.Shad.

@Lelolo moi je tourne sous Jeedom, j'avoue que dans le principe c'est moins moderne et plug & play que HA, mais je trouve que l'interface graphique est un peu plus personnalisable. Faudrait que je réessaie à l'occasion.

Bienvenue parmi nous !

Bienvenue parmi nous !

Bienvenue parmi nous @Guigui 42 Si je puis me permettre lance-toi en tant que diététicien 😄

Une NVIDIA Shield par exemple pour décoder les formats de film sans encombre.

Essaie de définir le niveau de compatibilité dans Panneau de configuration -> Sécurité -> Avancé sur "Intermédiaire" s'il est sur "Moderne"

NAS distant = NAS cible Je ne sais pas comment tu as configuré tes NAS, si ton NAS "cible" a son port 6281 bloqué pour le NAS "source", ça ne marchera jamais.

@GB Informatics Pour te connecter à ta box, il faut avoir auparavant avoir coché : Et choisi dans "Paramètres généraux" quelle interface verra son sous-réseau routé. De là tu pourras accéder à ta box via son IP (ou enregistrement local de ta zone DNS pour vue VPN). Il me semble que je t'avais dit que l'adressage NetBIOS (ce que tu appelles nom_du_nas ne traverse pas le VPN), en tout cas quand je l'avais testé à l'époque, et ce quelque soit le client que tu décides d'utiliser.

Tu as créé précédemment une zone locale en lan.local, donc déjà tu peux taper http://dsm.lan.local:5000 ou https://dsm.lan.local:5001, cela dit tu auras toujours un avertissement car seul un certificat auto-signé peut être délivré pour un domaine en .local, si tu veux te passer de cette limitation tu peux utiliser le domaine mis gracieusement à disposition par Synology ou acheter ton propre domaine, c'est l'affaire de quelques euros par an. Je comprends pas ton histoire d'OpenVPN GUI, la seule GUI (Graphical User Interface) disponible pour OpenVPN sur Synology c'est VPN Server.

Merci de passer par la case Présentation avant de poser tes questions. 🙂 Le port 6281 du NAS distant doit être accessible, et Hyper Backup Vault installé sur ce NAS.

Ce n'est pas parce que la solution est ancienne qu'elle n'est plus valable, as-tu essayé de la mettre en oeuvre ? Sinon en fouillant un peu dans les fichiers de configuration de VPN Server via le terminal : sudo systemctl status pkg-VPNCenter-openvpn-server.service ● pkg-VPNCenter-openvpn-server.service - OpenVPN server of VPN Server package Loaded: loaded (/usr/local/lib/systemd/system/pkg-VPNCenter-openvpn-server.service; static; vendor preset: disabled) Active: active (running) since Fri 2023-07-21 19:59:59 CEST; 53min ago Main PID: 13750 (openvpn) Memory: 2.9M CGroup: /system.slice/pkg-VPNCenter-openvpn-server.service ├─13750 /var/packages/VPNCenter/target/sbin/openvpn --cd /usr/syno/etc/packages/VPNCenter/openvpn --config openvpn.conf --writepid /var/run/ovpn_server.pid ├─13755 /var/packages/VPNCenter/target/sbin/openvpn --cd /usr/syno/etc/packages/VPNCenter/openvpn --config openvpn.conf --writepid /var/run/ovpn_server.pid └─13756 /var/packages/VPNCenter/target/sbin/openvpn --cd /usr/syno/etc/packages/VPNCenter/openvpn --config openvpn.conf --writepid /var/run/ovpn_server.pid Jul 21 19:59:59 GARRUS openvpn[13750]: 2023-07-21 19:59:59 net_iface_up: set tun0 up Jul 21 19:59:59 GARRUS openvpn[13750]: 2023-07-21 19:59:59 net_addr_ptp_v4_add: 10.8.0.1 peer 10.8.0.2 dev tun0 Jul 21 19:59:59 GARRUS openvpn[13750]: 2023-07-21 19:59:59 net_route_v4_add: 10.8.0.0/24 via 10.8.0.2 dev [NULL] table 0 metric -1 Jul 21 19:59:59 GARRUS openvpn[13750]: 2023-07-21 19:59:59 Socket Buffers: R=[212992->212992] S=[212992->212992] Jul 21 19:59:59 GARRUS openvpn[13750]: 2023-07-21 19:59:59 setsockopt(IPV6_V6ONLY=0) Jul 21 19:59:59 GARRUS openvpn[13750]: 2023-07-21 19:59:59 UDPv6 link local (bound): [AF_INET6][undef]:1194 Jul 21 19:59:59 GARRUS openvpn[13750]: 2023-07-21 19:59:59 UDPv6 link remote: [AF_UNSPEC] Jul 21 19:59:59 GARRUS openvpn[13750]: 2023-07-21 19:59:59 MULTI: multi_init called, r=256 v=256 Jul 21 19:59:59 GARRUS openvpn[13750]: 2023-07-21 19:59:59 IFCONFIG POOL IPv4: base=10.8.0.4 size=62 Jul 21 19:59:59 GARRUS openvpn[13750]: 2023-07-21 19:59:59 Initialization Sequence Completed On voit que le service systemd execute le fichier openvpn.conf se trouvant dans /usr/syno/etc/packages/VPNCenter/openvpn, dans ce même dossier on trouve un fichier openvpn.conf.user.sample tout bien commenté, avec deux passages intéressants : # Maintain a record of client <-> virtual IP address # associations in this file. If OpenVPN goes down or # is restarted, reconnecting clients can be assigned # the same virtual IP address from the pool that was # previously assigned. ifconfig-pool-persist ipp.txt et # EXAMPLE: Suppose you want to give # Thelonious a fixed VPN IP address of 10.9.0.1. # First uncomment out these lines: ;client-config-dir ccd ;route 10.9.0.0 255.255.255.252 # Then add this line to ccd/Thelonious: # ifconfig-push 10.9.0.1 10.9.0.2 La première méthode me semble peut-être suffisante dans ton cas, à vérifier, il te suffirait simplement d'éditer via le terminal le fichier openvpn.conf et d'ajouter : ifconfig-pool-persist ipp.txt à la suite des options existantes. Puis de redémarrer OpenVPN : sudo systemctl restart pkg-VPNCenter-openvpn-server.service ou simplement arrêter et relancer VPN Server depuis le centre de paquets. Pour diverses raisons que je peux développer si ça t'intéresse, il me semble nécessaire que chaque NAS distant ait son propre utilisateur dédié (sur le serveur) pour se connecter au serveur VPN. La deuxième solution, avec le dossier ccd à créer, sera à privilégier si la première ne donne aucun résultat, voyons déjà ce que ça donne avec celle-ci. Ah, je pense que la modification manuelle ne survivra pas à une mise à jour du paquet, il sera toujours temps de faire un petit script qui ajoutera la ligne voulue au fichier en cas de besoin. Tu peux dans un premier temps vérifier si ça survit à un redémarrage du NAS. 😉

Ca n'a rien à voir. Si le nom d'hôte ne fonctionnait pas, il ne dirait pas que le certificat n'est pas valide. Est-ce que tu as redirigé les ports dont tu as besoin sur ta box vers le routeur et sur le routeur vers le NAS ? Pour le certificat, il faut créer un certificat Let's Encrypt depuis DSM pour ton DDNS.

Le tutoriel dont tu as fourni le lien ne permet en rien de mettre en place une interface pour OpenVPN. Uniquement un serveur OpenVPN headless. Tu as déjà une interface via VPN server, quelles fonctionnalités te manquent-ils ?

A ma connaissance le fail2ban ne s'applique pas à OpenVPN, donc l'IP ne sera a priori jamais bloquée. Concernant la mise à jour, quelle était la mise à jour précédente que tu utilisais ? il pourrait être bénéfique de refaire un export du fichier de configuration vers le client.

Ah oui j'ai lu en diagonale 🙂 Prévois quand même une sauvegarde hors site ou dans le cloud. 😉

Pas tout compris à ce que tu as fait, mais tant que ça fonctionne 👌

Ok donc a priori la solution évoquée par @Lelolo est la plus adaptée. En terme de connectivité, il faudra penser à : Translater le port choisi pour Rsync sur la box où se trouve NAS 1 vers celui-ci Régler le pare-feu de NAS 1 pour autoriser uniquement comme IP source l'IP publique de NAS 2, si tu as la chance d'avoir une IP fixe Si IP dynamique, limiter au maximum la surface d'exposition et avoir des mots de passe suffisamment robustes, idéalement un VPN site-à-site serait un gros gain de sécurité

Salut @goudurix Tu ne peux pas facilement utiliser le certificat de ton serveur mail pour ton proxy inversé, et surtout je n'en vois pas l'intérêt, il te suffit de créer un autre certificat pour ton domaine depuis le NAS et associer tes entrées de proxy inversé à celui-ci dans Panneau de configuration -> Sécurité -> Certificat -> Paramètres.

Salut @Julien Dussart Deux questions : Quel est le système de fichiers que tu utilises ? ext4 ? BTRFS ? Est-ce que tu utilises Synology Drive ?

Ok donc mon intuition était bonne, il y a bien plusieurs /64 qui sont tirés du préfixe initial, sûrement un /56 ou approchant. Par contre je vois que ton pare-feu IPv6 est désactivé ? est-ce qu'il est bien activé au niveau du routeur ?

@j0ffr37 Tu exécutes la commande dans le conteneur depuis l'hôte via le terminal : docker exec -it adguard ping -6 ipv6.google.com où "adguard" est le nom du conteneur Adguard. Quelque chose me chiffonne dans ton histoire de second préfixe, a priori tu ne reçois qu'un préfixe de ton FAI, mais celui-ci a une certaine taille, par exemple /52 ou /56. Parmi ce pool de réseaux, ton routeur va choisir par exemple un /64. Probablement que ton player utilise à lui seul son propre /64. Mais du coup je n'ai plus tout en tête, ça fonctionne ou pas ? 😄

Il n'y a pas besoin d'utiliser le fichier host si on a un serveur DNS local. Ca marche localement si le domaine est distribué par ton serveur DHCP. _________________________ Il y a peut-être un problème au niveau du CNAME de l'enregistrement du NS, essaie ainsi : lan.local NS ns.lan.local lan.local A 172.16.X.X ns.lan.local A 172.16.X.X dsm.lan.local CNAME lan.local Et pour l'autre zone (son nom n'a pas d'importance) : lan.local NS ns.lan.local lan.local A 10.0.8.1 ns.lan.local A 10.0.8.1 dsm.lan.local CNAME lan.local Pour vérifier que ça marche localement, assure-toi que c'est bien l'IP du NAS qui est spécifiée comme serveur DNS par le serveur DHCP de ton réseau. Et tu n'as qu'à faire depuis un PC dans une invit de commande un : nslookup dsm.lan.local Si c'est bien le NAS qui répond et renvoie sa propre IP, c'est ok localement. En VPN, il te suffit de te connecter via le point d'accès Wifi d'un téléphone en 4G pour simuler une connexion distante, assure-toi que dans ton ovpn tu aies spécifié : dhcp-option DNS 10.0.8.1 Tu peux faire la même vérification que précédemment en ligne de commande, c'est le NAS qui te doit te répondre aussi mais avec son IP de serveur VPN 10.0.8.1, et renvoyer cette même IP pour dsm.lan.local, à partir de là sur le papier tu peux joindre tes lecteurs réseaux avec le même FQDN quelque soit ta connectivité.

Si tu as suivi la tutoriel sur la sécurisation de ton NAS, tu as normalement désactivé le compte "admin" par défaut et créé un autre compte avec droits d'administrateurs. Ca indique visiblement aussi que ton NAS est ouvert sur l'extérieur, comment est-il exposé ?

Bienvenue, je confirme il y a tout ce qu'il faut sur ce tutoriel, même s'il est initialement prévu pour DSM 6.

Pas forcément l'IP de la box, tu peux mettre des DNS publiques comme ceux de Cloudflare, ceux de Quad9, de Google, ou de la FdN : 80.67.169.12 et 80.67.169.40 Probablement, mais utiliser le nom de serveur n'est plus forcément intéressant si tu as un serveur DNS local non ? A toi de voir, moi je le ferais dans les vues, mais je ne suis pas sûr qu'il y a un consensus là-dessus. Tes zones me paraissent ok, ainsi pour tes montages SMB si tu utilises //ds218.lan.local/dossier_partage ça fonctionnera que tu sois en lan ou connecté via le serveur VPN.