pour accéder aux services sensibles du NAS : SSH, DSM, etc... Change les ports par défaut des applications DSM. Ça, je n'y avais pas pensé 🙂. C'est une bonne idée ^^ En revanche, si on veut désactiver qu'un seul service, il faut aller éditer la règle. Décocher la case de la règle pour un seul service est plus rapide ^^

@krapomatic Cool 🙂 Cela dit, le test iperf3 reste le meilleur moyen pour faire un benchmark d'une connexion réseau. Essaye à l'occasion.

Il te faut télécharger le fichier .zsh si ton shell est bien ZSH. Pour le savoir lance cette commande dans le terminal : echo $SHELL Ça va écrire le conteneur de la variable SHELL qui contient donc le shell en marche sur ta machine. SInon vu ta capture d'écran, ça ne m'étonnerait pas que les transferts que tu lances passe par ton interface gigabit, et pas par la 10G... As-tu paramétré l'ordre des interfaces réseau ? Bon chez moi, j'ai désactivé l'interface LAN1, donc elle n'apparait pas, mais dans la liste tu pourras placer ton LAN5 avant le LAN4.

@krapomatic Bon j'ai déjà envoyé les fichiers sur github : https://github.com/MilesTEG1/iperf_both_ways J'ai fait une version zsh et une version bash. Si tu utilises une version récente de macOS, utilise la version zsh car le shell est zsh dans ces versions de macOS. (le passage de bash à zsh semble avoir eu lieu avec Catalina).

@krapomatic: comment effectues tu les tests de débits ? je te suggère de passer par iperf3. J’ai fais un script en zsh pour que ça teste les deux sens de communication sans avoir besoin de tout entrer à chaque fois comme options. si tu es intéressé dit le moi 😊 je posterais sur GH le script . il te faudra juste installer iperf3 sur les différents périphériques. pour macos je passe par homebrew, très pratique pour installer rapidement certains binaires ou certaines applications

Le contrôle du bip ne sert que si on peut venir cliquer sur le bouton pour désactiver un bip qui est émis à. un instant t : Ha en fait j'ai rien dit, dans les paramètres on peut désactiver certains bip : @YanHulbert Par contre, faudrait savoir pourquoi ton NAS émet des bips lorsqu'il fait des backups... Ce n'est pas normal. Le mien ne fait pas de bip en dehors des erreurs de volume ou de disque. Ou quand je l'éteints via le bouton.

J’ai voulu tenter les jumbo frames sur les deux nas équipes de connexion 2,5G, et bien entre eux pas de soucis mais dès lors que j’utilise un mac le débit est moindre car ceux ci ne peuvent avoir leur mtu augmenté via macos… je n’ai donc pas laissé activé ces Jumbo Frames. je n’ai peut être pas les meilleurs débits mais ils sont quand même nettement bons 😊

@Jeff777 J'ai mis à jour mon script : https://github.com/MilesTEG1/synology-driver-pkgctl-r8152-restart-reload Réécriture du code, c'est plus clair maintenant, plus concis, et avec la possibilité d'envoi de notifications Gotify. Si des fois tu avais un peu de temps pour tester ^^

@mandaurelien Je te croise ici aussi ^^ Suis bien les conseils de @.Shad. !

@.Shad. merci ^^ Ok, je désactive UseTLS. C'est-à-dire ? Faut que je fasse quoi exactement ? Je suppose que ça ce n'est pas bon : .rwxrwxrwx pour l'user root ?

@Guytoon48 Vu le message d'erreur, il semblerait que ce soit ton planning de sauvegarde qui coince. Il y a probablement plusieurs tâches à se lancer en même temps...

Au pire tu arrêtes (= annule) la tâche (ça ne la supprime pas 😉), et tu la relances. les données déjà envoyées seront toujours là et ça reprendra peut ou prou au même endroit.

@ewfzapp essaye de vider le cache et ou de changer de navigateur, de passer par une navigation privée pour voir si il y a un reste de config d’avant dans ton navigateur… ensuite désolé de te dire ça mais c’est pas trop la maison des tuto vidéos ici. C’est peut être old school de ton point de vue les tuto écrit mais c’est vraiment ce qui se fait de mieux car sur une vidéo pour revoir un passage en // d’un autre , bah tu ne peux pas vraiment, pas pratique… Bref demande au mec de la vidéo we t’aider. Car perso je ne la regarderais pas. On ne peut pas la parcourir rapidement en diagonale pour voir s’il y a un souci qui se dégage… contrairement à tuto forum. Quant à la difficulté des tutos rédigés ici et sur forum-nas , certains sont plus velus que d’autres (je pense au tuto de @.Shad. sur swag ou encore au tuto ACME de @Einsteinium, aller le mien sur Vaultwarden peut aussi être considéré comme bien touffu mais pas vraiment dur. par contre les tutos sécurité , et le mien sur le nom de domaine synology (voir sur forum-nas) n’est pas complexe. je te suggère fortement de le suivre à la lettre pour faire fonctionner ton nom de domaine synology avec ton Vaultwarden. Et ensuite quand ça marchera , tu envisageras l’utilisation du tiens. dernier conseil : ne tape jamais une commande Shell (bash ou autre) que tu ne comprends pas ou bien dont tu ne sais pas ce qu’elle va faire. Ça s’apprend avec le temps (voir explainshell ) . ha si encore un conseil : ne te dévalorise pas en disant que tu ne comprends rien à un tuto ou à quelque chose quand plusieurs personnes te disent que ça n’est pas complexe. Essaye de comprendre et de faire.

Alors, la fatigue aidant à ne plus avoir la motivation de finir le paquet de copies, je vais faire mon petit retour ^^ En préambule, lorsque je parlerais du conteneur Fail2ban, il s'agira de celui créé à partir de l'image de crazy-max (voir lien juste au-dessous). Sinon SWAG fera référence à SWAG, donc le fail2ban intégré sera celui de SWAG. Alors, pour que l'envoi d'emails de notification par le fail2ban de swag fonctionne, j'ai épluché les fichiers du dépôt de crazy-max à savoir : le dockerfile et le entrypoint.sh. Je savais qu'il y avait le binaire ssmtp de présent dans son image et absente de celle de SWAG, mais je ne savais pas si c'était juste ce binaire qui faisait que l'envoi d'email via un serveur SMTP comme celui de gmail ou d'OVH fonctionnait. Bref, en épluchant les deux fichiers mentionnés ci-dessus, j'ai vu que le binaire ssmtp pouvait être installé dans l'image SWAG via un de leurs mods : linuxserver/mods:universal-package-install. (J'en avais déjà une vague idée...). Il faut donc ajouter ce docker-mod à ceux potentiellement déjà présents dans le docker-compose et la ligne spécifiant quel paquet installer : - DOCKER_MODS=linuxserver/mods:swag-auto-reload|linuxserver/mods:swag-dashboard|linuxserver/mods:swag-maxmind|ghcr.io/gilbn/theme.park:swag|linuxserver/mods:swag-crowdsec|linuxserver/mods:universal-package-install - INSTALL_PACKAGES=ssmtp Pendant mes recherches dans le conteneur Fail2Ban (image crazy-max), j'ai pu trouver le dossier /etc/ssmtp/ et les deux fichiers dedans : ssmtpd.conf : ce fichier contenait des variables construites à partir des variables d'environnement qu'on a mis à la création du conteneur : j'ai pu voir dans le entrypoint.sh comment était construit ce fichier ssmtpd.conf. Je mettrais le contenu du fichier qui fonctionne avec SWAG plus bas. revaliases : ce fichier était "vide", que des lignes commentées. En effectuant une recherche sur le fichier ssmtpd.conf, je suis tombé sur cet article : https://doc.ubuntu-fr.org/ssmtp. Il donne des infos sur les variables présentes dans le fichier ssmtpd.conf et j'ai adapté un peu ce qui était présent dans le fichier de mon conteneur Fail2ban. Pour que le binaire ssmtp fonctionne, il faut lui fournir les fichiers de configuration. Donc, nouvelle ligne dans le fichier docker-compose.yml pour ajouter un point de montage dans la partie volume : volumes: - /volume4/docker/swag_macvlan/config:/config - /volume4/docker/swag_macvlan/etc-ssmtp:/etc/ssmtp Maintenant, le contenu des deux fichiers à placer dans /volume4/docker/swag_macvlan/etc-ssmtp. Alors, chose étrange, ce n'est pas le fichier ssmtpd.conf qu'il faut placer mais un fichier ssmtp.conf, dans le d ! Même contenu cependant. Fichier ssmtp.conf : # # /etc/ssmtp.conf -- a config file for sSMTP sendmail. # # The person who gets all mail for userids < 1000 # Make this empty to disable rewriting. # root=postmaster # The place where the mail goes. The actual machine name is required # no MX records are consulted. Commonly mailhosts are named mail.domain.com # The example will fit if you are in domain.com and you mailhub is so named. # mailhub=mail # Where will the mail seem to come from? #rewriteDomain=localhost # The full hostname #hostname="localhost" mailhub=ssl0.ovh.net:587 hostname=Fail2ban-SWAG FromLineOverride=YES UseTLS=YES UseSTARTTLS=YES AuthUser=monmail@mon-ndd.ovh AuthPass=Mon_Supper_Password-de-la-mort-qui-tue-sans_2FA... root=monmail@mon-ndd.ovh Fichier revaliases (je ne suis pas sûr que celui-là serve vraiment... mais je l'ai personnalisé avec l'articule de ubuntu-fr) : # sSMTP aliases # # Format: local_account:outgoing_address:mailhub # # Example: root:your_login@your.domain:mailhub.your.domain[:port] # where [:port] is an optional port number that defaults to 25. root:monmail@mon-ndd.ovh:ssl0.ovh.net:587 #Other System user: (for Apache) #www-data:monmail@mon-ndd.ovh:ssl0.ovh.net:587 Voilà voilà ! Il m'a fallu pas mal de recréation et de redémarrage de SWAG, et de réactivation/désactivation du conteneur Fail2ban 🤣 PS : j'ai aussi personnalisé les mails d'envois en ajoutant une mention SWAG ^^ PPS : et enfin, pour avoir une notification email qui ne contient pas un nom aléatoire de machine, j'ai ajouté ça hostname: DS920Plus--SWAG au docker-compose, et j'ai aussi mis quelques DNS (mais pas sûr que ça soit utile) : --- version: "2.4" services: swag: image: lscr.io/linuxserver/swag:latest # https://github.com/linuxserver/docker-swag container_name: swag hostname: DS920Plus--SWAG dns: - 192.168.2.203 - 192.168.2.210 - 1.1.1.1 - 9.9.9.9

Si j'étais toi, je désinstallerais le paquet Docker déjà. Ensuite tu le réinstalles sur un autre volume, de préférence sur SSD 😉 Et retente les manips. Car normalement il n'y a pas de problème. Tu passes bien par la ligne de commande en SSH pour installer Portainer ?

@.Shad. et a tous , je suis en train de faire des essais avec le fail2ban intégré à SWAG. Déjà, première chose j'ai réussi à faire en sorte d'envoyer des emails avec cette version de f2b ! 🥳🎉 Et aussi les notifications sur Gotify : Je suis bien heureux ^^ Je vous ferais un topo sur comment j'ai réussi à faire en sorte que l'envoi d'emails fonctionne en passant par le serveur smtp d'OVH. Et sur l'essai que je viens de faire avec calibre-web, entrer plus de 3 fois des ID de connexion erroné, j'ai bel et bien été banni, et l'accès à calibre-web n'était plus possible ensuite ! Donc ça fonctionne bien avec le f2b intégré à SWAG. Je ne comprends pas pourquoi ça ne fonctionne plus avec l'image de crazy-max... Du coup, je vais finaliser l'ajout des jails dans le jail.local (car tous mes essais du jour pour tenter de faire fonctionner les fichiers de jail.d/ ont échoué... Bref, voilà une bonne étape de faite : refaire fonctionner un fail2ban ! Je ferais un topo plus tard sur tout ça si ça vous intéresse 🙂