[Mise à jour 7.2-64570 Update 3 depuis la version 7.1.1-42962 Update 6]

Ok merci pour votre retour je vais migrer ce week-end.

[Mise à jour 7.2-64570 Update 3 depuis la version 7.1.1-42962 Update 6]

Bonjour,

 

Je suis actuellement sous la version 7.1.1-42962 Update 6 sur un Synology DS920.

Je retarde depuis un bout de temps le passage à la version 7.2-64570 Update 3 par peur d'un soucis avec des conteneurs docker existants.

J'ai pas mal de conteneurs docker (SWAG, AUTHELIA, PLEX, PORTAINER, ...) et j'ai peur que tous ces conteneurs migrent mal.

Pour ceux qui ont fait la mise à jour et qui avaient des conteneurs docker,

 cela s'est-il bien passé sans encombres ?

A-t-il fallu reconfigurer tous les conteneurs ou tout s'est passé de manière transparente ?

Merci d'avance.

[[TUTO] [Docker] Authelia : serveur d'authentification]

Effectivement c'est dommage, mais bon  ca reste gratuit. Je verrai pour tester. Pour l'instant ca fonctionne en TOTP mais j'y jetterai un oeil pour la mise en place pour tester.

[[TUTO] [Docker] Authelia : serveur d'authentification]

@.Shad. Ce n'est pas payant DuoAPI ?

[[TUTO] [Docker] Authelia : serveur d'authentification]

Bonjour,

 

Quelqu'un a essayé de mettre authelia pour accéder à bitwarden ?

J'ai une erreur  sur l'extension chrome et mon aplli android se ferme.

Y-a-t-il des paramètres spéciaux à mettre dans le fichier bitwarden.subdomain.conf dans SWAG ?

 

EDIT :

Du coup, j'ai finalement activé le code TOTP directement dans bitwarden pour éviter tous les soucis ...

[Modifier fs.inotify.max_user_watches dans un conteneur (syncthing en l'occurence)]

Cette valeur c'est la suggestion officielle de syncthing, je l'ai bêtement appliquée.

En fait c'est dans la FAQ inotify syncthing.

Mais je vais regarder de plus près. Effectivement ce n'est pas un multiple de 32768 ...

[Modifier fs.inotify.max_user_watches dans un conteneur (syncthing en l'occurence)]

Effectivement syncthing est un peu une usine à gaz. Je voulais essayer autre chose ... je risque de revenir vers un bête rsync.

J'ai dû mettre fs.inotify.max_user_watches=204800.

Merci @Einsteiniumpour les conseils.

[Modifier fs.inotify.max_user_watches dans un conteneur (syncthing en l'occurence)]

 

@Einsteinium

Donc si je comprends bien c'est directement dans le système du NAS ? J'avais lu des remarques allant dans ce sens mais sur des forum anglais et pas forcément lié à un NAS mais plutôt un serveur. Du coup je ne voulais pas faire de boulettes sur mon système.

En passant ce n'est pas pour plex mais pour Syncthing.

[Modifier fs.inotify.max_user_watches dans un conteneur (syncthing en l'occurence)]

@.Shad. A priori non, je viens de checker ou je n'ai pas les yeux en face des trous lol

[Modifier fs.inotify.max_user_watches dans un conteneur (syncthing en l'occurence)]

Bonjour,

J'ai un un conteneur syncthing qui me demande d'augmenter la limite inotify.

J'ai essayé via la console du container dans portainer une commande du style :

echo fs.inotify.max_user_watches=131072 >> /etc/sysctl.conf
sysctl -p

mais celà me retourne que cette key est Read Only. Existe-t-il une autre solution?

[[TUTO] Certificat SSL & reverse proxy via Docker]

Bon finalement tout est OK à savoir :

* SWAG en macvlan

* Authelia en macvlan

* Adguard home en macvlan

J'aurais mieux fait de le faire en macvlan dès le début. Il ne me reste plus qu'à configurer fail2ban et ce sera terminé.

Un grand merci à @.shad. pour ses tutos et sa patience.

EDIT :

Il faut désactiver authelia pour les applis synology ANDROID sinon celà ne fonctionne pas. Pas de soucis pour les versions web bien entendu. On pouvait s'y attendre.

[[TUTO] Certificat SSL & reverse proxy via Docker]

Alors tout commence à fonctionner pour SWAG et Authelia. J'ai pas mal de redirections (plus de 20).

Mais j'ai forcément perdu le DNS zone locale. Je suppose qu'il faudra le faire pointer vers l'IP de SWAG pour le reverse proxy ?

[[TUTO] Certificat SSL & reverse proxy via Docker]

@.Shad.

Bonjour,

Du coup j'ai abandonné avec le Pi3 car impossible de faire fonctionner authelia. Je suis reparti sur un SWAG en mac_vlan.

Pour authelia, je l'ai mis dans le même mac_vlan plutôt que de le mettre dans un réseau bridge, ca m'a semblé plus sympa pour moi au niveau des IP (c'est peut-être idiot). Je suis en train d'implémenter les différents services proxy et pour l'instant ca fonctionne ... suite au prochain épisode.

Il ne me restera plus qu'à mettre adguard home.

N.B. : j'ai abandonné la solution PI3 car dans le thread authelia une autre personne a rencontré les mêmes problèmes que moi à savoir le proxy fonctionne sans authelia mais pas avec ... c'est étrange tout de même.

[[TUTO] [Docker] Authelia : serveur d'authentification]

@Swagme Bonsoir, avez-vous réussi finalement avec authelia sur le PI ? J'ai exactement les mêmes problèmes. Le reverse proxy (SWAG) fonctionne sans authelia. Dès que j'active authelia, erreur 500 ...

J'ai déjà installé SWAG et authelia sur un serveur distant et je n'ai rencontré aucun problème.

[[TUTO] [Docker] Authelia : serveur d'authentification]

Je vais tout reprendre au calme demain matin. Ca fait 3 install différentes et sur le serveur distant authelia a marché du premier coup. Sur le Pi le reverse proxy fonctionne, le filtra IP fonctionne mais c'est authelia qui ne fonctionne pas. Faudrait que je passe les logs en debug ...

[[TUTO] [Docker] Authelia : serveur d'authentification]

Comme j'ai des soucis avec l'installation en local sur le PI3 je me suis dit qu'il y avait peut-être une limite.

Je vais tout reprendre une nouvelle fois.

Désolé du dérangement.

[[TUTO] [Docker] Authelia : serveur d'authentification]

 

@.Shad.

Bon alors c'est mort car j'ai mon NAS et un serveur distant avec 2 noms de domaine différents.

Je voulais mettre authelia sur mon nas et sur mon serveur distant avec chacun un nom de domaine (pour les certificats).

[[TUTO] [Docker] Authelia : serveur d'authentification]

Bonsoir,

Peut on avoir 2 domaines différents sur 2 machines différentes pas dans le même réseau avec AUTHELIA ?

J'ai des soucis pour configurer une deuxième machine ...

[[TUTO] Certificat SSL & reverse proxy via Docker]

OK merci je commence à installer le pi avec Docker. Pour moi l'intérêt de SWAG c'est le couplage avec authelia qui permet de rajouter une protection sur des services non protégés (par exemple un filezilla en docker). Le SFTP avec Synology c'est la misère. Le montage distant en SFTP ne fonctionne pas sur les gros répertoires et DSDownload ne gère pas le SFTP.

il y a 2 minutes, MilesTEG1 a dit :

@.Shad. J'ai pas tout suivi... il est question de quoi avec AdGuard Home ?

Bonjour,

 

Juste une question pour contourner des problèmes de loopback. Actuellement j'utilise DNS Server sur mon NAS avec des enregistrements pour avoir les mêmes adresses à l'intérieur et à l'extérieur de mon réseau local.

Si je mets Adguard sur un PI avec SWAG et Authelia, il deviendra mon serveur DNS et je serai obligé de supprimer mes enregistrements sur DNS Server de mon NAS.

La question est que peut-être Adguard home peut le faire ? (comme PiHole je crois ...).

[[TUTO] Certificat SSL & reverse proxy via Docker]

Oui ce que je trouve intéressant dans docker c'est que c'est très facile de revenir en arrière, on ne pollue rien.

Pour les enregistrements sur adguard, je ne sais pas. Je crois que c'est sur PiHole si je me souviens bien des tutos.

Swag et authelia existent sur ARM. Adguard aussi je crois l'avoir trouvé.

Je crois que je vais tenter cette approche.

Sinon de mémoire, j'ai eu un soucis avec les API OVH et avec SWAG et pour le serveur et pour le NAS.

GET /domain/zone/
GET: /domain/zone/ndd.ovh/
GET /domain/zone/ndd.ovh/status
GET /domain/zone/ndd.ovh/record
GET /domain/zone/ndd.ovh/record/*
POST /domain/zone/ndd.ovh/record
POST /domain/zone/ndd.ovh/refresh
DELETE /domain/zone/ndd.ovh/record/*

J' ai été obligé de mettre sinon ca ne fonctionnait pas :

GET /domain/zone/*
POST /domain/zone/*
DELETE /domain/zone/*

Pourtant j'avais déjà utilisé des clés API (une autre clé) avec les noms de domaines renseignés pour le tuto de Einsteinium Certificats avec acme.

[[TUTO] Certificat SSL & reverse proxy via Docker]

il y a 4 minutes, .Shad. a dit :

Ma suggestion était de mettre juste SWAG, mais rien ne t'empêche de mettre Adguard aussi. DNS Server tu vas avoir du mal c'est un paquet DSM. Ca consomme rien ces applications là, les données ne transiteront pas par le PI non plus.

OK je suppose qu'il faut les installer sous docker ?

Oui je sais que DNS server est un paquet DSM, c'est un abus de langage car je ne sais pas ce qui serait équivalent soit sous docker soit sous raspbian.

Désolé avec mes questions de débutant qui polluent ce topic.

[[TUTO] Certificat SSL & reverse proxy via Docker]

Désolé pour les mauvais termes, ca fait plusieurs jours que je lis tout un tas de tutos et je m'emmêle les crayons à force lol.

Oui j'ai un pi3 de côté ... je pensais mettre adguard dessus pour éviter de polluer le NAS mais je ne sais pas comment configurer ensuite le serveur DNS (DNSmasq je crois) pour faire mon loopback. Je réfléchis. L'idée serait de mettre SWAG + ADGUARD + DNS server sur un PI en docker ? Ca ne va pas charger la mule ? Le port ethernet bridé sur le Pi3 ne vas pas poser des problèmes de débit ?

Il y a 1 heure, .Shad. a dit :

https://subdomain.ndd.tld:4443 en interne

Si je garde le proxy interne du nas, pas besoin de mettre le 4443, je peux garder le 443 non ?

Je suis en train d'essayer en ce moment.

 

EDIT : ca ne fonctionne pas ... je n'arrive pas à savoir d'où vient le problème.

Authelia semble ne pas fonctionner. Si je tape https://authelia.ndd.com depuis l'extérieur, j'arrive à un timeout. J'ai même essayé de rentrer en dur les adresses et les ports de authelia dans authelia-server.conf et authelia-sudomain.conf

[[TUTO] Certificat SSL & reverse proxy via Docker]

Oui en accès distant et en local.

Actuellement je me pose pleins de questions.

Je voudrais éviter le macvlan.

Je précise que j'ai actuellement le reverse proxy de mon NAS qui est configuré pour les différents services, un serveur DNS qui me permet d'aller localement sur mes services via des enregistrements de ressources sur mon DS920 via DNS Server. Les ports 80 443 sont redirigés vers le NAS DS920.

Si j'installe SWAG en mode bridge avec 4443:443 et 4080:80. Je redirige mes ports du routeur 443 vers 4043 IP du NAS et 80 vers 4080 IP du NAS. Je paramètres mes services avec SWAG+authelia car je sais que je viendrais forcément de l'extérieur. En revanche je garde ma zone DNS avec des enregistrements de ressources qui pointent sur l'IP du NAS et je garde le reverse proxy du syno actif juste pour le local. Je ne sais pas ce qu'il y aurait comme inconvénients à part rentrer 2 fois mes services proxyfiés ... Peut-être le HSTS ou les certificats qui vont bugguer ?

Si j'installe SWAG en MAC VLAN donc j'aurai une instance SWAG en 80:80 et 443:443 sur une IP virtuelle. Mon router redirige les ports 443 et 80 vers l'IP virtuelle de SWAG. Je paramètre mes services avec SWAG et/ou authelia en fonction du réseau d'origine. Par contre pour mon loopback via les DNS, il faudra que je change mon enregistrement A pour le faire pointer vers l'IP virtuelle MAC VLAN au lieu de mon NAS actuellement pour passer par le proxy je suppose ? Je pourrai supprimer le reverse proxy interne.

J'avoue que je ne connais les inconvénients et avantages des 2 solutions ... Je pense que la première est moins propre ?

Pour les 2 solutions j'avoue que je ne sais pas comment vont se comporter les appli android SYNOLOGY depuis le réseau local ou depuis le WAN. Je pense qu'il ne faudra pas activer AUTHELIA sur les services SYNOLOGY (download station et file station par exemple) ? Et quid de AUTHELIA avec bitwarden via les plugin de navigateur si on active authelia ?

Je crois que je commence à me faire des nœuds au cerveau où il n'y a peut-être pas besoin de s'en faire ...

[[TUTO] Certificat SSL & reverse proxy via Docker]

Bon je vais essayer de le mettre sur mon DS920. Comment se passe la connexion des applis android via NGINX ?

On est obligé d'ouvrir des ports supplémentaires car l'api ne peut pas passer via le proxy ?

[[TUTO] [Docker] Authelia : serveur d'authentification]

@.Shad.

Du coup c'était un problème de droits, il était en -rw-r-----, maintenant il est bien en -rw-rw----.

Par contre, une fois authelia lancé, le répertoire cong et tout ce qui est en dessous est en root:root chez moi. C'est authelia qui change l'appartenance.

C'est pareil chez vous ?

C'est vrai qu'il n'y a pas de UID et de GID dans le docker compose.

EDIT :

Le fait de passer de lax à strict ne change rien ... ce n'est pas grave.