.Shad.

Si tu arrives à faire des sauvegardes à distance via partage de connexion 4G, sans te connecter au serveur VPN, c'est que tu as autorisé toutes les sources à accéder à ABB. Pourquoi ne pas limiter aux IP locales ? Comme ça c'est ok pour les périphériques en filaire, en wifi sur le local, et en wifi à distance avec le VPN activé. Et ce sera NOK pour les IP publiques distantes.

Bienvenue parmi nous !

Le nom QuickConnect n'est valable qu'avec les applications Synology. Le client WebDAV n'en est pas une. Il faut effectivement juste utiliser l'IP si celle-ci est fixe ou le DDNS si l'IP est dynamique (ou fixe, ça marche aussi). Un petit tour sur ce tutoriel pourrait t'aider : https://www.nas-forum.com/forum/topic/75952-tout-ce-que-vous-avez-toujours-voulu-savoir-sur-les-réseaux-sans-jamais-oser-le-demander/

@j0ffr37 Désolé j'avais mal compris, je croyais que tu parlais de route statique. C'est bizarre en effet. Tu dis que tu as bien tes 30Mo/s en upload (ce qui est un peu faible pour du 700 Mbps je trouve si tu es en filaire) vers C2, mais est-ce bien le cas depuis les deux NAS ? Il doit sûrement y avoir un goulot d'étranglement quelque part sur un des deux réseaux. Certains protocoles sont moins optimisés pour du transfert distant, mais pas de là à diviser le débit par trois.

Si les périphériques se joignent par IP publique, quel besoin d'avoir des règles de routage ?

@sebdepringy Tu peux vérifier que ça correspond à ce que tu veux dans un fichier de configuration Nginx, ça se trouve dans : /etc/nginx/sites-enabled/server.ReverseProxy.conf Par exemple j'ai créé une entrée bidon dans mon proxy inversé en ajoutant dans l'interface où tu as mis tes entêtes : X-Content-Type-Options nosnif Ca donne : server { listen 80; listen [::]:80; server_name toto.xxx.ovh ; if ( $host !~ "(^toto.xxx.ovh$)" ) { return 404; } proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; location / { proxy_connect_timeout 60; proxy_read_timeout 60; proxy_send_timeout 60; proxy_intercept_errors off; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; proxy_set_header X-Content-Type-Options nosnif; proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_pass http://localhost:5124; } location ^~ /.well-known/acme-challenge { root /var/lib/letsencrypt; default_type text/plain; } error_page 403 404 500 502 503 504 /dsm_error_page; location /dsm_error_page { internal; root /usr/syno/share/nginx; rewrite (.*) /error.html break; allow all; } } Il apparaît bien dans la liste des entêtes.

Comment sont reliés les NAS ? VPN site-à-site ? Ou ils se contactent via leur IP publique ?

Bienvenue !

La question est de savoir s'il utilise les fonctionnalités du dossier home à savoir être la cible de sauvegarde des photos via Synology Photos par exemple. Si pas, alors comme @Mic13710 l'a suggéré, il peut avoir un dossier partagé chiffré qui lui est attribué. Si seul l'utilisateur connaît le mot de passe, l'administrateur ne pourra rien faire d'autre que supprimer les données, mais jamais les consulter. Après pour des questions de praticité, s'il n'a pas confiance alors oui, un cloud externe serait plus adéquat.

Bienvenue parmi nous ! Tu es au bon endroit 🙂

Si le test long bloque à 90%, possible que ton disque soit en fin de vie (pour une utilisation dans un NAS j'entends). Wait & see.

Non ce qu'il dit c'est que ce genre de justification est idiote, on dirait un adolescent qui explique à ses parents qu'il a besoin de la toute dernière tablette 12" 250Hz 16Go RAM pour prendre des notes en cours. Que tu en aies envie par contre, c'est tout à fait compréhensible, on est adulte (je pense ?) et on a au moins l'avantage d'avoir la liberté d'acheter ce qu'on veut. 😉

@adelac Je n'ai rien compris. Je ne vois rien dans le tutoriel en question qui recomande d'ouvrir un autre port que celui de Mediawiki. Pour une fois il n'est même pas trop à la ramasse vu qu'il n'ouvre aucun port pour la base de donnée. Bon en revanche par après il indique "mediawiki-db" comme hostname pour sa base de données, et il a appelé son conteneur MediaWiki, donc ça ne fonctionnera pas. Le seul port que tu as besoin d'ouvrir c'est le port du NAS que tu as choisi pour être NATé sur le port 80 (EDIT : Correction, j'avais écrit port 8 ) du conteneur. De manière générale, je t'invite à te passer de tous ces tutoriels, surtout les siens. Au vu de la doc, Mediawiki fait partie des images faciles à déployer. Une lecture approfondie de mon tutoriel devrait permettre de te dépatouiller seul :

Welcome !

Tu ajoutes le pays voulu à la règle existante qui autorise la France. 🙂

Tu ne choisis pas le port sortant, uniquement le port entrant. C'est la plage que tu as choisie dans la première impression d'écran pour le protocole BitTorrent classique. Le port DHT c'est pour trouver des clients pour le torrents sans tracker, à ouvrir aussi dans le pare-feu et rediriger au niveau de ta box si tu télécharges des torrents sans tracker.

Heu non c'est bien le but d'utiliser le ndd Synology pour accéder à ton réseau. Tu peux faire des impressions d'écran de ton onglet Certificats, des associations de certificats avec les applications et de tes entrées de proxy inversé ?

Non, la règle des 10.x.x.x ne concerne que les clients déjà connectés en VPN. Pour te connecter depuis l'Allemagne par exemple, tu dois ajouter ce pays à la ligne avec le port 1194.

Bienvenue parmi nous ! Sain raisonnement que voilà ! 👌

Bien tenté mais nop 🙂 j'ai vraiment rien à apporter sur ce sujet, leur doc est parfaite, et Google Trad fait le travail pour les allergiques à la langue de Shakespeare. Au vu du temps qu'un tutoriel nécessite pour le rédiger correctement, je le réserve pour ce qui je trouve n'est pas suffisamment développé par ailleurs, sinon à quoi bon redire ce que d'autres ont déjà dit ? 😉 Et si c'est pour faire des tutoriels à la Mariushosting, je passe mon tour. 😄 😄 J'ai deux tutos sur le feu que je développerai quand quelques petits bugs gênants auront été corrigés. 🙂

Donc ton problème c'est l'obtention du certificat, je n'étais pas sûr d'avoir bien compris. Si c'est un domaine acheté, alors le seul moyen de renouveler son certificat est de renseigner le domaine, le mail et les sous-domaines lors de la demande de création : domaine : ndd.tld mail : toto@ndd.tld alias : vaultwarden.ndd.tld, nextcloud.ndd.tld, etc... L'obtention du certificat nécessite que les ports 80 et 443 de ton NAS soient ouverts au monde entier lors du renouvellement, et que ces deux ports soient correctement redirigés depuis ta box vers ton NAS. Avec un domaine Synology c'est différent, tu peux demander un certificat wildcard, comprendre joker, qui est valable pour tous les sous-domaines possibles : *.xxx.synology.me, ça ressemblera à ça : domaine : xxx.synology.me mail : toto@gmail.com alias : *.xxx.synology.me Pour ce type de certificat, la vérification par LE se fait au niveau de la zone DNS, donc celle de Synology sur un site distant, tu n'as donc par conséquent pas besoin d'ouvrir le port 80, et tu peux réduire la surface d'exposition du port 443. A savoir que nativement sur DSM, tu ne peux pas obtenir de certificat wildcard pour un ndd autre que Synology, mais tu peux utiliser le tutoriel suivant pour y parvenir : A ta place, dans un premier temps, j'essaierais déjà d'obtenir un certificat wildcard pour ton domaine Synology, et l'associer à ton entrée de proxy inversé pour Vaultwarden. Tu auras déjà quelque chose de fonctionnel. Après tu pourras prendre le temps qu'il faut pour déployer la méthode qui te convient le plus.

@MilesTEG1 Le meilleur tutoriel est là : https://borgbackup.readthedocs.io/en/stable/installation.html, en suivant dans l'ordre des catégories. C'est hyper simple à suivre. Je ne pourrais pas mieux l'expliquer. @oracle7 Cool, il faudra que tu vérifies quand même lors des mises à jour si tes modifications sont persistantes. Parce que là tu écris directement dans le fichier conf, pas dans un conf.d qui est inclus depuis un fichier maître.

Et on est d'accord que ce sont des zones répliquées qui possèdent à la fois les enregistrements IPv4 et IPv6 de ton ndd ?

J'utilise Borgbackup pour tous mes périphériques Linux. Ça marche nickel, ça gère le versioning, le chiffrement et la préservation des permissions et la propriété des fichiers.

C'est un peu HS dans la section, mais je vois que la station de surveillance d'Einsteinium y a trouvé sa place, donc pas de raison 😛 Je vends mon mini-pc Qotom acheté il y a maintenant 4 ans pour en faire un routeur pfSense, mais il fonctionne très bien aussi avec OPNSense, ainsi que toute distribution Linux/BSD. Il ne m'a jamais fait défaut durant toute sa durée d'utilisation. Je m'en sépare car j'ai upgradé vers une version avec des ports Ethernet en 2.5 Gbps et une config matérielle moins overkill pour un routeur. Prix : 230€ Facture : non Garantie : non Date d'acquisition : mi-2019 Avec ou sans disque : SSD M.2 120 GB Pays de livraison : Belgique - France Frais de livraison : Mondial Relay : 10€ (France) Bpost : 6€ (Belgique) Caractéristiques : Marque : QOTOM CPU : i3-5200U RAM : 8 GB DDR3 iGPU : Intel HD Graphics 5500 Stockage : SSD M.2 120 GB Ethernet : 4 x 1 Gbps RJ45 Intel I211 indépendants (chaque prise RJ45 est une interface autonome, on peut les bridger si on le souhaite, même si c'est rarement utilisé) Refroidissement : Fanless (totalement silencieux) AES-NI Crypto : Oui Consommation : 5-6W Connectivité : 2 x USB2 2 x USB3 1 x HDMI 1 entrée jack casque 1 entrée jack micro 1 port série type DB9 2 slots pour antenne wifi (attention, wifi et pfSense (FreeBSD) ne font pas bon ménage, aucun problème sur OPNSense en revanche, qui tourne sur une base UNIX) Matériel fourni : Le mini-pc dans sa boîte d'origine Son cordon d'alimentation Photos : Plus d'infos : Pour ceux qui ne connaissent pas les pare-feux de type pfSense/OPNSense, ce sont des soft opensource (pfSense propose aussi une version "Plus" gratuite disposant de fonctionnalités supplémentaires mais en closed source) très complets permettant de faire à peu près tout ce qu'on veut pour un prix très attractif, comparativement à des solutions plus lourdes comme Juniper, Palo Alto, Sophos, etc... Niveau fonctionnalités, en vrac : DHCPv4 / v6 Multi-WAN Firewall (évidemment) DNS Resolver Dynamic DNS VPN (IPSec, OpenVPN, Wireguard) Contrôle parental Gestion de trafic VLAN VLAN Dynamique Serveur RADIUS Serveur UPS etc... (voir leur doc, elle est très complète et accessible) Autres fonctionnalités intéressantes : Reverse proxy Gestion de certificats via ACME Bloqueur de pubs Captive portal IMPORTANT : Contrairement à certaines croyances, tout se règle via l'interface graphique. Seule la première initialisation demande de suivre un wizard sous console pour définir les adresses IP des interfaces. Une fois la web GUI accessible plus besoin, on peut y accéder à SSH si on le souhaite, même si dans les faits je n'en ai jamais eu besoin. Le gros avantage de pfSense par rapport à ses concurrents, c'est que la communauté est très active et les tutos nombreux.