.Shad.

Le plus simple reste de faire un conteneur acme.sh par nom de domaine. Si on fait de la validation de type DNS-01 évidemment (vérification faite au niveau de la zone DNS), en HTTP-01 on aura un problème de port avec plusieurs conteneurs.

@Jeff777 Attention ce n'est pas la même image dont ils parlent. 🙂

Non

Le type d'adresse n'a pas d'importance pour un renouvellement de certificat. Et on contourne très facilement le problème de changement d'adresse avec le DNS dynamique. Avoir une IP dynamique n'est pas spécialement un frein, sauf à vouloir héberger son propre serveur mail, car on est dépendant de la réputation de l'IP qu'on utilise, et on n'a aucune prise dessus.

Tu as deux options pour fixer une IP : Tu la fixes directement dans le périphérique, comme tu l'as fait, c'est de l'adressage statique. Elle est indépendante des paramètres du réseau, et tu dois configurer manuellement les champs (IP, masque, passerelle, DNS). Tu dis au serveur DHCP (qui est aussi ta passerelle ici) quelle IP est attribuée à quel périphérique, et un péiphérique est défini par son adresse MAC. C'est ce qu'on appelle faire une réservation d'IP. Aucun autre périphérique soumis au serveur DHCP ne pourra obtenir cette IP sur ton réseau, car elle est attribuée au NAS. Le gros avantage, c'est que si tu changes de plage réseau ou de box, et bien le NAS obtiendra quand même une IP (dans la plage DHCP du serveur) et sera donc joignable. Il ne te restera plus qu'à faire une réservation sur le nouveau réseau. Et le serveur DHCP s'occupe de procurer tous les paramètres de connectivité à ses clients, donc ici l'adresse de la passerelle aurait automatiquement changée. Et autre point important, tu peux tout de même utiliser les serveurs DNS de ton choix, via le menu dont tu as mis un screen plus avant.

Je n'imaginais pas que tu avais configuré en IP statique ton NAS, pas moyen de faire une réservation DHCP dans ta box ? Ca évite typiquement ce genre de problèmes, qui interviennent lors de déménagement ou de changement de FAI.

Question bête je sais, mais tu as essayé de redémarrer ta box ? Vérifier également s'il n'y a rien à modifier du côté de C2. Eventuellement, tu peux tester de réinitialiser les paramètres réseaux du NAS via la reset mode 1 : https://kb.synology.com/fr-fr/DSM/tutorial/How_to_reset_my_Synology_NAS

Avec les DNS de Quad9, que donnent les logs en SSH ? Voir dans /var/log/synolog/synobackup.log Ce sera peut-être plus verbeux.

Je ne sais pas ce que ça vaut, à tester : https://ten20four.co.uk/synology-add-multiple-ddns-entries/ sinon si ton NAS a Docker tu peux essayer une image comme ddclient chez Linuxserver. Autre possibilité, est-ce que ton routeur ou modem ne propose pas de faire un DynDNS chez OVH ? C'est souvent pour des prestataires comme No-IP et consorts, mais ça vaut la peine de vérifier.

De rien 😉

Super @Jeff777 content pour toi !

Perso malgré plusieurs tentatives je n'ai pas réussi à tromper Netflix via l'utilisation d'un vpn personnel. 😶

@PiwiLAbruti Ah et bien... ils ne sont pas à la bourre que sur le hardware alors maintenant 😞

Merci pour le site, ça va me donner l'occasion de faire quelque chose de plus propre pour ma propre installation. 🙂 Moi j'utilise des switch D-link, ils ne sont pas très chers, très fiables, et possèdent la plupart des fonctions qu'on est en droit d'attendre d'un switch administrable. L'interface est un peu datée mais pour un switch perso ça m'est égal. Notamment regarder la série des DGS-1210-... Je suis pas sûr de comprendre exactement ton besoin, pourquoi vouloir by-passer le pare-feu ? Quel est son intérêt alors ? Je pensais que ton souci était la redondance au niveau des switch ? Ce que je peux comprendre, même si c'est totalement increvable ces trucs-là, et ça plante jamais, je suis à 650j d'uptime sur mon switch principal...

@cadkey Et pourquoi ça ne change l'interface de sortie que pour Download Station ? Pourquoi pas le reste ? Je veux dire, rien n'est documenté. Toi-même tu dis que ça pose problème pour Plex, donc j'imagine que ça ne touche pas seulement Download Station.

Il s'agit de juste faire passer Download Station par le client VPN ou tout le NAS ? Parce que juste Download Station je ne pense pas que ce soit possible. D'ailleurs je trouve que DSM manque cruellement d'une option permettant de dire quels paquets de quelle application par telle ou telle interface.

Quel protocole utilises-tu pour te connecter au NAS via VLC ? DLNA ? SMB ? NFS ? AFP ?

Tu n'as pas besoin d'avoir deux réseaux différents pour tes NAS, les switch administrables incluent généralement le protocole STP (Spanning Tree). Ce qu'il te faut dans ce cas-là ce sont deux prises Ethernet sur tes NAS (ce que tu prévoyais déjà visiblement) qu'ils puissent être raccordés chacun aux deux switchs. Le protocole STP assure la tolérance de panne d'un des deux périphériques, et empêche la création de boucle entre les périphériques. Un pfSense/OPNSense ou autre permet d'à peu près tout faire, tu n'auras mal à créer des règles de pare-feu autorisant la communication d'un réseau à l'autre. Attention par contre à régler également le pare-feu de tes NAS pour autoriser les connexions qui doivent l'être. PS : Quel logiciel utilises-tu pour dessiner ton schéma réseau ? Ca m'intéresse fortement ^^

Drive ne peut passer par un proxy inversé HTTP, le NAS doit être atteint directement. Ou alors il faut un proxy TCP, comme HAProxy, mais on est sur un cran au-dessus en terme d'apprentissage. Si tu ne veux pas que le NAS soit connecté à ton serveur VPN, la solution c'est de mettre en place un VPN site-à-site, mais c'est autrement plus compliqué. Pour ton problème d'IP inatteignable, pourquoi avoir mis SWAG en macvlan sur un Rpi ? tu utilises déjà les ports 80/443 dessus ? Macvlan c'est bien quand les ports de l'hôte sont déjà occupés et pas transférables, mais c'est se compliquer inutilement la tâche si les ports sont disponibles, un simple bridge est alors bien plus facile à gérer.

Tant que tu peux le faire, oui, il ne faut pas se priver de la demander. Après, pour le cas particulier du renouvellement de certificat, tu as possibilité de demander un certificat wildcard (comprend tous les sous-domaines possibles pour ton domaine), et ça ne se fait plus au niveau local mais au niveau de ta zone DNS publique. Et donc, à moins de l'héberger toi même, tu n'as plus besoin d'ouvrir de ports.

On ne doit pas être nombreux à utiliser notre NAS en tant que serveur AD par ici, je ne sais pas si ça pourrait t'aider : https://www.synoforum.com/threads/gpo-admx-templates.1883/ PS : Si le dossier n'est pas visible dans File Station, il l'est sûrement via SSH.

@Ricola62 On parle toujours bien d'un proxy inversé intégré à ton image ? Tu pourrais, il faudrait monter le dossier où est stocké le certificat Synology sur le NAS dans ton conteneur, mais je pense que c'est se prendre la tête pour pas grand chose. Alors que tu pourrais simplement créer un conteneur dans la même stack : certbot ou acme.sh par exemple, qui gère automatiquement le renouvellement d'un certificat pour un domaine quelconque (au prix d'un domaine...). Ou intégrer la gestion du certificat dans le conteneur, ça marche aussi (c'est l'histoire de quelques paquets).

Moi j'ai ça : Est-ce que tu as jeté un oeil à ce tutoriel ? Tu as un NAS compatible, et tu pourrais exploiter les capacités de transcodage matériel de ton iGPU :

Tu as installé le paquet Advanced Media Extensions (disponible dans le centre de paquets) ?

Chez Proximus par défaut ces ports sont bloqués en entrant ( @oracle7 ce n'est bloqué que unilatéralement si c'est effectivement bloqué), on a une option pour désactiver le blocage, mais oui ça se fait moins rarement qu'on ne le pense. Aux Etats-Unis le CGNAT est légion chez certains opérateurs, beaucoup de homelabers sont obligés de recourir à un service VPN ou louer un VPS. Ou encore passent par les proxy de Cloudflare, c'est très répandu là-bas.