oracle7

@Dut Surleweb Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Pour ton soucis, tu risques de tourner en rond car manifestement tu as activé le HSTS sur ton NAS. Activer HSTS pourrait être bien car cela force à n'utiliser que le HTTPS, mais il faut savoir aussi que cela demande d'avoir un certificat valide .... Donc, le moindre problème lors du renouvellement de certificat (ou autre, et c'est ton cas présentement), et ton HTTPS n'est plus accessible (le navigateur ne te propose pas/plus de forcer le certificat). Du coup, le HSTS est une option pas du tout recommandée (voir le TUTO ReverseProxy) car c'est le navigateur qui enregistre cette information pour le site visité et il ne laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé (HSTS coché puis décoché). Si on veut forcer le https, il vaut mieux passer par le fichier .htaccess via web station comme indiqué dans le TUTO suscité. Donc pour un particulier, le HSTS est plus une source de problème qu'autre chose ... Seule solution pour supprimer l’information HSTS du navigateur, il faut vider le cache HSTS du navigateur, pour réaliser cela : Dans Chrome, taper chrome://net-internals/#hsts Entrer le nom de domaine dans le champ texte de la section "Delete domain security policies" Cliquer sur le bouton Delete Entrer le nom de domaine dans le champ texte de la section "Query HSTS" Cliquer sur le bouton Query La réponse doit être "Not found" (non trouvé) Avec Safari, commencer par fermer le navigateur Effacer le fichier ~/Library/Cookies/HSTS.plist Rouvrir Safari Avec Firefox, fermez tous les onglets Ouvrir le menu de Firefox et cliquer sur Historique / Afficher l’historique. Rechercher la page dont vous voulez supprimer les préférences HSTS Effectuer un clic droit sur une des entrées lui correspondant Choisir Oublier ce site Une fois fait cela, tu pourras te reconnecter au NAS désactiver le HSTS dans le NAS et réimporter tes fichiers de certificat comme te l'a dit @maxou56 précédemment. Cordialement oracle7😉

@kroumi et @Jeff777 Bonjour, Milles excuses, je suis confus car je viens de m'apercevoir que j'ai fait une confusion et du coup donné une mauvaise indication. Je m'explique : en examinant (bien trop vite) mes redirections j'ai confondu une redirection du type "nomDuNAS.synology.me" avec ce que j'avais en tête à savoir "nomDuNAS.ndd.fr" objet des mes précédentes explications. En fait, en essayant de reproduire l'anomalie rencontrée par @kroumi, lors de la création d'une redirection du type "nomDuNAS.ndd.fr", j'ai bien eut aussi le même blocage. Du coup retour dans l'éditeur pour vérifier on existant et là j'ai constaté que pour atteindre mon NAS je n'avais pas mise en place une redirection du type "nomDuNAS.ndd.fr" mais une du type "DSM.ndd.fr". J'explique aussi ma confusion entre "nomDuNAS.synology.me" et "nomDuNAS.ndd.fr" par le fait que ces deux redirections pointent toutes les deux vers "localhost:5000" d'où mon "aveuglement" renforcé par une lecture trop rapide des écrans. Donc au final, pour @kroumi et pour revenir à ton soucis, il te faut mettre en place une redirection du type "xxxxxx.ndd.fr:443" vers "localhost:5000" avec "xxxxxx" = un autre nom pour ton NAS (par ex "DSM" pour faire simple) que celui donné par ailleurs dans les champs domaines personnalisés. Bien évidemment, il faut le CNAME correspondant dans la zone DNS chez ton fournisseur de domaine. Encore désolé pour la perturbation et l'incompréhension que j'ai pu causer. Cordialement oracle7😉

Bonjour, @Jeff777 Je ne le penses pas car chez moi ces champs son renseignés de cette façon et je n'ai eut aucun problème pour créer la redirection en question. @kroumi Et dans "Panneau de configuration / Portail des applications / Apllications" tu n'aurais pas affecté "nomDuNAS.ndd.fr" pour le champ domaine d'une quelconque application ? Cordialement oracle7😉

@kroumi Bonjour, Bizarre cette affaire ?🤔 Question sûrement bête mais tu n'as pas déjà une autre redirection déjà de définie pour ce domaine nomDuNAS.ndd.fr ? au quel cas supprimes là ... Oui aussi. Cordialement oracle7😉

@Istaria Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Tu es sûr de ton coup ? car là je viens de les ouvrir sans problème ... Cordialement oracle7😉

@pietronet Bonjour, Par défaut avec ton NAS tu as 2 licences gratuites pour Surveillance Station. Donc 2 caméras utilisables. Sinon, sans faire le rabat joie, je n'ai jamais vu de bons plans à ce niveau. Voir ici difficile de trouver mieux ... En prenant un pack de 4 tu réduis un peu la note par rapport à l'unité. Cordialement oracle7😉

@seb46 Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Pour ton problème, cela ne risque pas de marcher car tu donnes comme @IP de connexion, une @IP locale (192.168.1.1) qui n'est en aucun cas pas accessible depuis Internet. Il te faut indiquer ton @IP externe soit celle de ta LiveBox. Donc dans le fichier le configuration ".ovpn" pour le protocole OpenVPN, il faut renseigner la ligne "remote 10.20.30.40 1194" en remplaçant 10.20.30.40 par l'@IP externe de ta LiveBox. Cordialement oracle7😉

@kroumi Bonjour, Oui c'est possible mais on utilise plutôt pour cela le Proxy inversé. Dans tout les cas lis la doc en ligne à ce sujet (cliques sur le "?" en haut à droite de la fenêtre affichant l'onglet Applications. Oui mais ce n'est pas dans la partie Application, tu crées une règle dans Proxy inversé pour ton NAS Par exemple pour un sous domaine "music.ndd.fr" afin d'accéder à l'application AudioStation : Et tu refais pareil, à l'image de music.ndd.fr, pour les autres applications en respectant bien le port HTTP dédié à chacune. C'est pas plus compliqué que cela ... Cordialement oracle7😉

@kroumi Bonjour, T'inquiètes pas dans quelques temps tu pourras reprendre cela tranquillement, digères bien toutes les nouvelles notions que tu viens d'acquérir. Cela ne sert à rien d'aller trop vite, on se perd trop facilement. De toutes façons on en apprend tous les jours un peu plus ... Cordialement oracle7😉

@kroumi Bonjour, Q1 : Oui Q2 : Oui Q3 : Oui Q4 : Oui mais ce sera sur un autre domaine, en tous cas pas sur ndd.fr ! Après je ne l'ai jamais pratiqué aussi j'aurais plus de mal à te renseigné sur ce point. En tous cas, c'est justement pour éviter ce genre de cas que l'on fait un "vrai "wilcard" LE sur le domaine ndd.fr. Q5 : Normalement non, je n'ai pas remarqué de délais pour les CNAME. Cordialement oracle7😉

@Dimebag Darrell Bonjour, Oui très certainement. Après tu dois retrouver des fonctionnalités communes Be/Fr. Sinon juste pour ton information, mais tu connais peut-être déjà cette astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@luk34680 Bonjour, Merci pour l'appréciation. Regardes bien les fonctionnalités abordées sur la LB, je suis sûr que tu trouveras aisément leurs correspondances sur ta box SFR pour transposer le TUTO à ton cas particulier. Cordialement oracle7😉

@OChaurin Bonjour, Je ne comprends pas cette double redirection pour le nas 1 dans le reverse proxy. 😟 Pas besoin de la deuxième redirection, le reverse proxy écoute déjà en permanence sur le port 443 du coup elle fait du "https" sur du "https" soit un double cryptage ... Chez moi je n'ai qu'une redirection du type (selon ta notation) : "https://nas1.synology.com:443" vers "http://@IPlocaleNas1:5000" et cela marche très bien. J'accède aussi bien en local que depuis l'extérieur à mon second NAS (ton Nas1) en passant par le premier (ton Nas2) avec un simple "nas1.synology.com" tapé dans un navigateur. Cordialement oracle7😉

@Terranon Bonjour, Quelques anomalies : C'est "proto upd" tout court en v4 et non pas "proto udp4" "remote-cert-tls server" : pour utiliser cette fonctionnalité, voir ici et as-tu généré tes certificats de serveur avec le keyUsage défini sur digitalSignature, keyEncipherment et le extendedKeyUsage à "serverAuth" C'est "cipher AES-256-CBC" et non pas "cipher BF-CBC" C'est "auth SHA512" et non pas "auth SHA1" C'est quoi "reneg-bytes 64000000" je n'ai pas trouvé dans la doc OpenVPN ? EDIT : Finalement j'ai trouvé ! Du coup pourquoi spécifier cette option si l'option "--cypher" l'est déjà ? Manque une ligne "key-direction 1" Manque une ligne "explicit-exit-notify" Au final, si j'étais toi je commencerai par faire fonctionner tout cela avec le fichier de configuration de base avant de le "bricoler" ... mais ce n'est que mon avis. PS : Vu trop tard, ta réponses @Thierry94 Cordialement oracle7😉

@Dimebag Darrell Bonjour, Pour la DMZ, pas de soucis puisque c'est le routeur qui va faire tout le travail de sécurisation si bien évidemment il est bien configuré (en tout cas il le sera toujours mieux que la LB qui réduit cela au minimum. Pour l'uPnP, tu ne l'actives que si tu utilises un décodeur TV d'orange car il est obligatoire dans ce cas pour le fonctionnement de la réception TV et comme la LB sera dans son propre sous-réseau bien isolé par le routeur de ton réseau local principal, pas de soucis donc. Cordialement oracle7😉

@kroumi Bonjour, Point 1 : Oui car c'est l'adresse de ton NAS pour le joindre à l'aide de ton domaine ndd.fr (bien évidemment il faut un CNAME correspondant dans ta zone DNS chez OVH. (je fonctionne comme cela et aucun soucis). Point 2 : Même motif même punition ...😛 Tu as tout compris ! Je pensais initialement (à tord manifestement) que tu utilisais ce que j'appelle un "vrai" certificat LE et non que tu utilisais le certificat LE associé et créé via l'interface DSM Synology et pour lequel on a peu de marges de manœuvre. Donc effectivement dans ce dernier cas, il te faut décliner chez OVH un CNAME pour tous les sous-domaines xxxx.ndd.fr que tu utilises qui pointeront tous vers ndd.fr. Tu peux laisser chez OVH le *.ndd.fr, c'est pas gênant (ne pas le supprimer). Et quand tu referas le certificat LE dans DSM, veilles toutefois à ce que la chaine "Autre nom de l'objet" que tu vas constituer avec la liste de tes sous-domaines, ne dépasse pas les 255 caractères (c'est une limite imposée par Synology). N'oublies pas non plus, que les ports 80 et 443 doivent être ouverts dans le pare-feu du NAS lors de la création du certificat mais aussi lors de son renouvellement 3 mois après. Cela dit, le mieux est de créer pour ton domaine un certificat wilcard qui ne te limitera pas (et plus plus de ports à ouvrir), en sous-domaines (100 maxi quand même, il y a de quoi faire ! 😀) mais c'est peut-être encore un peu tôt pour toi, à moins que te t'en sentes vraiment capable. Lis toujours le TUTO en question et tu verras par toi même si tu te lances ou pas dans cette autre aventure ... Cordialement oracle7😉

@mery Bonjour, Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Tout bêtement, sur l'emballage de la caméra ou dans la doc jointe, il serait étonnant qu'il n'y ait pas l'info de login/MdP par défaut, @IP et @MAC, regardes bien. et dans le logiciel constructeur il n'y a rien à props de tout cela ? Bizarre ... As-tu regardé sur le site du constructeur ? et une recherche sur Google sur la référence de ta caméra ? Qu'est-ce que cela donne ? Sur ton site d'achat, aucune indication dans les commentaires des acheteurs ? As-tu aussi essayé san login ni Mdp avec "rtsp://adresse_ip:554/onvif"? Cordialement oracle7😉

@Terranon Bonjour, Bon eh bien on avance ! Plus de problème de port 1194 "déjà utilisé 😅 et aux vues du Log la connexion ne "butte" plus que sur un problème de négociation TLS. Le port 1194 est-il bien transféré (NAT/PAT) de la Box/Routeur vers le NAS ? Le port 1194 est-il bien ouvert/autorisé dans le pare-feu du NAS ? La ligne "redirect-gateway def1" est-elle dé-commentée dans le fichier de config ".ovpn" ? As-tu aussi insérée l'option "dhcp-option DNS 10.8.0.1" ? Cordialement oracle7😉

@Terranon Bonjour, Alors ? Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Quel intérêt de sauvegarder les paramètres si tu ne les restores pas après ? De plus l'objectif de la désinstallation/réinstallation du package VPN Serveur est bien de repartir sur des bases saines et donc pas avec d'anciens paramètres qui peuvent être corrompus. Logique, non ? ????? de quelle base tu parles ? Cela ne sert à rien, le serveur OpenVPN est prévu pour fonctionner et utiliser naturellement le port 1194. Ce port lui est réservé par l'IANA. De plus, le serveur OpenVPN utilise en standard le protocole UDP pour des raisons principalement de performances. Le protocole TCP n'est à utiliser que si la qualité de ta connexion internet ou les restrictions imposées par ton FAI rendent son utilisation impraticable ou impossible.De plus, même si le protocole TCP est bien plus fiable, encapsuler TCP dans TCP aboutit parfois à des résultats assez ... étranges, sans parler d'une demande en CPU plus importante. Enfin, si cela ne marche pas avec la ligne "remote @IP externe 1194" et si tu as un domaine "tonDomaine.tld" ou "xxxxx.synology.me" : essaies à tout hasard avec "remote tonDomaine.tld 1194" ou "remote xxxxx.synology.me 1194". Donc, je t'invites à faire une installation propre du package VPN Serveur et de paramétrer correctement OpenVPN selon ses standards. Cordialement oracle7😉

@cotp Bonjour, Pas besoin d'être un expert. Il faut savoir que quand le disque dur est en parfait état, les valeurs SMART ("Value") sont à 100. Quand il y a un problème : elle s'affiche en rouge ! La colonne 'Theshold" correspond au palier d'alerte définit par le constructeur. Donc quand la valeur SMART s'approche de ce palier, il est temps de commencer à surveiller de plus prés le disque voire à s'inquiéter si on a atteint ce seuil rapidement (changement > de 5 à 10) et de prendre les dispositions nécessaires à commencer a minima par sauvegarder les données. La valeur "WORST" indique la pire valeur enregistrée pour le critère jusqu'à maintenant (car, tu l'auras compris, ça peut remonter un peu). Donc, Comme tu le vois, les données SMART sont très faciles à interpréter (tu as aussi notre ami Google pour t'aider en cela). Il suffit de les regarder régulièrement ! Ni plus ni moins. Cordialement oracle7😉

@cotp Bonjour, Personnellement, je me contente du test rapide régulier (mensuel) sur tous les disques, ce qui me semble bien suffisant. Cela n'engage que moi, mais le test approfondi/étendu me paraît du coup superflu car je pense qu'il n'est pas utile de solliciter plus que besoin les disques avec ce type de test afin de préserver leur longévité. Si je peux me permettre, ta fréquence de test approfondi/étendu est bien trop grande. Une périodicité semestrielle (trimestrielle en cas de très grosse activité de L/E) me semblerait plus raisonnable. Éventuellement à faire seulement après 4 à 5 années d'utilisation pour surveiller la fin de vie de ceux-ci et quoique ... Mais c'est toi qui voit midi à ta porte ... Cordialement oracle7😉

@Mat44830 Bonjour, Bon, eh bien tant mieux ... Simplement parce que bon nombre d'utilisateurs disposent d"une @IP externe dynamique. En toute rigueur il faudrait une @IP fixe. Cela dit, j'ai une @IP dynamique et j'utilise un nom de domaine personnel (pris chez OVH pour moins de 10€ par an - au passage voir ce TUTO qui simplifie bien la vie quelque part pour le paramétrage du NAS) et je n'ai aucun problème. Mon DDNS sur le NAS quand il détecte un changement d'@IP envoie l'info vers le DynDNS de mon domaine qui le met à jour automatiquement. Ainsi mon domaine pointe toujours sur la bonne @IP externe. Ce qui de fait, "simule" si je puis dire une @IP externe fixe même si elle ne l'est pas réellement. D'un autre coté, avec un domaine du type xxxxx.synology.me sur le quel tu n'as pas la main, je ne sais son comportement lors du changement d'@IP externe. Je crains qu'il ne faille aller modifier le fichier ".ovpn" de configuration pour indiquer la nouvelle @IP externe. Cordialement oracle7😉

@Mat44830 Bonjour, Si ta Box est une box Orange et si tu n'as pas d'abonnement Pro alors ton @IP externe est dynamique (en fait on dit préférentielle). Si tu est chez Free et que tu n'as pas activée l'option "Full Stack" alors ton @IP est certainement dynamique et en plus, tu n'as pas accès à l'ensemble des ports disponibles ce qui te bloquera pour pas mal de fonctions du NAS. Dans ce cas, si j'étais toi je demanderai d'activer cette fonction rapidement (via l'interface de ta box). Pour Bouygues et SFR je ne sais pas, désolé. Je dirais que l'@IP externe est dynamique mais sans aucune garantie. OUI Tu ajoutes cette ligne : "dhcp-option DNS 10.8.0.1" qui est @IP de NAS lorsque tu est connecté en OpenVPN et qui fait office de serveur DNS. Cordialement oracle7😉

@Mat44830 Bonjour, Au comme cela on y voit clair, c'est très bien. Je ne crois pas à un problème coté Box, tu sembles avoir fait ce qu'il fallait à ce niveau. Questions bêtes s'il en est : Quand tu connectes ton PC au Smartphone, le PC n'est bien plus relié à ton réseau local, seulement au smartphone ? Ton @IP 93.x.x.x est-elle fixe ou dynamique ? Cordialement oracle7😉

@kroumi Ok mais qu'est-ce qui te fait dire cela ? Tu peux préciser ? Sinon pour en avoir le cœur net, je te propose ceci (attention c'est un peu "radical") : Tu fixes provisoirement le certificat Synology par défaut sans le configurer. Tu supprimes le certificat Let'sEncrypt du NAS. Tu crées un nouveau certificat let'sEncrypt par défaut mais cette fois un wilcard pour ndd.fr et autre nom de l'objet *.ndd.fr. Tu configures le nouveau certificat pour l'affecter à tous les services de la liste. Cordialement oracle7😉