RAHAN-31

<Slt @KeizerSauze , je vais te répondre que sur la partie que je pense maîtriser... donc hors univers Apple et Mullvad VPN. Lorsque tu es sur ton UI web de TailScale [TS], l'ensemble de tes machines doivent être sur le même Tailnet et donc être toutes "connected" et administrable dans le même parc machines. Tu ne dois pas toucher à l'exit Node qui ne doit te servir qu'au cas ou tu voudrais que cela soit le device sur lequel tu l'actives qui devient la porte d'entrée pour internet. Normal que tu ne puisses pas l'activer/désactiver sur le NAS puisque sans son internet tu ne peux plus le voir. ^^ Donc chaque device mobile peuvent activer l'exit Node mais pas les autres. Pour ce qui est de la visualisation de ton fichier... fait un essai hors TS, repère bien les répertoires depart/arrivée et refait la même chose sous TS tu dois obtenir le même résultat. Pour aller plus loin dans la vérification : - Pour vérifier réellement l’usage DNS sur le NAS, il faut faire un test direct (ex. cat /etc/resolv.conf puis nslookup vers un domaine) pour voir vers quel serveur DNS il résout réellement. - Installer un client NextDNS par appareil (ou configurer explicitement le resolver sur DSM) donne une meilleure traçabilité que de s’appuyer uniquement sur Tailscale DNS global. Ce qui compte, c'est le chemin pour y arriver... pas l'arrivée... quoique ;-)

👉 Réponse courte : OUI… mais seulement sous conditions strictes. 👉 Réponse honnête : ça ne résout PAS Apple Private Relay, et ça ne garantit pas 100 % de couverture sans coercition réseau. On déroule proprement. 🧠 Principe général : DNS au routeur = point de centralisationConfigurer NextDNS au routeur (DNS classique ou DoH) signifie : Tous les clients qui respectent le DNS du LAN et qui ne contournent pas le DNS 👉 passeront par NextDNS 📌 C’est une centralisation, pas une garantie absolue. ✅ Ce que ça couvre VRAIMENT🟢 Appareils “normaux”NAS Synology PC / Linux VM / containers IoT Services système classiques ➡️ OUI, ils passeront par NextDNS si : DHCP du routeur = DNS unique pas de DNS hardcodé pas de DoH local actif 👉 Dans ce cas, NextDNS verra clairement le trafic (IP = routeur ou subnet). 🟡 NAS Synology (cas précis DSM)DSM respecte le DNS LAN mais : peut avoir fallback IPv6 peut cacher l’origine (cache agressif) ne “tagge” pas l’appareil dans NextDNS 👉 Résultat : trafic visible mais non attribuable finement par machine ✔️ Couverture fonctionnelle ❌ Traçabilité par device ❌ Ce que ça ne résout PAS🔴 Apple Private Relay (point bloquant)Apple Private Relay : court-circuite DNS + HTTPS sort via Apple (Cloudflare / Akamai) ignore totalement : DNS du routeur DoH du routeur DNS Tailscale Pi-hole NextDNS 👉 AUCUNE config routeur ne peut forcer ça. 📌 Donc : Apple + Private Relay = angle mort DNS même avec NextDNS au routeur ➡️ Obligation : Private Relay OFF ou accepter une visibilité partielle 🔴 DoH / DoQ côté clientSi un appareil : utilise DoH intégré (Firefox, Chrome, Apple) ou un client NextDNS local ou un resolver embarqué 👉 il bypass le routeur Sauf si tu fais… 🧱 Le seul moyen de “forcer” réellement (niveau expert)🔥 DNS coercitif au routeurBloquer tout DNS sortant UDP/TCP 53 DoH (443 vers resolvers connus) Autoriser uniquement : routeur → NextDNS (DoH) 👉 Là : tout DNS est capturé tout contournement échoue ⚠️ MAIS : Apple Private Relay casse quand même le modèle certaines apps refusent de fonctionner maintenance plus lourde ➡️ Approche “souveraineté”, pas grand public 🧭 Interaction avec TailscaleImportant à se rappeler : Tailscale DNS : annonce un DNS ne force rien DNS routeur : centralise LAN n’affecte pas le trafic encapsulé Private Relay 👉 Les deux sont complémentaires, mais aucun n’est coercitif seul. 🧩 Synthèse 🧠 Recommandation finaleSi l’objectif est savoir qui fait quoi : ❌ Private Relay ✅ NextDNS par appareil 🟡 DNS routeur en complément Si l’objectif est juste filtrer globalement : ✅ NextDNS au routeur 🤷 accepter les angles morts Apple

Comme je bosse sur un projet utilisant Tailscale, ton sujet m'a interpellé en ai discuté avec la LLM qui me donne la main et voilà ce qu'il en ai ressorti en espérant que cela puisse t'éclairer : Pourquoi NextDNS “voit” 4 IP mais seulement 3 Apple🔍 Ce qui se passe réellementApple Private Relay : intercepte une partie des requêtes DNS + HTTP(S) les fait sortir via des egress Apple (Cloudflare / Akamai / Apple) masque l’IP source réelle parfois split le trafic : une partie passe par le DNS “système” une autre ne passe PAS par ton NextDNS 👉 Résultat : NextDNS voit : des IP Apple relay parfois plusieurs IP pour un seul device Le message NextDNS est volontairement flou car Apple ne documente pas précisément le mapping 🧠 Conclusion ➡️ Les 4 IP ≠ 4 machines ➡️ Ce sont des sorties Apple Relay, pas des hôtes réels Pourquoi les NAS Synology n’apparaissent PASEt là on arrive au point clé 👇 ⚠️ Les NAS n’utilisent probablement PAS NextDNSCas les plus fréquents sur DSM : ❌ Le NAS utilise : le DNS du LAN ou /etc/resolv.conf généré par DSM ou un fallback IPv6 ❌ Le trafic DNS du NAS : passe en dehors de Tailscale ou passe par Tailscale mais ne fait aucune requête DNS observable (cache, peu d’activité) ❌ Tailscale DNS ≠ garantie d’usage réel 🧠 Point fondamental ➡️ Tailscale DNS est déclaratif, pas coercitif Réponse à la question centrale 👉 Réponse honnête : NON, il n’en a aucune certitudeEt actuellement : ❌ Apple = couverture partielle (Private Relay) ❌ NAS = probablement hors périmètre ❌ Tailscale = aucune visibilité par device 🧭 Recommandations claires (par ordre de maturité)🟢 OPTION 1 — Vérification factuelle (indispensable)Sur chaque NAS Synology : cat /etc/resolv.conf Puis : nslookup google.com ➡️ Vérifier vers quel DNS ça sort réellement 🟢 OPTION 2 — Désactiver Apple Private Relay (si objectif = contrôle DNS)Sur Apple : iCloud → Private Relay → OFF 💬 Sans ça : aucun DNS central ne peut être fiable NextDNS, Pi-hole, AdGuard = tous aveugles partiellement 🟡 OPTION 3 — Forcer NextDNS par appareil (recommandé)Au lieu de “DNS global Tailscale” : Installer NextDNS client : sur macOS sur iOS sur DSM (possible via script / container sidecar) ➡️ Là, NextDNS tagge chaque appareil ➡️ Plus de doute ➡️ Plus de mapping fantôme 🟡 OPTION 4 — Architecture propre (niveau Rahan 🧠) Tailscale : transport DNS : local-first Apple Private Relay : OFF sur machines de confiance 👉 Sinon : Il empile des couches qui s’aveuglent mutuellement 🧩 Synthèse ultra-courte à transmettre à ton ami

Merci @Lelolo

Bonsoir, ou en d'autre termes avez vous un Plex Pass actif en cours ? Si oui, il vous faut contacter le service support ou... vous n'avez pas finalisé correctement la procédure de réclamation du serveur et il considère que vous êtes un invité de ce dernier et non son administrateur Après avoir changé votre MDP et désassocié l'ensemble de vos appareils, il vous faut aller sur votre NAS, centre de paquet et désinstaller Plex en prenant soin de choisir l'option "Désinstaller uniquement" pour forcer l'attribution d'un jeton pour la réclamation de ce dernier

Pas mieux qu'@Eric Plontz, ou en faisant du Tethering, mais il risque d'y avoir un autre problème... celle de ne pas avoir une adresse IP fixe !

Pour ceux qui ne veulent pas ou ne peuvent pas basculer sous DSM 7.2.2 1. DSM 7.2.1 update 7 Amélioration : Ajout de la prise en charge de la vérification des certificats des serveurs LDAP lors de la connexion à un annuaire : La vérification des certificats pour C2 Identity Edge Server n’est pas prise en charge. Cette configuration ne peut pas être sauvegardée dans la sauvegarde du système DSM ou dans Hyper Backup. Non indiqué mais corrige la faille sous la référence Synology-SA-25:01. 2. DSM 7.1.1 update 8 Amélioration : Ajout de la prise en charge de la vérification des certificats des serveurs LDAP lors de la connexion à un annuaire : La vérification des certificats pour C2 Identity Edge Server n’est pas prise en charge. Cette configuration ne peut pas être sauvegardée dans la sauvegarde du système DSM ou dans Hyper Backup. Problèmes corrigés : Le système pouvait afficher un statut incorrect dans les paramètres de notification par e-mail. Certains paquets ne s’affichaient pas après l’installation. Non indiqué mais corrige la faille sous la référence Synology-SA-25:01. 3. Liens Synology-SA-25:01 DSM (PWN2OWN 2024) => https://www.synology.com/en-us/security/advisory/Synology_SA_25_01 Centre de téléchargement => https://www.synology.com/fr-fr/support/download Archives officielles => https://archive.synology.com/download/Os/DSM/

Merci @PiwiLAbruti, c'est corrigé !

Version: 7.2.2-72806 Update 3 Important Update (2025-02-04) Important notes Your Synology NAS may not notify you of this DSM update because of the following reasons. If you want to update your DSM to this version now, please click here to update it manually. The update is not available in your region yet. The update is expected to be available for all regions within the next few days, although the time of release in each region may vary slightly. Your DSM is working fine without having to update. The system evaluates service statuses and system settings to determine whether it needs to update to this version. This update will restart the device. What's New Added support for verifying LDAP server certificates when joining a directory. The following limitations apply: Certificate verification for C2 Identity Edge Server is not supported. This configuration cannot be backed up in DSM system configuration backup or Hyper Backup Entire System Backup. Fixed Issues Fixed a security vulnerabilities (Synology-SA-25:01). Remarques : This version is released in a staged rollout. Lien vers la note de version => https://www.synology.com/fr-fr/releaseNote/DSM?os=DSM&version=7.2 Lien vers le centre de téléchargement => https://www.synology.com/fr-fr/support/download Lien vers les archives => https://archive.synology.com/download/Os/DSM/7.2.2-72806-3 Lien vers l'avertissement de sécurité => https://www.synology.com/fr-fr/security/advisory/Synology_SA_25_01