This site uses cookies! Learn More

Ce site utilise des cookies !

En continuant à utiliser ce site, vous vous engagez à nous permettre de stocker des cookies sur votre ordinateur.

 

Si nous utilisons des cookies et retenons des données anonymes, c’est pour nous aider à mieux gérer notre mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent.

 

Grâce à ces cookies, le forum est en mesure de savoir qui écrit un message et utile pour le système d'authentification.

 

En cliquant sur « J'accepte », vous acceptez l'utilisation par NAS-Forum de cookies publicitaires et de mesure d'audience fine.

maxou56

Membres
  • Compteur de contenus

    1 067
  • Inscription

  • Dernière visite

  • Jours gagnés

    20

Activité de réputation

  1. Upvote
    maxou56 a reçu une réaction de Sabre Wolf dans Impossible d'accéder à mon NAS depuis le gestionnaire de fichiers   
    Il faut le désactiver, pas le supprimer.
    "modifier > désactiver ce compte > immédiatement"

     
     
  2. Upvote
    maxou56 a reçu une réaction de Sabre Wolf dans Impossible d'accéder à mon NAS depuis le gestionnaire de fichiers   
    Sur le NAS,
    Il faut créer un autre compte « administrateur » (Soit en créant un nouvel utilisateur, soit en modifiant un existant pour qu’il fasse partit du groupe administrateur), puis ce connecter avec ce compte et désactiver le compte admin.
  3. Sad
    maxou56 a reçu une réaction de EVOTk dans NAS DS220+, DS420+, DS720+ et DS920+   
    Bonjour,
    Lien de présentation/test du DS720+
    https://www.cachem.fr/nas-test-synology-ds720/
     
    A noter qu'au niveau de la RAM, il n'y a plus 2 emplacements, mais un seul pour l'ajout d'une barrette (4GB max officiellement), les 2GB sont soudé à la carte mère.
  4. Upvote
    maxou56 a reçu une réaction de Sabre Wolf dans Pb Accès Externe   
    Bonjour,
    Quel est le navigateur utilisé sur le tel android? Tu as essayé avec Firefox ou Chrome... pour android?
     
    Le soucis semble arriver avec le navigateur samsung:
     
  5. Upvote
    maxou56 a reçu une réaction de Sabre Wolf dans Sauvegarde de Mac sans Time Machine   
    Bonjour,
    ??
    Time machine fonctionne très bien avec plusieurs destinations pour les sauvegardes. Et ce depuis 2012 (10.8 Mountain Lion)
    Par exemple pour 2 destinations, c'est une fois l'une, puis l'heure suivante c'est l'autre, etc.
     
    https://www.mac4ever.com/actu/72180_mountain-lion-la-sauvegarde-time-machine-sur-plusieurs-disques
  6. Upvote
    maxou56 a réagi à unPixel dans [TUTO] Désactiver Universal Search - DSM6   
    Bonjour,
    Dans ce tuto, je vais vous montrer la "petite" manipulation à faire pour désactiver Universal Search. On peut voir ici ou là sur la toile beaucoup de personnes se plaindre de ce paquet qui prend pas mal de ressources surtout sur des NAS de petites configurations et malheureusement, on ne peut pas à ce jour le désactiver. Mais avec cette petite manipulation, ça sera le cas !
    ATTENTION : depuis une mise à jour récente d'Universal Search, ce dernier dépend entièrement des paquets Drive et Office. C'est pourquoi vous ne pourrez le désactiver si vous utilisez un de ses paquets !
    Nouvelle méthode simplifiée :
    On se rend dans Panneau de configuration > Planificateur de tâches puis on créer une nouvelle tâche avec comme script :
    sed -i 's/ctl_stop="no"/ctl_stop="yes"/g' /var/packages/SynoFinder/INFO Le fichier INFO est ainsi modifié et on peut ensuite stopper UNIVERSAL SEARCH
    Si en plus on veut pouvoir le désinstaller on ajoute cette ligne :
    sed -i 's/ctl_uninstall="no"/ctl_uninstall="yes"/g' /var/packages/SynoFinder/INFO Source : @daffy
     
    Ancienne méthode :
    Prérequis :
    Accès root en SSH à votre NAS. Durée :
    Deux minutes maximum.  
    ATTENTION : ni moi, ni le staff ne pourront être tenus pour responsables de ce que vous faites avec votre NAS !
    1. Se rendre sur son NAS via SSH (connecté en root) puis taper la commande :
    vi /var/packages/SynoFinder/INFO 2. Ensuite, on entre en mode éditeur en tapant la lettre "i" puis on se rend sur la ligne ctl_stop="no". Là, on met yes à la place de no puis on quitte le mode éditeur en tapant sur la touche "Echap" puis on tape ensuite ":wq" pour enregistrer le changement effectué puis on tape "exit" pour quitter.
    Résultat ci-dessous :

     
    On peut maintenant se rendre dans le Centre de paquets puis sur le paquet "Universal Search" et arrêter le paquet comme n'importe quel autre.

     
    Si comme sur la capture ci-dessus, vous voulez avoir la possibilité de désinstaller Universal Search, alors il vous suffit de commenter la ligne ctl_uninstall="no" en yes !
    ----------------------------------------------------------------
    Si vous ne savez pas comment vous connecter en ROOT SSH, alors voici le tuto :
     
    Source : forum officiel
  7. Upvote
    maxou56 a reçu une réaction de oracle7 dans SRM Update 1.2.4-8081   
    @oracle7 étrange.
    J'ai configuré la connexion en ethernet uniquement.
    (Gérer > Sélectionner le type de liaison montante > Ethernet uniquement)
  8. Upvote
    maxou56 a réagi à oracle7 dans [TUTO] RT2600AC en DMZ derrière Livebox4   
    Bonjour,
    Objectif de ce tutoriel : S’affranchir des problèmes de gestion de réseaux inhérents à la LiveBox 4 Fibre et du fait que l’on ne peut pas passer celle-ci en mode « bridge », en installant un routeur Synology RT2600ac dans la DMZ (DeMilitarized Zone) de cette LiveBox.
    Cette installation en DMZ va donc nous permettre de rediriger directement tous les flux de données entrants issus d’Internet vers le routeur qui lui, va assurer tout le travail de sécurisation des accès et de gestion du/des sous-réseaux locaux bien mieux que ne le fait la LiveBox.
    En effet, cette dernière possède un serveur DHCP très capricieux à l’usage, qui d’une part au-delà d’une quinzaine de périphériques se « mélange les pédales » ce qui rend la LiveBox instable (avec des reboot fréquents nécessaires) et d’autre part qui nécessite aussi le reboot de la Livebox à chaque changement de paramétrage du DHCP pour voir une correcte prise en compte de ces derniers.
    Tout cela sans parler du fait très important, qu’il est impossible de modifier les serveurs DNS de la LiveBox (Orange a bloqué cette possibilité il y a maintenant quelques années). D’où l’idée de s’affranchir le plus possible de la LiveBox, même si elle reste quasiment incontournable pour la majorité des utilisateurs, en transférant ses activités sur un routeur digne de ce nom et de surcroît paramétrable à souhait.
    Par ailleurs, avec cette configuration, l’ensemble des périphériques des sous-réseaux seront gérés par le serveur DHCP du routeur, la LiveBox quant à elle, ne servant alors plus que de modem pour à la fois la liaison vers Internet, le téléphone fixe sur IP et le décodeur TV d’Orange (i.e. si on dispose de ces deux derniers).
    J’attire tout de même votre attention sur le fait que mettre la LiveBox en DMZ, signifie qu’elle sera « transparente » à tous les flux de données avec donc toutes les conséquences inhérentes sur la sécurité que cela recouvre. Mais heureusement, on aura le routeur derrière pour veiller aux grains et nous protéger.
    Ci-après le schéma de principe de la configuration qui va être décrite dans le présent tutoriel :

    Une fois cette configuration en place et fonctionnelle, il sera alors temps pour vous de sécuriser le routeur ainsi que le/les NAS du réseau local et ensuite d’ajouter selon vos besoins, par exemple, un serveur DNS avec vos propres DNS, un serveur VPN, un Reverse Proxy, un certificat Let’sEncrypt, etc…
    Pour réaliser tout cela, sachez qu’il y a sur le présent forum tous les tutoriels nécessaires pour vous aider. A vous de les appliquer ou non.
    Voilà pour le discours préliminaire, on passe aux choses sérieuses …
     
    Prérequis logiciels :
    ·         « Synology Assistant» ou « Advanced IP Scanner » (disponible sur Windows) ou « LanScan » (disponible sur Mac).
    1         Préliminaires sur la LIVEBOX 4 Fibre
    Avant toutes choses, il convient d’initialiser correctement la LiveBox. Pour cela :
    ·         Connectez un PC/Mac sur le port LAN2 de la LiveBox. Laissez « libre » pour le moment, le port LAN1 de la LiveBox. Le sous-réseau « 192.168.1.0/24 » étant par défaut le sous-réseau LAN de la LiveBox, sur le PC/Mac, fixez manuellement l’@IP du PC/Mac sur ce sous-réseau (par ex : « 192.168.1.12 ») afin qu’il puisse s’y connecter. Ouvrez un navigateur WEB, connectez-vous en mode administrateur à la LiveBox en saisissant l’URL : « http://192.168.1.1 ». Par sécurité, on commence par effectuer une sauvegarde en local sur le PC/Mac, des paramètres de configuration existants de la LiveBox. Cliquez sur le bouton « Sauvegarder en local ».
    ·         Désactivez la sauvegarde automatique sinon la configuration actuelle sera automatiquement rétablie après l’opération suivante de réinitialisation. Cliquez sur le bouton « Sauvegarde automatique » pour le faire basculer sur « OFF ».
    ·         Réinitialisez la LiveBox avec les paramètres « usine ». Quand vous êtes prêt, cliquez sur le bouton « Redémarrer ». La réinitialisation s’effectue et la LiveBox redémarre à l’issue.
    Dès que la LiveBox a redémarré, ouvrez un navigateur WEB et depuis le PC/Mac connectez-vous en mode administrateur à la LiveBox en saisissant l’URL : « http://192.168.1.1 ». Menu « Réseau - DHCP » de la LiveBox : Conservez la plage d’@IP du serveur DHCP affectée par défaut, soit : de « 192.168.1.10 » à « 192.168.1.150 ». Cette plage vous laisse la possibilité future de pouvoir connecter directement à la LiveBox un nouveau périphérique. Laissez le service « DHCP » activé car il est nécessaire pour la connexion du décodeur TV si vous en utilisez un. Dans le cas contraire, vous pouvez alors désactiver le service « DHCP ».
    Menu « Réseau-NAT/PAT » de la LiveBox : assurez-vous qu’aucun transfert de ports n’est défini.
    Menu « Réseau – UpnP » de la LiveBox : Laissez le service « UpnP IGD » activé car il est nécessaire pour la connexion du décodeur TV si vous en utilisez un. Dans le cas contraire, vous pouvez alors désactiver le service « UpnP IGD ».
    Menu « Pare-feu » de la LiveBox : Réglez le niveau de sécurité sur « Faible ».
    Nota : Le pare-feu de la Livebox ne peut pas être complétement désactivé, tout au mieux on le règle le niveau de sécurité au minimum soit « Faible ». Toutefois, vous pouvez aussi personnaliser son action. Dans le cas présent, veillez à ce qu’il n’y ait aucune « règles de filtrage spécifiques » actives. Éventuellement vous pouvez à ce niveau autoriser le « ping ». Cela peut être utile en cas de problèmes réseaux.
    Menu « Wi-Fi » de la LiveBox : Désactiver les deux antennes 2,4 GHz et 5 GHz. On utilisera la fonction Wi-Fi du routeur bien plus stable et plus puissante.
    ·         Ne pas quitter l’interface d’administration de la LiveBox.
    2         Connexion du routeur RT2600ac
    On procède maintenant à l’installation du routeur :
    Déballez le routeur. Installez les antennes Wi-Fi sur le routeur. Connectez le port WAN du routeur au port LAN 1 de la LiveBox. Branchez l’alimentation électrique du routeur. ⚠ Assurez-vous au préalable que le bouton On/off du routeur est bien sur « Off ». Démarrez le routeur en plaçant le bouton (On/Off) sur « On ». ⚠ Patientez … plusieurs minutes. Pour être sûr de partir sur une base saine, on va réinitialiser le routeur avec ses paramètres « usine » : pour cela, appuyez sur le bouton « reset » situé à l’arrière du routeur durant 10 sec et relâchez le. Le routeur redémarre. ⚠ Patientez … plusieurs minutes.
    Nota : A l’usage, il s’avère que le reset « usine » du routeur soit quelque peu capricieux. Il est fréquent d’avoir à le refaire plusieurs fois consécutives pour qu’il soit effectif. Ne soyez donc pas surpris de ce comportement ! Sur le PC/Mac, lancez une recherche avec « Synology Assistant » : Le routeur doit être trouvé à l’@IP « 192.168.1.x ». Notez cette @IP pour mémoire. Vérifiez que l’@MAC du routeur est bien : « 00 :11 :22 :33 :44 :55 » (i.e. la même que celle indiquée sur la boite d’emballage du routeur et qui sera appelée @MAC0 dans la suite). 3         Configuration de la LiveBox 4 Fibre
    Le routeur étant connecté à la LiveBox, on peut maintenant configurer correctement celle-ci :
    Menu « Mes équipements connectés » de la LiveBox : vérifiez la présence du routeur. Il est nommé par défaut « SynologyRouter ». Vous pouvez le renommer si nécessaire. Pour cela : Cliquer sur l’icône du routeur dans l’onglet « Carte ». L’onglet « Liste » s’affiche. Renommez le routeur, éventuellement modifiez le type d’équipement en sélectionnant le type voulu dans le popup. Bien évidemment la case « Autoriser en permanence » pour l’accès à Internet est cochée et enfin validez en cliquant sur le bouton « Enregistrer ».
     
    Menu « Réseau - DHCP » de la LiveBox : Afin de pouvoir intégrer le routeur à la DMZ de la LiveBox, il est nécessaire de lui attribuer un bail statique sur l’@IP de votre choix, par exemple « 192.168.1.2 ». Sélectionnez dans le popup : « SynologyRouteur ». Saisissez l’@IP du routeur : « 192.168.1.2 ». Saisissez l’@MAC0 du routeur : « 00 :11 :22 :33 :44 :55 ». Validez en cliquant sur « Ajouter ».
    Redémarrez la LiveBox afin de prendre en compte les modifications apportées au service « DHCP ». Quand le LiveBox est opérationnelle, redémarrez le routeur. ⚠ Patientez … plusieurs minutes. Ce redémarrage permet au routeur de récupérer sa nouvelle @IP. Ouvrez un navigateur WEB et connectez-vous en mode administrateur à la LiveBox en saisissant l’URL : « http://192.168.1.1 ». Sur le PC/Mac, lancez une recherche avec « Synology Assistant » : Le routeur doit être trouvé à l’@IP « 192.168.1.2 » avec l’@MAC0. Menu « Réseau - DMZ » de la LiveBox : intégrez le routeur à la DMZ. Sélectionnez dans le popup le « SynologyRouteur » et cliquez sur le bouton « Enregistrer ».
    Se déconnecter de l’interface d’administration de la LiveBox. 4         Configuration du Routeur RT2600ac
    On procède maintenant à la configuration proprement dite du routeur :
    Déconnectez le câble réseau du PC/Mac du port LAN2 de la LiveBox et connectez-le sur le port LAN1 du routeur. Sur le PC/Mac, lancez une recherche avec « Synology Assistant » : Le routeur doit être trouvé à l’@IP « 192.168.1.1 » avec l’@MAC1 : « 00 :11 :22 :33 :44 :66 » (@MAC1 du port LAN1 du routeur).
    ⚠ Cette @IP est définie dans les paramètres « usine » du routeur et ne peut être modifiée.
    Pour mémoire, Il existe une @MAC pour chacun des ports LAN physiques du routeur et une pour chaque réseau Wi-Fi configuré. ·         Ouvrez un navigateur WEB, connectez-vous au routeur en saisissant une des URL suivantes :        « http://192.168.1.1 ».        « http://router.synology.com » Une fois connecté, cliquez sur « Démarrer » pour lancer l'assistant de configuration de « Synology Router Manager » (SRM).
    Renseignez les informations pour configurer le compte administrateur et cliquez sur « Suivant ».
    o   Nom : « votrePseudo ».
    o   Mot de passe : « votre_mot_de_passe_fort ».
    o   Confirmer Mot de passe : « votre_mot_de_passe_fort ».
    Renseignez les informations pour configurer le réseau WiFi et cliquez sur « Suivant ».
    o   Nom (SSID) : « votre_réseau_WIFI ».
    o   Mot de passe : « votre_mot_de_passe_fort  ».
    o   Confirmer Mot de passe : « votre_mot_de_passe_fort ».
    o   Pays : « France ».
    Sélectionnez le mode de fonctionnement « Routeur sans fil », comme l’indique @unPixel dans son tutoriel sur la sécurisation et le paramétrage du routeur, d’ors et déjà par sécurité désactivez « Accès externe à SRM » et cliquez sur « Suivant ».
    Sélectionnez le type de connexion Internet « IP Manuelle » et saisir : Adresse IP : « 192.168.1.2 » Masque de sous-réseau : « 255.255.255.0 » Passerelle : « 192.168.1.1 » (@IP de la LiveBox). DNS Server : « 192.168.1.1 » (@IP de la LiveBox). Définir comme valeur par défaut : « Activé » Cliquer sur « Appliquer ».
    Un message de notification de l’assistant SRM indique alors que les sous-réseaux WAN et LAN spécifiés se recouvrent, ce qui peut bloquer la connexion à Internet. Pour mémoire, cette alerte est normale et logique puisque l’actuelle @IP de connexion pour la configuration du routeur est « 192.168.1.1 » et que l’on est en train de définir l’@IP « 192.168.1.2 » comme @IP de connexion à Internet, ces deux @IP appartenant au même sous-réseau « 192.168.1.0/24 », d’où le recouvrement. L’assistant SRM propose alors de corriger cette anomalie en créant lui-même un autre sous-réseau LAN. Cliquez sur « OUI » pour accepter la correction de configuration. L’assistant poursuit la configuration du routeur. ⚠ Patientez plusieurs minutes … jusqu’à la fin de la configuration.
    Une fois la configuration terminée, cliquez sur « Lancer le Synology Router ». Le sous-réseau LAN du routeur étant différent du sous-réseau LAN courant du PC/Mac, l’interface SRM ne s’affiche pas. C’est à la fois normal et logique ! SRM a affecté le routeur à un autre sous-réseau LAN. Il faut donc trouver ce nouveau sous-réseau pour s’y connecter et poursuivre la configuration. Dans la suite, adaptez les @IP données ici en exemple en fonction de votre cas particulier. Sur le PC/Mac, lancez une recherche avec « Synology Assistant » : Le routeur doit être trouvé avec l’@IP du sous-réseau LAN que l’assistant SRM lui a donc attribué, par exemple : « 10.0.14.1 » avec l’@MAC1 : « 00 :11 :22 :33 :44 :66 » (@MAC1 du port LAN1 du routeur). Sur le PC/Mac, fixez manuellement l’@IP du PC/Mac (par ex : « 10.0.14.12 ») sur le sous-réseau LAN du routeur (« 10.0.14.0/24 »). Ouvrez un navigateur WEB, connectez-vous au routeur avec le compte administrateur SRM spécifié précédemment, en saisissant l’URL : « http://10.0.14.1:8000 ». Ouvrez « Centre réseau – Statut » et vérifiez que le routeur est bien connecté à Internet. ⚠ L’affichage de l’état de la connexion n’est pas instantané il faut patienter quelques secondes. Ouvrez « Centre réseau – Internet » et vérifiez que le routeur utilise bien l’@IP qui lui a été attribué dans le sous-réseau de la LiveBox : « 192.168.1.2 ».
    Ouvrez « Centre réseau – Réseau local » et modifiez les paramètres de sous-réseau local du routeur pour lui attribuer l’@IP : « 192.168.2.1 ». Renseignez en corrélation du sous-réseau « 192.168.2.0/24 », les @IP de la plage du « serveur DHCP » (fixées de « 192.168.2.150 » à « 192.168.2.254 ») ainsi que celle de la passerelle (« 192.168.2.1 »).
    Nota : Dans cette configuration, les @IP inférieures à 150 sont réservées pour les « Réservations DHCP » (@IP fixe de certains périphériques).
    Indiquer également l’@IP de votre serveur DNS (ici dans l’exemple (« 192.168.2.10 ») mais si vous n’en avez aucun de configuré, saisissez simplement « 192.168.2.1 » (dans ce cas c’est votre routeur est votre serveur DNS par défaut). Modifiez l’@IP du « serveur DHCP invité » pour lui attribuer l’@IP « 192.168.3.1 ». De même, renseignez en corrélation du sous-réseau « 192.168.3.0 », les @IP de la plage du « serveur DHCP invité » (fixées de « 192.168.3.2 » à « 192.168.3.254 ») ainsi que celles de la passerelle (« 192.168.3.1 ») et du serveur DNS principal (« 192.168.3.1 » - votre routeur fait office de serveur DNS pour ce sous-réseau invité). Cliquez sur « Appliquer » pour enregistrer les modifications.
    Pour le réseau local, vous devriez obtenir un écran similaire à celui-ci, aux @IP près bien entendu :
    Redémarrez une dernière fois le routeur :
    Ouvrez un navigateur WEB, connectez-vous au routeur avec le compte administrateur SRM spécifié précédemment, en saisissant une de ces deux URL : « http://192.168.2.1:8000 ». « http://router.synology.com ». Poursuivre le paramétrage et la sécurisation du routeur sur la base du tutoriel de @unPixel « [TUTO] Sécuriser et paramétrer son routeur Synology ».  
    Voilà, c'est un peu long, il faut beaucoup "jongler" avec les sous-réseaux, mais si vous êtes attentif cela ne devrait pas vous poser de problèmes.
    Sachez que depuis que j’ai mis en place cette configuration (cela fait bientôt 6 mois), je n’ai eu à faire AUCUN reboot de la LiveBox. J’en arrive presque à oublier cette dernière, donc pour moi le but initial est atteint 😊😊😊
    Le fichier « .pdf » de ce tutoriel : [TUTO] RT2600AC en DMZ derrière Livebox4_20200604.pdf
    Bien évidemment, je prendrais en compte toutes remarques et suggestions visant à corriger si besoin mais surtout à améliorer ce tutoriel. MERCI de vos retours ...
    Merci à @maxou56 pour ses compléments d’informations liées au monde Mac.
    Cordialement
    Oracle7😉
     
  9. Upvote
    maxou56 a réagi à oracle7 dans [TUTO]Création d'un Certificat "wilcard" Let'sEncrypt avec la méthode "acme.sh"   
    Bonjour,
    Objectif de ce tutoriel : Créer un certificat « Wilcard » Let’s Encrypt (LE) afin :
           d’une part, de prendre en compte tous les domaines de second niveau de votre domaine personnel,        et d’autre part, de s’affranchir de la limite fatidique de 256 caractères imposée par Synology pour les SAN (Subject Alternative Name – Autre nom de l’objet) lors de la création des certificats dans DSM. Pour mémoire, la méthode de création du certificat « wilcard » LE décrite dans le Tutoriel « Certificat TLS/SSL - Let's Encrypt "Wildcard" » de @unPixel utilisait le service ‘SSL For Free’. Malheureusement, ce service n’étant plus gratuit depuis le 18 mai 2020, il convenait alors pour moi de m’orienter sur un autre moyen pour obtenir un certificat « wilcard » LE et gratuit de surcroît.
    Nota : ‘SSL For Free’ fournit toujours gratuitement son service mais uniquement pour un seul nom de domaine du type « ndd.tld » (NomDeDomaine.Top-LevelDomain).
    En fouillant un peu la toile, j’ai fini par trouver cet autre moyen. Il est basé sur l’utilisation du client ACME via le Shell script « acme.sh » disponible sur GitHub.
    Je vous livre donc ci-après la méthode que j'ai suivie. J’ai essayé de la rendre aussi détaillée que possible. En fait elle est conçue pour « les nuls » 😊, mais pas que ...
    Sachez que c'est un mixte de différents tutoriels trouvés sur la toile, car aucun pris individuellement ne donnait complètement satisfaction vis-à-vis du but à atteindre et il fallait souvent s’adapter et/ou corriger en fonction de leurs contextes parfois légèrement différents.
    Je ne m’en cache pas, je n’ai pas réinventé la roue, vous retrouverez ici certaines explications directement extraites et traduites de ces tutoriels. Selon le cas, le lien vers l’original sera donné.
    Mais avant toutes choses, il convient pour mémoire, de faire un petit rappel contextuel.
    Depuis que Synology a introduit LE dans la gestion des certificats associés à ses NAS et Routeurs, beaucoup d'entre nous bénéficient du SSL gratuit et c’est très bien. D'un autre côté, beaucoup d'entre nous ne veulent pas exposer les ports 80 et 443 à Internet, y compris l'ouverture de ces ports sur le routeur.
    Malheureusement, l'actuelle implémentation Synology de LE ne prend en charge que la méthode de validation dite WEB, basée sur le protocole « HTTP-01 » qui nécessite d'exposer notamment le port 80 à Internet.
    Une alternative à cette non exposition est de passer par l’utilisation de la méthode de validation dite par DNS basée sur le protocole « DNS-01 ». Ce protocole présente l’avantage de ne pas avoir besoin d’ouvrir de ports lors de la création du certificat LE mais surtout lors de son renouvellement et là c’est le « plus » indéniable du point de vue sécurité qu’apporte cette méthode.
    Mais pour utiliser cette méthode de validation par DNS, il est obligatoire d’avoir la main sur la zone DNS du domaine concerné. En effet, LE vérifie la présence d’un enregistrement de type « TXT » sous la forme de « _acme‑challenge.votre-domaine.tld » contenant la valeur d’autorisation. Cet enregistrement permet de prouver que la personne qui demande le certificat, contrôle également la zone DNS du domaine en question.
    Il convient aussi de noter que le protocole « DNS-01 » est utilisé pleinement par les fonctions d’API (Application Programming Interface) développées par nos fournisseurs de domaines tels que OVH et que l’on va utiliser ici.
    Pour l’exemple, la méthode présentée ici, utilise les API de mon fournisseur OVH. Mais vous pouvez très bien utiliser les API d’un autre fournisseur car ACME prend en charge de nombreux autres services DNS. Il faudra alors adapter la méthode en fonction de ces autres fournisseurs. Rien de bien compliqué en soit, les paramètres diffèrent quelque peu mais le principe de mise en œuvre reste le même.
    Par ailleurs, l’utilisation du Shell script ‘acme.sh’ est rendu possible par le fait que nous pouvons accéder au NAS via une connexion SSH pour le configurer pour renouveler les certificats au lieu d'utiliser le tableau de bord WEB.
    Maintenant, cerise sur le gâteau si je puis dire, depuis peu Synology a introduit dans DSM le code nécessaire pour qu’il ne soit plus nécessaire d'exécuter le Shell script ‘acme.sh’ sur votre NAS pour renouveler le certificat. Le Shell script ‘acme.sh’ devra simplement être exécuté sur quelque chose (votre PC/Mac ou autre) qui a accès à l'interface d'administration de DSM. Du coup, les méthodes de déploiement du certificat généré sont considérablement simplifiées et c’est qui va être exploité dans la présente méthode.
    Voilà pour le discours préliminaire, on passe aux choses sérieuses …
    1         Pré-requis
    ·      Disposer d’un nom de domaine personnel chez OVH. ·      Attribuer l’@IP externe de votre Box/Routeur à votre nom de domaine personnel.
    Pour cela, se rendre sur l'espace client d'OVH. Une fois connecté :        Si vous avez une @IP fixe :           aller dans l'onglet : « Web / Domaines / votre-domaine.tld / Zone DNS »           vous devez avoir un enregistrement de type « A » dans le quel votre « votre-domaine.tld » pointe vers cette @IP fixe.           Si vous avez une @IP dynamique :            aller dans l'onglet : « Web / Domaines / votre-domaine.tld / DynHost »            vous devez avoir une ligne avec « votre-domaine.tld » qui a pour cible votre @IP du moment (i.e. l’@IP externe de votre Box/Routeur).           Ce même DynHost doit être également défini sur le NAS (« Panneau de configuration / Accès externe / DDNS » où le nom d’hôte est : « votre-domaine.tld ». 2         Installation du Shell script ‘acme.sh’
    L’installation du Shell script ‘acme.sh’ doit s’effectuer dans un répertoire qui n’est pas modifié/réinitialisé lors des mises à jour de DSM. Pour ce faire, on va donc créer un répertoire spécifique d’installation « Certs/Acme_install » sous « /volume1 » et surtout pas sous le répertoire « /root » qui lui est régulièrement « nettoyé » par le système. Ce répertoire « /root » est également utilisé par défaut par ACME. Ceci expliquant cela.
    ·      Sous Windows ouvrir une session SSH sur le NAS (en tant qu’utilisateur « root ») avec « PuTTY » ou « WinSCP » ·      Sous Mac ouvrir une session SSH en lançant le « Terminal » puis tapez :        ssh utilisateur-admin@ipdunas (si le port n'est pas 22 alors il faut rajouter « -pXXXXX » où XXXXX = No du port personnalié        sudo -i (pour passer en « root » - c'est la procédure normale). ·         EDIT : Il s'avère que passer sous « root » via un « sudo -i» sur PC comme sur Mac, génère une erreur dans l'exécution de la commande « ./acme.sh». Aussi, je vous invite à suivre le Tuto sur les "Accès SSH et ROOT via DSM6" de      @unPixel et ainsi de configurer un accès par le "vrai" « root ». Cela marche tout de suite bien mieux ...
    Nota 1 : Pour ma part sous Windows, je préfère l’utilisation de « WinSCP » à « PuTTY », tout simplement à cause de son interface graphique qui est très agréable de mon point de vue et aussi parce que l’on peut accessoirement directement sélectionner le texte affiché dans la Console pour le Copier/Coller ailleurs dans une autre application. C’est tout bête mais bien pratique au demeurant. Certes « PuTTY » le permet aussi mais je le trouve beaucoup moins souple de ce point de vue, et ce n’est que mon avis ...
     
    Nota 2 : Pour mémoire et ceci est valable pour toute la suite : le symbole « $ » présent en début des lignes de commandes Shell présentées ici, est ce qu’on appelle l’invite de commande du Shell. Dans le cas présent, il est propre à l’outil « WinSCP » que j’ai utilisé pour exécuter les différentes commandes Shell de cette procédure. Bien évidemment, il ne faut pas le sélectionner si vous faites des Copier/Coller du texte de ces commandes.
    Je préfère prévenir même si c’est évident pour certains initiés …
    ·         Tapez successivement les commandes suivantes :    On crée le répertoire d’installation d’ACME : « /volume1/Certs/Acme_install » et on s’y place : $ cd /volume1 $ mkdir -p Certs/Acme_install
    $ cd Certs/Acme_install
           On télécharge ACME chez GitHub
    $ wget https://github.com/acmesh-official/acme.sh/archive/master.tar.gz
     
           On décompresse le fichier téléchargé et on se place dans le répertoire qui a été automatiquement créé lors de la décompression : $ tar xvf master.tar.gz
    $ cd acme.sh-master
           On lance l’installation d’ACME (pensez avant à remplacer dans la commande : « email@gmail.com » par votre @Mail personnelle)
    $ ACME_HOME="/usr/local/share/acme.sh"
    $ CERT_HOME="/volume1/Certs"
    « CERT_HOME » est le répertoire où seront générés les fichiers du certificat. Vous pouvez l’adapter à besoins.
     
    $ ./acme.sh --install --nocron --home "$ACME_HOME" --cert-home "$CERT_HOME" --accountemail "email@gmail.com"  
    --nocron : spécifie de ne pas installer par défaut le « cron job ». Vous comprendrez de vous-même pourquoi plus loin.
    --home : désigne le répertoire « customisé » d’installation du Shell script ‘acme.sh’. C’est un répertoire dit « invariant ». C’est-à-dire qu’il n’est pas modifié par les mises à jour de DSM. Sinon par défaut, le script aurait été installé dans « ~/.acme.sh » où « ~ » correspond au répertoire ‘home’ de l’utilisateur « root » en l’occurrence : « /root ». Pour mémoire le répertoire « /root » est lui, dit « variant », donc sujet à modifications par les mises à jour de DSM.
    --cert-home : désigne le répertoire où seront générés les fichiers du certificat « wilcard » LE. Cette disposition permet de les sécuriser d’une part et d’autre part permet de les rendre accessibles facilement sans avoir à replonger dans les acarnes de DSM pour les retrouver en cas de besoin autre.
     
    Durant la courte installation, vous aurez certainement un message du style :
    It is recommended to install socat first.
    We use socat for standalone server if you use standalone mode.
    If you don't use standalone mode, just ignore this warning.
    Il faut savoir que ‘Acme.sh’ recommande l'installation du paquet « socat » pour gérer les certificats en mode standalone, mais comme nous n'allons pas utiliser ce mode, vous pouvez largement ignorer ce message.
    Vous trouverez donc, le dossier d'installation d’ACME dans le répertoire : « /usr/local/share/acme.sh ».
    Maintenant, il faut régénérer le fichier « .profile » de l'utilisateur courant (« root ») pour pouvoir utiliser immédiatement les commandes Shell. Pour cela, tapez simplement : $ source ~/.profile ·         Vérifier si besoin les droits d'exécution du fichier « acme.sh » : $ cd $ACME_HOME
    $ ls -al
    Normalement c’est bon mais si besoin, tapez : $ chmod a+x acme.sh

    ·         On active la mise à jour automatique du client (c’est préférable mais ce n’est pas une obligation) : $ ./acme.sh --upgrade --auto-upgrade
    Nota 1 : si vous souhaitez désactiver la mise à jour automatique d’ACME, tapez :
    $ ./acme.sh --upgrade --auto-upgrade 0
    Comme vous pouvez aussi commenter manuellement la ligne : AUTO_UPGRADE="1" dans le fichier « /usr/local/share/acme.sh/account.conf » par l’ajout du caractère « # » en tout début de ligne.
    Nota 2 : Si vous êtes curieux et que vous souhaitez voir toutes les commandes disponibles pour ACME, tapez :
    $ ./acme.sh --help
    NE PAS quitter la session SSH
    3         Configuration DNS
    3.1        Création des clés
    Pour générer un certificat « wilcard » et pouvoir le renouveler automatiquement, on va donc utiliser l’API d’OVH.
    Pour ce faire, on va créer une application dans l’API qui va nous permettre de générer trois clés nommées respectivement : « application key », « application secret » et « consumer key ».
    Il est aussi une bonne pratique de sécurité que de limiter ce qu'une clé API donnée peut faire, dans le cas où elle serait perdue, volée ou que quelque chose de mal se produirait et ce, pour en limiter les dommages potentiels.
    Cela tombe bien, les clés API OVH peuvent être limitées à une zone de domaine spécifique à l'aide d'un mécanisme de modèle simple. On va donc en profiter pour restreindre une clé API OVH à la gestion de « votre-domaine.tld », en utilisant les paramètres suivants :
    GET=/domain/zone/votre-domaine.tld/*
    &POST=/domain/zone/votre-domaine.tld/*
    &PUT=/domain/zone/votre-domaine.tld/*
    &GET=/domain/zone/votre-domaine.tld
    &DELETE=/domain/zone/votre-domaine.tld/record/*
    Il est clair que cela peut facilement être personnalisé pour prendre en charge un ou plusieurs domaines si le besoin en est. Je vous renvoie à la documentation en ligne d’OVH pour plus de détails.
    ·         On se rend donc sur l’API d’OVH en saisissant l’URL suivante dans un navigateur WEB : https://api.ovh.com/createToken/?GET=/domain/zone/votre-domaine.tld/*&POST=/domain/zone/votre-domaine.tld/*&PUT=/domain/zone/votre-domaine.tld/*&GET=/domain/zone/votre-domaine.tld&DELETE=/domain/zone/votre-domaine.tld/record/*
    Nota : Dans le cas où vous ne souhaiteriez pas restreindre la gestion de la clé API OVH à votre domaine, il suffit simplement d’utiliser les paramètres suivants :
    ?GET=/domain/zone/*
    &POST=/domain/zone/*
    &PUT=/domain/zone/*
    &DELETE=/domain/zone/*/record/*
    o   L’URL à utiliser pour aller sur l’API d’OVH, est alors : https://api.ovh.com/createToken/?GET=/domain/zone/*&POST=/domain/zone/*&PUT=/domain/zone/*&DELETE=/domain/zone/*/record/*
     
    ·         Donc avec le premier cas, on arrive sur l’écran suivant :
    Nota : Dans le second cas l’écran est très similaire, je vous laisse vous adapter.      

     
    ·         On saisit les informations : o   Account ID : votre identifiant principal de connexion chez OVH
    Nota : Si vous utilisez votre @Mail vous aurez un message d’erreur lors de la création des clés.
    o   Password : votre mot de passe de connexion chez OVH.
    o   Script name : Ce que vous voulez (par ex : « Synology_acme_sh ») mais avec que des caractères, pas d’espaces ni de points et pas de caractères spéciaux sinon cela bloque.
    o   Script description : Ce que vous voulez (par ex : « Certificat wilcard LE – ACME ».
    o   Validity : Dans le popup sélectionnez l’item « Unlimited ».
     
    ·         On clique en fin sur le bouton « Create keys ».
      ·         On obtient l’écran suivant, où il convient immédiatement de copier les clés et de les sauvegarder dans un fichier « .txt » :
    3.2        Retour dans la session SSH
    ·         Taper successivement les commandes suivantes : $ export OVH_END_POINT=ovh-eu $ export OVH_AK="votre application key" $ export OVH_AS="votre application secret" $ export OVH_CK="votre consumer key" 4         Création du certificat
    Avant de créer effectivement le certificat il convient de préciser un point sur la méthode de chiffrement associée à la génération du certificat LE.
    Sans aucun paramètre spécifique, ACME utilise une clé de chiffrement de type RSA fixée à 2048 bits par défaut.
    Dans notre cas, on va directement forcer cette clé RSA à 4096 bits pour renforcer le niveau de sécurité, ce qui se fait par l’emploi du paramètre « -- keylength 4096 » dans la commande de création du certificat.
    Maintenant pour ceux qui le souhaitent, on peut aussi passer en mode « paranoïaque » et poussez plus loin les choses en adoptant un chiffrement basé sur une clé ECDSA qui elle s’appuie sur des courbes elliptiques. Malgré une faible longueur, ces clés sont très robustes et peut-être bien plus sécures que les clés RSA et sachant aussi que ces dernières sont déjà bien suffisantes pour nos besoins courants.
    Pour comparaison, une clé ECDSA 256 bits est équivalente à une clé RSA 3072 bits, et une clé ECDSA 384 bits est équivalente à une clé RSA 7680 bits !
    À noter que LE reconnait les courbes elliptiques P-256 et P-384 mais le P-521 n'est pas encore reconnu.
    Donc dans ce dernier cas de figure, le paramètre à employer serait par exemple : « -- keylength ec-394 ». A vous de voir …
     
    Bon, il est maintenant vraiment temps de créer le certificat « wilcard » LE pour « votre-domaine.tld » :
    ·         Tapez successivement les commandes suivantes : $ cd $ACME_HOME
    $ export CERT_DOMAIN="votre-domaine.tld" $ export CERT_WDOMAIN="*.votre-domaine.tld" $ export CERT_DNS="dns_ovh" $ ./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns "$CERT_DNS"  
    Le processus de création du certificat se déroule et affiche un message du type :
    /usr/local/share/acme.sh$ ./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns "$CERT_DNS"
    [Sun May 24 22:42:07 CEST 2020] Create account key ok.
    [Sun May 24 22:42:07 CEST 2020] Registering account
    [Sun May 24 22:42:08 CEST 2020] Registered
    [Sun May 24 22:42:08 CEST 2020] ACCOUNT_THUMBPRINT='l7IOxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxfro'
    [Sun May 24 22:42:08 CEST 2020] Creating domain key
    [Sun May 24 22:42:13 CEST 2020] The domain key is here: /volume1/Certs/votre-domaine.tld/ votre-domaine.tld.key
    [Sun May 24 22:42:13 CEST 2020] Multi domain='DNS:votre-domaine.tld,DNS:*.votre-domaine.tld'
    [Sun May 24 22:42:13 CEST 2020] Getting domain auth token for each domain
    [Sun May 24 22:42:15 CEST 2020] Getting webroot for domain='votre-domaine.tld'
    [Sun May 24 22:42:15 CEST 2020] Getting webroot for domain='*.votre-domaine.tld'
    [Sun May 24 22:42:15 CEST 2020] Adding txt value: TLMxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxQWk for domain:  _acme-challenge.votre-domaine.tld
    [Sun May 24 22:42:15 CEST 2020] Using OVH endpoint: ovh-eu
    [Sun May 24 22:42:15 CEST 2020] Checking authentication
    [Sun May 24 22:42:16 CEST 2020] Consumer key is ok.
    [Sun May 24 22:42:16 CEST 2020] Adding record
    [Sun May 24 22:42:17 CEST 2020] Added, sleep 10 seconds.
    [Sun May 24 22:42:27 CEST 2020] The txt record is added: Success.
    [Sun May 24 22:42:27 CEST 2020] Adding txt value: QXMxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxkJQ for domain:  _acme-challenge.votre-domaine.tld
    [Sun May 24 22:42:27 CEST 2020] Using OVH endpoint: ovh-eu
    [Sun May 24 22:42:27 CEST 2020] Checking authentication
    [Sun May 24 22:42:27 CEST 2020] Consumer key is ok.
    [Sun May 24 22:42:27 CEST 2020] Adding record
    [Sun May 24 22:42:28 CEST 2020] Added, sleep 10 seconds.
    [Sun May 24 22:42:38 CEST 2020] The txt record is added: Success.
    [Sun May 24 22:42:38 CEST 2020] Let's check each dns records now. Sleep 20 seconds first.
    [Sun May 24 22:42:58 CEST 2020] Checking votre-domaine.tld for _acme-challenge.jcrobin56.fr
    [Sun May 24 22:42:58 CEST 2020] Domain votre-domaine.tld '_acme-challenge.votre-domaine.tld' success.
    [Sun May 24 22:42:58 CEST 2020] Checking votre-domaine.tld for _acme-challenge.votre-domaine.tld
    [Sun May 24 22:42:59 CEST 2020] Domain votre-domaine.tld '_acme-challenge.votre-domaine.tld' success.
    [Sun May 24 22:42:59 CEST 2020] All success, let's return
    [Sun May 24 22:42:59 CEST 2020] Verifying: votre-domaine.tld
    [Sun May 24 22:43:02 CEST 2020] Success
    [Sun May 24 22:43:02 CEST 2020] Verifying: *.votre-domaine.tld
    [Sun May 24 22:43:06 CEST 2020] Success
    [Sun May 24 22:43:06 CEST 2020] Removing DNS records.
    [Sun May 24 22:43:06 CEST 2020] Removing txt: TLMxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxQWk for domain: _acme-challenge.votre-domaine.tld
    [Sun May 24 22:43:06 CEST 2020] Using OVH endpoint: ovh-eu
    [Sun May 24 22:43:06 CEST 2020] Checking authentication
    [Sun May 24 22:43:06 CEST 2020] Consumer key is ok.
    [Sun May 24 22:43:09 CEST 2020] Removed: Success
    [Sun May 24 22:43:09 CEST 2020] Removing txt: QXMxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxkJQ for domain: _acme-challenge.votre-domaine.tld
    [Sun May 24 22:43:09 CEST 2020] Using OVH endpoint: ovh-eu
    [Sun May 24 22:43:09 CEST 2020] Checking authentication
    [Sun May 24 22:43:09 CEST 2020] Consumer key is ok.
    [Sun May 24 22:43:13 CEST 2020] Removed: Success
    [Sun May 24 22:43:13 CEST 2020] Verify finished, start to sign.
    [Sun May 24 22:43:13 CEST 2020] Lets finalize the order, Le_OrderFinalize: https://acme-v02.api.letsencrypt.org/acme/finalize/xxxxxxxxx/xxxxxxxxxxxxxx
    [Sun May 24 22:43:14 CEST 2020] Download cert, Le_LinkCert: https://acme-v02.api.letsencrypt.org/acme/cert/0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx5c1f
    [Sun May 24 22:43:15 CEST 2020] Cert success.
    -----BEGIN CERTIFICATE-----
    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    -----END CERTIFICATE-----
    [Sun May 24 22:43:15 CEST 2020] Your cert is in  /volume1/Certs/votre-domaine.tld/votre-domaine.tld.cer
    [Sun May 24 22:43:15 CEST 2020] Your cert key is in  /volume1/Certs/ votre-domaine.tld/votre-domaine.tld.key
    [Sun May 24 22:43:15 CEST 2020] The intermediate CA cert is in  /volume1/Certs/votre-domaine.tld/ca.cer
    [Sun May 24 22:43:15 CEST 2020] And the full chain certs is there:  /volume1/Certs/votre-domaine.tld/fullchain.cer
     
    Voilà déjà une bonne chose de faite …
    NE PAS quitter la session SSH
    5         Déploiement du certificat
    Comme expliqué en préambule, Synology nous a facilité la vie pour le déploiement des fichiers du(des) certificat(s) généré(s). Cela se passe par l’emploi du « Synology DSM deployhook ».
    5.1        Cas de la double authentification
    Si vous n’utilisez pas la double authentification pour vous connecter à votre NAS, passez directement au §5.2 ci-dessous.
    Mais avant de réaliser le déploiement effectif du certificat, il y a encore un point préciser car il y a un paramètre supplémentaire à prendre en compte dans le cas où, comme moi vous utilisez la double authentification pour vous connecter à votre NAS. En effet, si on ne renseigne pas ce paramètre, le processus de double authentification viendrait bloquer le déploiement du certificat tel qu’il sera décrit ci-après. Ce serait dommage convenez-en.
    Donc, habituellement lorsqu’on se connecte au NAS après avoir saisi son id/pseudo et son mot de passe, la double authentification réclame la saisie d’un code à six chiffres que l’on obtient à partir d’une application tierce installée idéalement sur un smartphone/iPhone. Pour n’en citer que quelques-unes, il y a : « FreeOTP Authenticator », « Google Authenticator », « Microsoft Authenticator », etc … (le choix est grand ! - pour la mise en place de la double authentification sur le NAS, reportez-vous à l’excellent Tutoriel de @Fenrir sur la sécurisation des accès au NAS).
    Bref, on récupère et on saisit donc ce code à six chiffres et on coche la case « Faire confiance à ce périphérique ». Cette dernière action a pour effet caché de créer un « cookie » dans votre navigateur qui lui, évite par la suite que ce code à six chiffres, ne vous soit systématiquement demandé à chaque connexion.
    Ce « cookie » stocke en interne un code nommé « DID » dont il nous faut récupérer la valeur pour alimenter le paramètre suscité.
    Pour récupérer la valeur de ce code « DID », normalement un simple clic gauche sur le cadenas situé à gauche de la barre d’URL du navigateur, suivi de la sélection de l’item « cookies » permet d’afficher ce code « DID ». Sauf que cela ne marche pas avec le navigateur FireFox. Pour contourner le problème, j’ai installé l’excellent module complémentaire « Cookie Quick Manager » dans FireFox. Ensuite on procède ainsi :
    ·         Se placer sur la page de connexion ou si déjà connecté, sur la page du navigateur affichant le bureau DSM de votre NAS. ·         Dans le popup de « Cookie Quick Manager », clic gauche et sélectionner l’item « Rechercher les cookies pour : URL de la page suscitée ». Cela peut-être selon : « https://nom-du-nas.ndd.tld » ou http://@IP_du_NAS:5000 ou encore « https://@IP_du_NAS:5001 ». ·         Une nouvelle page s’ouvre dans le navigateur, vous montrant tous le détail du cookie associé à la page du NAS. ·         Dans la partie droite de cette page, on trouve la valeur du fameux code « DID ». ·         Sélectionnez et Copiez cette valeur et refermez la page du cookie. ·         Revenez sur la session SSH et tapez la commande suivante en y collant la valeur du « DID » : $ export SYNO_DID=xxxxxxxxxxxxxxxValeur_du_DIDxxxxxxxxxxxxxxxxx 5.2        Réalisation du déploiement du certificat
    Nota préliminaire : Tout ce qui suit présume que vous n’avez pas quitté la présente session SSH. Sinon, il faut réexporter toutes les variables définies précédemment. Sans quoi rien ne fonctionnera correctement ! Ce serait dommage, non ?
    Maintenant, deux cas de figure se présentent selon que l’on procède à un déploiement du nouveau certificat :
    ·         avec un mode « Annule et remplace » du certificat existant marqué « par défaut », ·         ou que l’on se contente d’ajouter simplement le nouveau certificat à la liste existante de vos certificats. Vous avez le choix, c’est vous qui décidez …
    5.2.1        Mode « annule et remplace » du certificat par défaut
    Rappel : Ici on va ECRASER le certificat marqué par défaut dans le tableau de bord de DSM. Il n’existera plus !!! Vous êtes prévenus …
    ·         Dans la session SSH tapez successivement les commandes suivantes : o   Par prudence, on vérifie que l’on est bien toujours placé dans le répertoire : « /usr/local/share/acme.sh ».
    $ pwd o   Selon votre usage, décommentez et exécutez l’une ou deux ou les trois commandes suivantes :
    # export SYNO_Scheme="http" Par défaut : « http » mais on peut fixer à « https » # export SYNO_Hostname="localhost" Par défaut : « localhost » mais à spécifier si vous n’utilisez pas sur la présence machine. Les « très initiés » comprendront. # export SYNO_Port="5000" Port utilisé pour DSM, par défaut : 5000 pour HTTP et mais on peut fixer à 5001 pour HTTPS. o   On poursuit les définitions de variables d’environnement :
    Attention ici, les « simples cotes » « ' » sont utilisées pour « échapper » les éventuels caractères spéciaux présents dans vos identifiants et mots de masse.
    $ export SYNO_Username='DSM_Admin_Username' $ export SYNO_Password='DSM_Admin_Password!123' La commande suivante est quant à elle impérative. Elle correspond à la description du certificat visible dans le tableau de bord de DSM. Toutefois pour pouvoir remplacer le certificat par défaut, il est nécessaire de spécifier une chaîne vide pour ce paramètre. Ne me demandez pas pourquoi ! (si un « initié » sait, je corrigerai en conséquence avec l’explication du pourquoi).
    $ export SYNO_Certificate="" ·         Et on déploie enfin le certificat …
    $ ./acme.sh --deploy -d "$CERT_DOMAIN" --deploy-hook synology_dsm  
    5.2.2        Mode « ajout » du nouveau certificat
    Ici, on va simplement ajouter le nouveau certificat à la liste des certificats éventuellement déjà présents sur le NAS.
    Le processus est sensiblement le même que celui décrit au §5.2.1 ci-dessus.
    ·         Dans la session SSH tapez successivement les commandes suivantes : o   Par prudence, on vérifie que l’on est bien toujours placé dans le répertoire : « /usr/local/share/acme.sh ».
    $ pwd o   Selon votre usage, décommentez et exécutez l’une ou deux ou les trois commandes suivantes :
    Par défaut : « http » mais on peut fixer à « https »
    # export SYNO_Scheme="http" Par défaut : « localhost » mais à spécifier si vous n’utilisez pas sur la présence machine. Les « très initiés » comprendront.
    # export SYNO_Hostname="localhost" Port utilisé pour DSM, par défaut : 5000 pour HTTP et mais on peut fixer à 5001 pour HTTPS
    # export SYNO_Port="5000" o   On poursuit les définitions de variables d’environnement :
    Attention ici, les « simples cotes » « ' » sont utilisées pour « échapper » les éventuels caractères spéciaux présents dans vos identifiants et mots de masse.
    $ export SYNO_Username='DSM_Admin_Username' $ export SYNO_Password='DSM_Admin_Password!123'  
    La commande suivante est quant à elle impérative. Elle correspond à la description du certificat visible dans le tableau de bord de DSM. Toutefois pour pouvoir ajouter le nouveau certificat, il est nécessaire de spécifier une chaîne non vide pour ce paramètre. Là, cela paraît évident … (Quoi que …)
    Vous nommez votre certificat comme bon vous semble. Pour ma part je lui donne le nom qui précise mon domaine « ACME_Wilcard_LE_*.ndd.tld » pour plus de clarté. Encore une fois, c’est vous qui voyez …
    $ export SYNO_Certificate="Nom_du_certificat" o   Une dernière variable d’environnement :
    Par défaut : ce paramètre est sur « off » et n’est pas enregistré mais on peut le fixer à « 1 » pour indiquer au système de créer le certificat s’il n’existe pas déjà.
    $ export SYNO_Create=1
     
    ·         Et on déploie enfin le certificat …
    $ ./acme.sh --deploy -d "$CERT_DOMAIN" --deploy-hook synology_dsm Dans cette commande, pour le cas où vous le souhaiteriez, on peut préciser un domaine de second niveau. La commande est alors :
    $ ./acme.sh --deploy -d "secondNiv.$CERT_DOMAIN" --deploy-hook synology_dsm
    Nota : On peut remarquer dans le message ci-dessus la ligne : « http services were NOT restarded », ne sachant pas ce qu’il faut en faire, je l’ai provisoirement ignorée. Je n’ai d’ailleurs pas constaté par la suite de disfonctionnements qui lui soient liés.
    Cela dit, je compte sur les « initiés » pour me dire s’il y a une quelconque action à exécuter vis-à-vis de ce message. D’avance merci, je mettrai à jour la présente procédure en conséquence.
     
    Toujours est-il, le nouveau certificat est maintenant visible dans « Panneau de configuration / Sécurité /Certificat » de DSM :

    Ici par défaut on constate que :
    ·         d’une part le nouveau certificat a été automatiquement marqué pour une utilisation « par défaut », ·         et d’autre part il n'a pas repris les assignations aux services qui existaient pour le certificat que j’avais précédemment marqué par défaut. Donc il vous faut reprendre ces assignations manuellement. Toujours pareil, vous les adaptez à votre besoin … Un dernier constat : on ne le voit pas sur la copie d’écran, mais bien évidemment, le certificat précédemment marqué pour une utilisation par défaut, n’a pas disparu. Il est bien toujours présent dans la liste des certificats. Il n’est tout simplement plus marqué pour une utilisation par défaut. Rien n’a été perdu, c’est ce qui importe !
     
    6         Configurer le renouvellement du certificat
    Maintenant que le certificat « wilcard » LE a été créé et déployé sur le NAS, il faut assurer son renouvellement à l’échéance fatidique de 3 mois. En fait, cette échéance est variable dans le sens où selon la date de génération du certificat il peut se passer entre 89, 90, 91 et 92 jours. Par sécurité, on demandera donc le renouvellement tous les 85 jours.
    Mais avant toute choses, sachez qu’Il n'est pas conseillé de configurer directement un « cron job » personnalisé car le conseiller de sécurité DSM va rapidement vous rappeler à l’ordre et vous dira que vous avez un avertissement critique concernant un ou des cron job(s) inconnu(s).
    Donc pour ce faire, on va configurer une tâche dans le planificateur de tâches de DSM.
    ·         Dans « Panneau de configuration / Planificateur de tâches », cliquer sur le bouton « Créer » et sélectionner dans le popup : « Tâche planifiée / Script défini par l’utilisateur »
    ·         Dans la fenêtre « Créer une tâche » onglet « Général » nommez la tâche à exécuter périodiquement. Par exemple : « RenewCertif_W_LE ». L’utilisateur doit être « root » et la case « Activé » est cochée.
    ·         Dans l’onglet « Paramètres de la tâche » : o   Pour la partie « Paramètres généraux » : si vous voulez recevoir par eMail les détails d’exécution de la tâche : cochez la case correspondante et saisissez votre @Mail. Vous pouvez aussi décider de ne recevoir ces eMails uniquement si l’exécution de la tâche se termine de façon anormale. Dans ce cas cochez la case correspondante.
    o   Pour la partie « Exécuter la commande » : saisir la commande suivante :
    bash /usr/local/share/acme.sh/acme.sh --cron --home /usr/local/share/acme.sh/
    ·         Dans l’onglet « Programmer » : o   Sélectionner « Exécuter à la date suivante »
    o   Saisir via le calendrier une date plus 85 jours suivant la date de création du présent certificat.
    o   Dans le popup sous cette date de prochaine exécution, sélectionner l’item « Répéter tous les trois mois ».
    o   Dans la zone « Temps » : laisser les valeurs par défaut.

    ·         Valider l’ensemble de votre paramétrage en cliquant sur le bouton « OK ». 7         En cas de problème suite à une mise à jour de DSM
    En cas de problème suite à une mise à jour de DSM, on peut réparer l’environnement ACME en exécutant les commandes suivantes dans une session SSH sous l’utilisateur « root » :
    $ cd /usr/local/share/acme.sh
    $ ./acme.sh --force --upgrade --nocron --home /usr/local/share/acme.sh
     
    Vous pouvez aussi ajouter la ligne suivante dans le fichier « /root/.profile » et régénérer le « .profile » en tapant :
    . "/usr/local/share/acme.sh/acme.sh.env" $ source /root/.profile 8         Arrêter le renouvellement du certificat
    Pour arrêter le renouvellement d’un certificat, vous pouvez exécuter dans une session SSH sous l’utilisateur « root » , les commandes suivantes pour supprimer le certificat de la liste de renouvellement :
    $ cd /usr/local/share/acme.sh
    $ ./acme.sh --remove -d votre-domaine.tld
     
    Les fichiers « .cert » et « .key » de votre certificat ne sont pas supprimés du disque.
    Vous pouvez supprimer le répertoire correspondant (par exemple : « /volume1/Certs/votre-domaine.tld ») par vous-même.
    9         Un dernier truc utile
    Vous pouvez éventuellement avoir besoin de convertir votre certificat en un fichier « .p12 » ou « .pfx » exploitable sous Android. C’est utile par exemple, pour un client VPN installé sur le smartphone.
    Dans ce cas, vous pouvez exécuter dans une session SSH sous l’utilisateur « root » , les commandes suivantes :
    $ ACME_HOME="/usr/local/share/acme.sh"
    $ CERT_HOME="/volume1/Certs"
    $ cd $ACME_HOME
    $ ./acme.sh --toPkcs -d votre-domaine.tld
     
    Enter Export Password:
    Verifying - Enter Export Password:
    [Mon May 25 20:00:28 CEST 2020] Success, Pfx is exported to: /volume1/Certs/votre-domaine.tld/votre-domaine.tld.pfx
    « Password » est le mot de passe utilisé pour ouvrir la session SSH.
     
    Voilà c’est fini, profitez bien de votre certificat « wilcard » Let’sEncrypt !!! GRATUIT !!! et ne nécessitant plus d’ouvrir les ports 80 et/ou 443 sur votre NAS pour son renouvellement. À l’usage, on en oublierait presque la chose …
    Le fichier ".pdf" de cette procédure : Creation_Certif_Wilcard_LE_avec_ACME_20200523.pdf
    Bien évidemment, je prendrais en compte toutes remarques et suggestions visant à corriger si besoin mais surtout à améliorer ce tutoriel. MERCI de vos retours ...
    Merci à @maxou56 pour ses compléments d’informations liées au monde Mac.
    Cordialement
    Oracle7😉
     
  10. Upvote
    maxou56 a réagi à jacaj dans Le "scandale"(?) des disques SMR. (informations et témoignages)   
    Bonjour,
    En répondant à plusieurs sujets relevant du choix de nouveaux disques et du remplacement de disques HS, je me suis rendu compte en consultant certains articles en anglais
    que des références bien connues utilisées dans nos NAS (ex: WD40EFRX) devenaient introuvables et étaient remplacées sans que cela soit clairement exposé dans leurs caractéristiques techniques,
    par de nouvelles références (ex: WD40EFAX) utilisant la technologie d'écriture SMR, permettant le doublement du nombre de pistes au détriment entre autres de leurs performances en écriture aléatoire.

    C'est pourquoi je vous suggère de regrouper ici (à déplacer éventuellement dans une autre rubrique) les informations concernant ces nouveaux disques indépendamment de leurs marques,
    en recensant les articles de presse, les informations données par Synology et les fabricants, les posts sur le sujet de Nas-forum.com, les trouvailles et problèmes techniques constatés et le recensement des disques concernés.
    Je m'efforcerai de compléter et regrouper régulièrement en tête d'article les liens et posts pertinents donnés dans vos réponses.
    Attention les ajouts apparaissent dans l'ordre chronologique de leur arrivée. Les données techniques et commerciales ont pu évoluer et certains articles de presse ont pu être remis à jour depuis leur date de parution.
     
    1) Liens et communiqués des fabricants.
    Que sont les disques durs PMR(CMR) et SMR ?  FAQ par Synology
    https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/Storage/PMR_SMR_hard_disk_drives

    Sur le tableau de compatibilité des disques du site Synology : https://www.synology.com/fr-fr/compatibility?search_by=category&category=hdds_no_ssd_trim
    Vous constaterez que les références WD20EFAX et WD60EFAX comportent la Mention SMR dans l'avant dernière colonne à droite et la note suivante.
    - Ce pilote (disque) n'a pas de capteurs de vibration et peut ne pas s'adapter pour un fonctionnement 24h24 -7/7j dans un environnement rack
    - Veuillez noter que le firmware des HDD/SSD peut être mis à jour ou modifié par son fabricant sans avis préalable. Synology peut seulement s'assurer que les firmwares répertoriés sont compatibles avec les produit Synology.
    - En raison des caractéristiques des SMR, ce lecteur SMR peut avoir un temps de réponse plus long qu'un lecteur PMR. Il est fortement recommandé de ne pas mélanger les disques SMR et PMR dans un type de RAID.

    Communiqué de presse WD du 16/4/2020 (traduit)
    Communiqué de presse Seagate du 17/4/2020 (traduit)
               Nous optimisons la conception et les spécifications de nos disques pour être cohérents avec le positionnement et la charge de travail prévue pour chaque disque.
               Nos descriptions de produits et notre documentation fournissent les informations nécessaires pour choisir le bon lecteur pour la bonne application.
              « Seagate confirme ne pas utiliser la technologie Shingled Magnetic Recording (SMR) dans les disques IronWolf ou IronWolf Pro, qui sont spécialement conçus pour les solutions NAS ».

    Western Digital blog:  Tech & Products - On WD Red NAS Drives
    https://blog.westerndigital.com/wd-red-nas-drives/

     
    Communiqué de presse Toshiba (traduit)
    https://toshiba.semicon-storage.com/ap-en/company/news/news-topics/2020/04/storage-20200428-1.html
     
    Utilisation de la technologie SMR (Shingled Magnetic Recording) dans les disques durs grand public Toshiba.
    28 avril 2020 Toshiba Electronic Devices & Storage Corporation
    L'introduction de la technologie SMR (Shingled Magnetic Recording) a permis aux fabricants de disques durs, tels que Toshiba, d'augmenter la capacité de leurs disques durs au-delà des approches existantes. La technologie SMR est reconnue comme ayant un impact sur les vitesses d'écriture dans les lecteurs où cette technologie est utilisée, en particulier dans le cas de l'écriture aléatoire continue. C'est pourquoi les produits Toshiba sont soigneusement adaptés aux charges de travail et aux cas d'utilisation spécifiques.
    Par exemple, dans des cas d'utilisation tels que le stockage en réseau (NAS), où l'écriture aléatoire continue est régulière, la gamme actuelle de produits Toshiba destinés aux consommateurs comprend le N300, qui n'utilise pas la technologie SMR.


    Le site Western Digital indique maintenant clairement sur la page de ses disques Nas, quels modèles sont SMR ou CMR: (en bas de page)
    https://www.westerndigital.com/fr-fr/products/internal-drives/wd-red-hdd

    Idem pour les disques Black et Blue: (pas encore pour les disques Gold)
    https://www.westerndigital.com/fr-fr/products/internal-drives/wd-black-hdd
    https://www.westerndigital.com/fr-fr/products/internal-drives/wd-blue-hdd



    Western Digital réorganise sa gamme de disques RED et introduit la série "Plus" pour différencier les disques SMR et CMR
    23 juin 2020, WD Red pour NAS - Maintenant plus de choix pour les clients (🤣marketing inside 🤑)
    https://translate.google.com/translate?hl=fr&sl=auto&tl=fr&u=https://blog.westerndigital.com/wd-red-nas-drives/

     
     
     

    2) Posts sur le sujet sur ce forum (remplacement, pannes et problèmes techniques)
    Remplacement de disque WD Red -changement de capacité de mémoire
    https://www.nas-forum.com/forum/topic/66359-remplacement-de-disque-wd-red-changement-de-capacité-de-mémoire/#comment-1319398863
    Cohabitation WD40EFRX et WD40EFAX
    https://www.nas-forum.com/forum/topic/66303-cohabitation-wd40efrx-et-wd40efax/
     
     
    3) Articles de presse et autres forums
    Gare au SMR incognito chez les constructeurs de disques durs ? 
    https://www.comptoir-hardware.com/actus/stockage/41383-gare-au-smr-incognito-chez-les-constructeurs-de-disques-durs-.html

    Western Digital s'incline: certains disques durs de la série RED utilisent une technologie SMR lente sans divulgation (© Foksadure)
    https://www.tomshardware.com/news/wd-fesses-up-some-red-hdds-use-slow-smr-tech

    Seagate est également coupable de SMR non divulgué sur certains modèles de disques durs internes :
    http://www.pc-boost.com/pages/news_1587362556_seagate-est-egalement-coupable-de-smr-non-divulgue-sur-certains-modeles-de-disques-durs-internes-rapport.html

    Western Digital et Seagate livrent des disques SMR lents sans en informer les clients. (mal traduit)
    https://www.breakingnews.fr/science/western-digital-et-seagate-livrent-des-disques-smr-lents-sans-en-informer-les-clients-rapports-444882.html

    Notez que les disques durs WD Red de 2 à 6 To ont un enregistrement SMR secret (mal traduit)
    http://frenews24h.com/notez-que-les-disques-durs-wd-red-de-2-a-6-to-ont-un-enregistrement-smr-secret/
    WD Red 6tb WD60EFAX SMR???
    https://community.synology.com/enu/forum/1/post/127228
    Seagate introduit en sous-main des disque SMR dans sa gamme Barracuda et Desktop
    https://blocksandfiles.com/2020/04/15/seagate-2-4-and-8tb-barracuda-and-desktop-hdd-smr/
    Des fabricants de disques durs ont introduit les disques de type SMR dans les modèles standards en CMR, réduisant ainsi les performances des périphériques
    https://hardware.developpez.com/actu/300859/Des-fabricants-de-disques-durs-ont-introduit-les-disques-de-type-SMR-dans-les-modeles-standards-en-CMR-reduisant-ainsi-les-performances-des-peripheriques/
    WD community forum: PMR and SMR question
    https://community.wd.com/t/pmr-and-smr-question/249745/5
    IronWolf (Pro) : Seagate affirme ne pas utiliser la technologie SMR dans ses HDD pour NAS
    https://www.inpact-hardware.com/article/1788/ironwolf-pro-seagate-affirme-ne-pas-utiliser-technologie-smr-dans-ses-hdd-pour-nas
    Seagate refuse de détailler la présence du SMR dans l'ensemble de ses disques durs (© Firlin)
    https://www.inpact-hardware.com/article/1805/seagate-refuse-detailler-presence-smr-dans-ensemble-ses-disques-durs

    Disques durs SMR : Toshiba clarifie à son tour sa position (© Firlin)
    https://www.inpact-hardware.com/article/1810/disques-durs-smr-toshiba-clarifie-a-son-tour-sa-position

    Un article très intéressant qui compare les performances des WD40EFRX et WD40EFAX en cas de remplacement d'un disque dans une grappe raid. ("resilvering" en format ZFS/Freenas)
    On peut supposer que passer de 17h à 230h pour un échange de disque CMR par un SMR dans une grappe Raid sera proportionnellement identique en durée dans un Nas Synology. (voir page 2)
    Article en anglais:   https://www.servethehome.com/wd-red-smr-vs-cmr-tested-avoid-red-smr/
    Traduction Google:   https://translate.google.com/translate?hl=fr&sl=auto&tl=fr&u=https://www.servethehome.com/wd-red-smr-vs-cmr-tested-avoid-red-smr/
    Western Digital pourrait faire face à la justice pour avoir caché des disques SMR dans ses NAS
    https://www.comptoir-hardware.com/actus/business/41680-western-digital-pourrait-faire-face-a-la-justice-pour-avoir-cache-des-disques-smr-dans-ses-nas.html
    Synology ne considère plus les disques durs WD-Red SMR comme compatibles avec ses NAS. (© maxou56, © Foksadure)
    https://www.cachem.fr/smr-synology-incompatible-nas/
    https://www.en24.news/2020/06/nas-hard-drives-synology-now-lists-wd-red-hdds-as-incompatible-with-smr.html
    Western Digital réorganise sa gamme de disques RED et introduit la séries "Plus" pour différencier les disques SMR et CMR  (© Brunchto)
    https://translate.google.com/translate?hl=fr&sl=auto&tl=fr&u=https://www.anandtech.com/show/15878/western-digital-cleans-up-the-red-smr-nas-hdd-mess
    SMRgate : Western Digital réorganise sa gamme WD Red:
    https://www.silicon.fr/smrgate-western-digital-wd-red-341917.html
    Des WD Red mal étiquetés et toujours mal emballés chez Amazon ?  (© Firlin)
    https://www.comptoir-hardware.com/actus/stockage/41898-des-wd-red-mal-etiquetes-et-toujours-mal-emballes-chez-amazon-.html



     
    4) Recensement des disques en technologie SMR
    Un site intéressant qui rassemble des informations pour chaque modèle et série de disques et donne la technologie employée: Nbr de plateaux et têtes, SMR/PMR.
    The HDD Platter Capacity Database    https://rml527.blogspot.com/

    Témoignage perso Hors NAS:
    je confirme que le SEAGATE ST2000DM008 utilisé sur mon PC. (2To, acheté en Aout 2019) est bien un modèle SMR. Fonction Trim présente et cache doublé (256Mo).
    Suite à de nombreux secteurs en erreur, et échec des diags Seagate, il a été échangé sous garantie en novembre 2019 par un modèle reconditionné.
    Suite à de nouvelles erreurs et échec diags, un nouvel échange a eu lieu mi-mai 2020.

    Il semble que la gamme Ironwolf de Seagate ne soit pas encore touchée par ce problème, mais par un autre, qui devrait donner lieu à une mise à jour firmware:
    Seagate 12TB Ironwolf ST12000VN0007 has write cache disabled.
    https://community.synology.com/enu/forum/1/post/122610

    Disques SMR confirmés pour Seagate:
    Seagate Barracuda 2TB ST2000DM008 (3,5 pouces, 7200 tr / min, SATA) Seagate Barracuda 4TB ST4000DM004 (3,5 pouces, 5400 tr / min, SATA) Seagate Barracuda 8TB ST8000DM004 (3,5 pouces, 5400 tr / min, SATA) Seagate Desktop 5 To ST5000DM000    (3,5 pouces, 5900 tr / min, SATA)
      Disques SMR confirmés pour Western Digital:
    Western Digital Red  2TB WD20EFAX  (3,5 pouces, 5400 tr / min, SATA) Western Digital Red  3TB WD30EFAX  (3,5 pouces, 5400 tr / min, SATA) Western Digital Red  4TB WD40EFAX  (3,5 pouces, 5400 tr / min, SATA) Western Digital Red  6TB WD60EFAX  (3,5 pouces, 5400 tr / min, SATA) Le site Western Digital indique maintenant clairement sur la page de ses disques Nas, quels modèles sont SMR ou CMR: (en bas de page)
              https://www.westerndigital.com/fr-fr/products/internal-drives/wd-red-hdd
    Idem pour les disques Black et Blue: (pas encore pour les disques Gold)     
              https://www.westerndigital.com/fr-fr/products/internal-drives/wd-black-hdd
              https://www.westerndigital.com/fr-fr/products/internal-drives/wd-blue-hdd

    Disques SMR confirmés pour Toshiba:
    Toshiba P300 desktop 4TB (HDWD240UZSVA) Toshiba P300 desktop 6TB (HDWD260UZSVA) Toshiba L200 et MQ04 de 1 et 2 To, 2,5" Toshiba DT02 et DT02-V de 4 et 6 TB

    5) Technologies utilisées dans les disques et aspects techniques:

    ***Traduction d'un article sur Reddit donnant des pistes pour détecter un disque SMR et explique que l'acronyme CMR (= pistes conventionnelles) serait préférable à PMR (= technologie des têtes) pour les différencier des disques SMR. (= double de pistes avec recouvrement)
    https://www.reddit.com/r/DataHoarder/comments/ewwkll/are_the_seagate_ironwolf_nas_drives_pmr_or_smr_im/
    Quelques définitions:
    - Le terme "marketinge" préféré pour les lecteurs "normaux" est maintenant "CMR" - Enregistrement magnétique conventionnel.
    - PMR signifie "Perpendicular Magnetic Recording" (la façon dont les domaines magnétiques sont disposés sur le plateau, par opposition aux domaines magnétiques longitudinaux d'autrefois)
    - Le Shingled PMR (SMR) est une évolution de la technologie PMR, avec un recouvrement en écriture sur deux pistes lues séparément (largeur têtes d'écriture = 2X tête de lecture)
    - La TGMR (Tunneling Giant Magneto-Resistive) est une technologie de tête nécessaire pour la PMR et est la même pour la SMR ou la CMR
    - TDMR (Two Dimensional Magnetic Recording) est une façon détournée de dire "médias zonés" et la seule raison pour laquelle vous avez zoné des médias est.... parce que c'est du SMR (vous avez besoin de zones temporaires pour pouvoir faire des réécritures)
    - Les disques remplis d'hélium n'implique pas de CMR ou de SMR. Vous pouvez trouver des disques dans les deux formats,- CEPENDANT, vous pouvez déduire qu'il s'agit d'un SMR probable pour les disques remplis d'air au-dessus de 4 To en 3,5" et 2 To en 2,5".
    Tous les disques mécaniques sur le marché utilisent la PMR, qu'il s'agisse de la CMR ou de la SMR et quelle que soit la vitesse.
    En effet, les trois fabricants utilisent les mêmes plateaux et les mêmes têtes, chacun d'eux étant fabriqué par un seul fabricant.
    Quelques autres points :
    - Les disques dont les fiches techniques indiquent qu'ils sont nettement plus légers que leurs prédécesseurs sont probablement des SMR
    - Les disques avec un grand cache (256 Mo+) sont très probablement des disques SMR - ils en ont besoin pour fonctionner.
    (il y a des fonctions de hiérarchisation des données dans les disques SMR gérés (DM-SMR) semblables à celles que l'on trouve dans les SSD TLC/QLC - mais beaucoup plus lentes...)
    - Les lecteurs qui rapportent des fonctions de "trim" sont  SMR, même s'ils n'indiquent pas des médias zonés
    (le rapport de zonage est une fonction ACS-4 - bien que cela ait été codifié en 2016, de nombreux lecteurs ne sont encore qu'ACS-3 qui ne supporte pas cette fonction de rapport.... hmmmmm... Je me demande pourquoi ?)
    - CEPENDANT - Tous les lecteurs SMR ne rapportent pas les fonctions de trim et la seule façon de le savoir est de faire une analyse comparative des choses - (Seagate barracuda ST3000DM003 étant un bon exemple)
    - FAITES ATTENTION AUX SUFFIXES, LISEZ LES FICHES TECHNIQUES.
    - COMPARER AVEC LES MODÈLES PRÉCÉDENTS
    - un changement de génération (de 003 à 004, ou de EFRX à EFAX) peut très bien signifier qu'un changement a été fait en sous-marin dans le canal. Vérifiez le poids. La perte d'un plateau de la même taille est un signe certain que cela s'est produit.
    Avant tout : Plaignez-vous vivement auprès des autorités locales de réglementation du marketing au sujet de ce comportement trompeur. WD et SG SAVENT que nous ne voulons pas de du SMR, c'est pourquoi ils font tout leur possible pour ne pas l'inscrire sur leurs fiches techniques.
    (les autorités de réglementation européennes et chinoises devraient être particulièrement réceptives aux plaintes pour marketing frauduleux et comportement d'entente)

    *** Traduction d'un article qui explique les problèmes de compatibilités posés par les disques SMR avec les Raid au format ZFS
    (= Freenas, à priori il n'y pas ce problème sur Synology, sauf pour les performances en écriture aléatoire, et éventuellement l'ajout d'un disque à une grappe raid)
    https://www.ixsystems.com/blog/library/wd-red-smr-drive-compatibility-with-zfs/
    ....
    1. Certains lecteurs SMR sont en effet compatibles avec le ZFS, bien qu'en raison de l'absence d'une mise en œuvre de la technologie conforme aux normes industrielles ratifiées, ils ne se comportent pas tous nécessairement de la même manière. 
    Une étude plus approfondie est nécessaire pour déterminer la compatibilité de chaque implémentation avec le ZFS.  Pour l'instant, nous nous concentrons sur le test de l'implémentation du WD Red DM-SMR.
    2. En général, les lecteurs SMR sont utilisés pour leur efficacité énergétique et leur prix abordable.
    En ce qui concerne les performances, les vitesses d'écriture séquentielles peuvent être plus rapides, mais les vitesses d'écriture aléatoires sont plus faibles et ralentissent les opérations telles que l'ajout d'un disque à une grappe Raid.
    Nous recommandons les lecteurs CMR pour des performances plus uniformes. Pour une liste des lecteurs SMR, voir le post communautaire de Yorick.
    3. Les disques WD Red DM-SMR utilisent un modèle d'adressage de bloc logique indirect, qui est similaire aux SSD.
    Après des écritures aléatoires sur le disque, les disques doivent effectuer une réécriture des données en arrière-plan, ce qui réduit leurs performances d'écriture aléatoire.
    Lorsque l'on ajoute un lecteur DM-SMR à un pool ZFS, il est préférable que le lecteur soit effacé au préalable.
    4. Au moins un des modèles WD Red DM-SMR (le WD40EFAX 4 To avec firmware rev 82.00A82) présente un problème de compatibilité ZFS qui peut le faire entrer dans un état défectueux sous de fortes charges d'écriture, y compris l'ajout d'un disque à une grappe Raid.
    Cela a été confirmé dans nos laboratoires cette semaine au cours des tests, ce qui a entraîné la disqualification de ce modèle de lecteur de nos produits.
    Nous pensons que les autres disques WD Red DM-SMR avec le même micrologiciel auront le même problème, mais les tests sont toujours en cours pour valider cette hypothèse.
    5. En cas de panne, le disque WD Red DM-SMR renvoie des erreurs IDNF, devient inutilisable et est traité comme une panne de disque par ZFS. 
    Dans cet état, les données de ce disque peuvent être perdues. Les données d'un vdev ou d'un pool peuvent être perdues si plusieurs lecteurs tombent en panne.
    6. L'incompatibilité ZFS causant une panne de disque est un événement rare. Bien que nous ayons livré une centaine de systèmes FreeNAS Mini avec les disques DM-SMR de 2 To et 6 To, nous n'avons eu qu'un seul problème signalé.
    D'autres tests seront effectués pour comprendre les problèmes de compatibilité ZFS et comment les éviter.
    7. Parmi les produits d'iXsystems, la série FreeNAS Mini est la seule ligne de produits qui utilise des disques WD Red. La plupart des systèmes FreeNAS Mini livrés n'ont pas utilisé de disques DM-SMR.
    Seuls les systèmes expédiés avec des disques de 2 ou 6 To depuis septembre 2019 peuvent être équipés de disques DM-SMR.

    SMRgate : cette technologie que les fabricants de disques durs ont passée sous silence:
    https://www.silicon.fr/smrgate-disques-durs-339085.html
    A voir dans cet article outre les explications techniques sur le SMR, la vidéos de Manfred Berger, Ex. de la division disques IBM, rachetée par Hitachi/HGST, aujourd'hui propriété de WD.
    Il explique déjà en 2015 les inconvénients de la technologie SMR appliquée aux Nas.
     
     




     
  11. Upvote
    maxou56 a reçu une réaction de .Shad. dans SSD M2 cache   
    Bonjour,
    Uniquement pour le cache en lecture, pour le cache en lecture/écriture celui-ci est persistent.
  12. Sad
    maxou56 a reçu une réaction de LesAdr dans C'est quoi "Docker" ?   
    Bonjour,
    Il n'est pas possible même en "bidouillant" d'installer docker ou Virtual machine manager sur le DS218Play, car il a un processeur ARM (Realtek RTD1296), (c'est possible par exemple sur DS418Play et DS416Play car ils sont en X86_64 et ont les mêmes composants que le DS218+ et le DS216+II) 
    https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/Compatibility_Peripherals/What_kind_of_CPU_does_my_NAS_have
  13. Like
    maxou56 a reçu une réaction de blq dans Ram vs cache pour DS1019+ ?   
    Bonjour,
    Si tu n'as pas de machines virtuelles, ou plusieurs Docker. Je ne suis pas sûr que le passage de 8GB à 16GB soit nécéssaire.
    (possible aussi de passer a 12GB 4+8)
     
     
    Pour la RAM compatible le DS918+ et le DS1019+ sont semblable.
     
  14. Upvote
    maxou56 a reçu une réaction de Arsouille dans plus de son qui passe dans le home cinéma   
    Oui c'est bien ça.
    Il a par exemple des modèles 8 ports pour pas beaucoup plus chère.
    https://www.materiel.net/produit/200403080013.html
  15. Upvote
    maxou56 a réagi à Kramlech dans problème indication stockage disponible   
    Si vous saviez le nombre de problème que ce type de boitier à pu résoudre ...
    https://www.ldlc.com/fiche/PB00184700.html
    Je ne pourrais plus m'en passer !!!!!
     
     
  16. Upvote
    maxou56 a reçu une réaction de .Shad. dans Peut on faire avec un nas....?   
    Bonsoir,
    Je répond à quelques une de tes questions.
    Non, Photos sur mac à sa propre 'photothèque" au format propriétaire. (Si tu as des photos dans Photos et que tu souhaites les mettre dans le NAS il faut les exporter, soit faire un glisser/coller depuis Photos vers un dossier, ou "Fichier-exporté")
    Si tu as beaucoup de photos à transférer sur le NAS, il y a un utilitaire "Synology Photo Station Uploader" qui permet soulager le NAS (surtout pour les modèles les moins puissant).
     
    Oui, il faut que le disque soit formaté avec un format lisible par le mac et le NAS. Par ex: FAT32, exFAT (paquet payant), HFS Plus (attention tous les NAS ne sont pas compatible en écriture avec ce format, le DS120j et 220j le sont).
    Soit choisir "monoversion" sans chiffrement qui est directement lisible.
    Soit utiliser l'application "Synology Hyper Backup Explorer" https://www.synology.com/fr-fr/support/download/DS220j#utilities
     
    La continuité de service, évite de tous réinstaller, cela permet aussi de faire évoluer la taille du Groupe de stockage, en changeant les disques (1 par 1).
    https://www.synology.com/fr-fr/products/compare/DS118/DS120j/DS220j
     
    Juste pour information: les modèle "DSxxxj" "DSxxxplay" et "DSxxx" sont un peu plus limités en fonctionnalités que les modèles "DSxxx+", car il ont un processeur ARM, contre Intel pour les "+". 
    Sur les DSxxx+ il y a la Virtualisation, Docker, plus paquets disponibles et on peut augmenter la RAM
  17. Upvote
    maxou56 a réagi à .Shad. dans [TUTO] VPN Server   
    Il te faut dé-commenter dans le fichier de configuration ovpn la ligne :
    redirect-gateway def1  
  18. Upvote
    maxou56 a reçu une réaction de roninounet dans [RESOLU] Changement de NAS   
    Bonsoir,
     Cela correspond a la possibilité d'avoir un ou plusieurs Volumes par groupe de Stockage.
    ("meilleures performances" = un seul Volume utilisant tous l'espace du Groupe de stockage) ("plus grande flexibilité" = 1 ou plusieurs Volumes, dont la taille est à configurer manuellement)
     
    Non le SHR n'est pas lié aux options ci dessus.
    Le SHR (=RAID1 pour 2 disques) permet la perte d'un disque, sans perte de données, réglages. Par contre ce n'est pas une sauvegarde, c'est une continuité de service.
    En SHR tu auras 3TB+3TB= 3TB d'utilisable.
     
     
  19. Thanks
    maxou56 a reçu une réaction de lolomeis dans DS918+ [Disque dur SSD P1 pour le cache]   
    Bonsoir, @Stigmate101
    Ce n'est pas un pour la lecture et un pour l'écriture.
    Les deux seront en Raid1 en lecture/écriture.
     
    Une fois les deux SSD installés.
    Il faut aller des "Gestionnaire de stockage - cache SSD - créer" puis choisir le mode "lecture/écriture", puis sélectionner le Volume pour lequel le cache sera actif, puis sélectionner les deux SSD.
     
    extrait de l'aide synology:
    "Pour monter le cache SSD :
    Installez les SSD dans votre Synology NAS. Veuillez d'abord consulter les notes ci-dessus.
    Allez dans Gestionnaire de stockage > Cache SSD. Cliquez sur Créer.
    Sélectionnez le mode cache (uniquement disponible pour les modèles qui prennent en charge le cache lecture/écriture).
    Trouvez le menu déroulant, et sélectionnez le volume ou iSCSI LUN (niveau bloc) sur lequel vous souhaitez monter le cache SSD.
    Choisissez les SSD dans la liste. Les données sur les SSD seront effacées, aussi veuillez vous assurer qu'aucune donnée importante ne sera effacée.
    Cliquez sur Appliquer."
     
    Edit: pour retirer le/les SSD, ou pour une migration, il faut au préalable supprimer le cache SSD.
  20. Confused
    maxou56 a reçu une réaction de Jarodesnas dans [Résolu]CONFIGURATION HTTPS ERREUR CERTIFICAT   
    Bonjour,
    Ton navigateur affiche que le site n'est pas sécurisé car tu te connecte en utilisant l'ip du NAS? (a noter que c'est juste un avertissement, tu es bien en https)
    Or ton certificat n'est valable que pour le nom de domaine utilisé pour avoir le certificat.
  21. Upvote
    maxou56 a reçu une réaction de .Shad. dans VPN et machine Virtuelle   
    Oui c'est théoriquement possible (je n'ai jamais testé)
    Il faut cocher "Autoriser d'autres appareils du réseau à se connecter via la connexion Internet de ce serveur Synology" dans les réglages du VPN
    Extrait de l'aide synology: "Autoriser d'autres appareils du réseau à se connecter via la connexion Internet de ce serveur Synology : Activez cette option pour autoriser les appareils réseau qui sont dans le même réseau local que votre Synology NAS à se connecter au même serveur VPN."
     
    Et dans la machine Virtuelle, il faut modifier la passerelle pour mettre l'IP du NAS à la place de celle du Routeur. 
  22. Upvote
    maxou56 a reçu une réaction de .Shad. dans DS218J Planté.   
    C’est normal, DSM est installé sur les disques, si tu as fait un double reset tu as supprimer DSM (pas les données), et sur les autres disques il n’y a pas DSM d’installé.
    Il faut donc remettre les anciens disques, puis utiliser Synology Assistant, ou find.synology.com, ou utiliser l’ip de celui si tu l’as fixé dans la Box/Routeur.
    Puis réinstaller DSM...
     
  23. Upvote
    maxou56 a reçu une réaction de pluton212+ dans DS218J Planté.   
    C’est normal, DSM est installé sur les disques, si tu as fait un double reset tu as supprimer DSM (pas les données), et sur les autres disques il n’y a pas DSM d’installé.
    Il faut donc remettre les anciens disques, puis utiliser Synology Assistant, ou find.synology.com, ou utiliser l’ip de celui si tu l’as fixé dans la Box/Routeur.
    Puis réinstaller DSM...
     
  24. Upvote
    maxou56 a réagi à jacaj dans Synology 1515+ ne s'allume plus...   
    Bonsoir
    Juste pour être sûr, l'alimentation a bien été testée complétement débranchée, y compris les disques, avec un voltmètre ?
    C'est à dire en enlevant le connecteur 24 broches, éventuellement le 12 broches et le 8 broches, ou au moins le 24 broches et disques débranchés, puis démarrée en reliant le fil vert à la masse ?
    Et dans ce cas toutes les tensions 3,3v, 5v et +/-12v étaient présentes ?
    Il y a aussi la possibilité de démarrer au moins la carte mère avec une alim de PC standard comme dans cette vidéo qui devrait s"appliquer aussi au DS1515+.
    https://www.youtube.com/watch?v=NWH0ZOCyW8s
    Ça permet d'être sur que la CM est bien rincée avant un nouvel achat...
    Si ça réagit comme dans la vidéo, il faudra changer l'alim.

    Ne pas oublier que dans le lien de réparation sur forum-hardware.fr donné plus haut, il y a une deuxième soudure possible, indiquée dans le rectangle marqué "spoiler".
     
  25. Thanks
    maxou56 a reçu une réaction de Fab221 dans Synology 1515+ ne s'allume plus...   
    Bonsoir, dommage.
    5 Baies ou Plus.
    Et de préférence un modèle "+" (https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General_Setup/How_to_migrate_between_Synology_NAS_DSM_6_0_and_later)
    Si tu étais en Btrfs, il faut que le modèle de remplacement le soit aussi.