oracle7

@kroumi Ok mais qu'est-ce qui te fait dire cela ? Tu peux préciser ? Sinon pour en avoir le cœur net, je te propose ceci (attention c'est un peu "radical") : Tu fixes provisoirement le certificat Synology par défaut sans le configurer. Tu supprimes le certificat Let'sEncrypt du NAS. Tu crées un nouveau certificat let'sEncrypt par défaut mais cette fois un wilcard pour ndd.fr et autre nom de l'objet *.ndd.fr. Tu configures le nouveau certificat pour l'affecter à tous les services de la liste. Cordialement oracle7😉

@kroumi Bon eh bien tant mieux ! On avance 😀 Certainement que Oui, car il faut compter environ 24h pour que ta zone DNS après une modification soit diffusée sur tous les serveurs DNS du monde (tu avais dû avoir un message dans ce sens d'OVH lors de la modif, que tu as dû lire trop vite !). Quelques fois c'est moins mais c'est quelques fois. Pour le mobile : oui. J'ai perso ces champs de renseignés et j'utilise des noms de domaines sans que j'ai remarqué d'impacts négatif. Alors laisses comme cela dans un premier temps ... Vu que tu utilises un wilcard dans ta zone DNS chez OVH je pensais que ton certificat était aussi wilcard. C'est bien aussi comme tu as fait mais attention, tu ne pourras pas ajouter indéfiniment des sous domaines à ton certificat en fonction de tes besoins. En effet, la chaine SAN ("Autre nom de l'objet") est limitée à 255 caractères par Synology et même si Let'sEncrypt autorise jusqu'à 100 sous-domaines pour un domaine donné. C'est pour cela que l'usage d'un certificat wilcard est utile. Enfin, @PPJP a raison, c'est quoi cet enregistrement "A" pointant vers 212.186.33.5 car je suppose que tu as masquée dans la ligne suivante "A" ton @IP externe comme cible ? Cordialement oracle7😉

@kroumi Bonjour, Tout cela est parfait. Ton reverse proxy aussi. Donc il y a autre chose qui cloche quelque part ... On va trouver !!! 😀 On va vérifier quand même quelques points : Panneau de configuration / Accès Externe / Avancé : tu as bien "nom d'hôte" = NomDuNAS.ndd.fr et les ports 5000 et 5001 ? Panneau de configuration / Réseau / Paramètres DSM : tu as bien "Activer un domaine personnalisé" coché et "Domaine" = NomDuNAS.ndd.fr ? Panneau de configuration / Sécurité / Certificat : Pour ton certificat par défaut tu as bien "Autre nom de l'objet" = *.ndd.fr, ndd.fr ? Panneau de configuration / Sécurité / Pare-feu : les ports 80, 443, 5000 et 5001 sont ouverts/autorisés et les lignes correspondantes sont bien AVANT la dernière ligne (Tous, Tous, Refuser) ? Dans ta box, les ports 80 et 443 sont bien transférés (par NAT/PAT) vers le NAS qui lui même à une @IP fixe par bail DHCP Statique ? Si tout cela est OK, un p'tit reboot général : Arret propre du NAS^, arrêt propre de la Box. Débrancher électriquement Box et NAS. Attendre Une bonne minute. Rebrancher électriquement Box et NAS. Redémarrer Box et quand la Box = OK démarrer le NAS. Enfin test de connexion avec music.ndd.fr dans un navigateur (avec cache vidé au préalable). J'espère ne rien avoir oublié dans les contrôles. Si là cela ne le fait pas alors je comprends pas ... Cordialement oracle7😉

@OChaurin Bienvenue à toi sur ce forum, tu verras c'est une mine d’informations ...😃

@Pommefrais3 Bonjour, Effectivement avant de vouloir tout reprendre à zéro, comme te l'a suggéré @bruno78, envoies nous le log complet. Maintenant situ veux vraiment tout reprendre, regardes une de mes précédentes réponses à @Turingfan je lui avais expliqué le processus pour. Cordialement oracle7😉

@OChaurin Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Si c'est un switch "administrable" alors il n'est sûrement pas bien configuré. Sinon ce n'est qu'un "aiguillage" sans aucune fonction de routeur, donc il devrait être "transparent". Normal, puisque tu as transféré les ports vers le nas2 depuis la box. Si tu veux accéder à ton nas1 il faut aussi mettre en place un "reverse proxy" tel que décrit dans ce TUTO. Mais AVANT tout cela je t'invites, si ce n'est pas encore fait, à bien lire et ensuite appliquer le TUTO sur la sécurisation des accès au NAS. A mon humble avis, si tu en as les moyens, ce serait une sage résolution qui t'offrirait bien plus de possibilités de paramétrage que ta box ne peut en fournir actuellement. Mais c'est toi qui voit ... Cordialement oracle7😉

@kroumi Bonjour, Je crois que ce serait mieux. Pour le paramétrage de la redirection c'est correct. AhhRhhh 😟 Peut-être là, le problème. Pour résumer chez ton fournisseur de domaine (est-ce OVH par hasard ? ce serait plus simple ...) : Si tu as une @IP externe fixe alors tu dois avoir dans la zone DNS de ton domaine : un enregistrement "A" avec nnd.fr pointant vers @IP externe Si tu as une @IP dynamique alors tu dois avoir : Un DynDNS de définit avec ndd.fr qui pointe vers @IP externe du moment. Pas d'enregistrement "A" Dans la zone DNS de ton domaine un enregistrement "CNAME" avec music.ndd.fr pointant vers ndd.fr (et PAS vers *.ndd.fr !) Tu peux aussi avoir un enregistrement "CNAME" avec *.ndd.fr pointant vers ndd.fr Vérifies tout cela et dis moi ... Cordialement oracle7😉

@kroumi Bonjour, Pas grave, je me suis mal exprimé, je souhaitais voir l'écran de détail de la redirection music.ndd.fr (dans cet écran tu sélectionne music.ndd.fr et tu cliques sur modifier). Sinon j'en déduit aussi que dans l'onglet Application de cet écran pour l'alias "music" tu n'as renseigné que http avec le port 2100 ? j'ai bon ? Et pour la zone DNS chez ton fournisseur de domaine, tu as fait quoi pour music.ndd.fr ? 😉Cordialement oracle7

@kroumi Bonjour, Je le crains ... Tu ne m'as pas répondu à une précédente question : Peux-tu faire STP une copie d'écran du paramétrage de la redirection music.nnd.fr dans le reverse proxy du NAS ? Cordialement oracle7😉

@Jeremy59250 Bonjour, Tout simplement avec l'explorateur Windows, dans la partie réseau, est-ce que tu vois le dossier partagé du NAS qui contient tes vidéos et donc son contenu ? Si oui, il te suffit alors de lancer VLC et de faire "ouvrir un fichier" et de naviguer jusqu'à ce dossier partagé. Je n'ai pas VLC mais cela marche très bien comme cela avec Media Player Classic. PS : Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Cordialement oracle7😉

@kroumi OUI bien sûr ! Cordialement oracle7😉

@kroumi Bonjour, Oui mais après cette affectation, ton navigateur a gardé en mémoire le certificat Synology, il faut donc te déconnecter du NAS, vider le cache du navigateur et te reconnecter au NAS. Et là cela devrait le faire...😃 Cordialement oracle7😉

@Pommefrais3 Bonjour, Pour bien comprendre : As-tu pris en compte les évolutions apportées au TUTO ? car saches qu'il y en a eut d'importantes entre temps depuis 3 mois. Dans le gestionnaire de tâches du NAS, la tâche programmée pour le renouvellement, utilise-t-elle le script Python ? ou la commande initiale avec le script acme.sh ? Est-ce que tes trois clés OVH figurent bien dans le fichier "/usr/local/share/acme.sh/account.conf" ? (SAVED_OVH_AK, SAVED_OVH_AS et OVH_CK) Cordialement oracle7😉

@rodo37 Bonjour, MERCI beaucoup pour la réponse et en plus rapide. Je vais donc patienter ... Cordialement oracle7😉

@kroumi J'aime mieux cela ... Ceci dit ton "nouveau" certificat LE, est-il définit par défaut car sinon c'est toujours ton certificat Synology qui est actif (c'est aussi pour cela que tu ne pas le supprimer) et comme tu as basculé (via 'Configurer') les services sur le certificat LE, ceci peut expliquer tes problèmes de connexion non sécurisée. Tu me suis ? Donc ton "nouveau" certificat LE doit être par défaut : sélectionner le certificat dans l'interface de DSM et "TdB / Sécurité / Certificat / Modifier" puis cocher la case qui va bien. Cordialement oracle7😉

Bonjour, Depuis quelques jours, en fait depuis les récentes évolutions d'interface du forum, j'ai constaté qu'au moins deux fonctionnalités de l'éditeur de posts avaient disparues. Cela concerne les fonctions suivantes : Accès au code source du texte en cours d'édition. C'était bien pratique car l'éditeur "plantant" de temps en temps ou ayant parfois un comportement bizarre (refus de suppression de texte, curseur disparaissant, etc ...), cela permettait de tout effacer et de repartir sur une base saine. Appliquer une couleur de fond au texte sélectionné. Est-ce normal ou pas ? Cordialement oracle7😉

@kroumi Bonjour, Commences par vider le cache de ton navigateur et reconnectes toi au NAS. "téléchargé" ?????, tu n'as pas créé ce certificat à partir de l'interface de DSM "TdB / Sécurité / Certificat / Ajouter" ? Si la réponse est Non alors est-tu certain que ce certificat a été créé pour d'une part ton domaine ndd.fr et la liste des SAN associés comportait bien le domaine "music.ndd.fr" et d'autre part chez ton fournisseur de domaine, as-tu ajouté à la zone DNS de ton domaine ndd.fr un enregistrement de type CNAME pour music.ndd.fr pointant sur ton domaine ndd.fr ? Ce certificat il aurait été créé où et comment, je ne comprends pas ... Cordialement oracle7😉

@termi Bonjour, Peut-être aussi que tu avais saisi dans le nom du NAS des caractères "exotiques" invisibles qui perturbaient le système UNIX du NAS. Cela arrive souvent lors de C/C. PS : Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Cordialement oracle7😉

@kroumi Bonjour, Ce nouvel admin ayant des droits restreints, comme je te l'ai dit précédemment le malveillant potentiel aura la tâche plus compliquée et cela lui prendra plus de temps, temps qu'il n'a pas, donc il se découragera plus vite de poursuivre son action. Sauf si vraiment tes photos par exemple sont telles, qu'elles puissent devenir un moyen de pression sur toi pour obtenir de toi ce qu'il convoiterait. Tu détiens des informations/choses si importantes ? Il faut à mon sens rester raisonnable et au final ce que tu auras mis en place en terme de sécurité sur ton NAS (selon les recommandations ici proposées) peut s'avérer largement suffisant pour les quidams ordinaires que nous sommes. Ce n'est que du bon sens, non ? Oui il faut se protéger mais delà à à devenir parano, pas pour moi en tout cas. Essaies simplement de chiffrer le risque que tu prends pour te rendre compte. Je le répète le risque zéro n'existe pas mais quel prix es-tu prêt à payer pour tout verrouiller ? Cela deviendrait tellement contraignant que tu n'oseras même plus toucher à ton NAS, non ? C'est pas le but ... Bien, tu commences à comprendre la philosophie ... Cordialement oracle7😉

@kroumi Bonjour, Si je peux me permettre, tu te prends la tête pour rien. Pour ton information, le code du fichier .htaccess ne fait ni plus ni moins, que réécrire automatiquement de façon totalement transparente pour toi, l'entête http de toutes les requêtes Web que tu émets, en https comme si tu les émettais toi directement en https. C'est tout. Pour mettre en place cela, c'est on ne peut plus simple et parfaitement décrit dans le TUTO Reserve Proxy, alors pourquoi te priver de cette possibilité qui va de paire avec le bon fonctionnement du reverse proxy ? Je ne comprends pas ... c'est un peu "balo", non ? Là aussi, à mon humble avis, c'est une très mauvaise idée que tu as de ne pas suivre les recommandations de @Fenrir. C'est un expert réseau et sécurité on peut plus reconnu de la communauté et comme tout expert il sait lui, de quoi il parle. Aussi, je ne suis pas sûr que tu mesures bien les conséquences de ton choix, mais libre à toi ... Tu peux toujours faire autrement si tu as les connaissances suffisantes pour ! Oh c'est sûr je te l'accorde, on ne verrouillera jamais complétement les choses, le risque zéro en matière de sécurité n'existe pas, mais on peut a minima faire en faire en sorte de compliquer la tâche des potentiels malveillants et retarder ainsi au maximum leurs actions ce qui aura un effet dissuasif on ne peut plus important et efficace. Et en plus tu gères des données si confidentielles que cela sur ton NAS ? Nota : Enfin, juste une question de bon sens : comment veux-tu qu'un pirate se connecte à ton NAS avec le compte "admin" lorsque celui-ci est désactivé ? Peux-tu m'expliquer STP ? Cordialement oracle7😉

@kroumi Bonjour, Dans l'exemple que t'a donné @maxou56, avec le masque 255.0.0.0 on obtient le maximum d'@IP utilisables pour le sous-réseau 10.0.0.0. Ce qui est plus que conséquent ! Selon la valeur du masque tu adresseras un nombre plus ou moins grand d'@IP. Regardes cet article et tu comprendras mieux si besoin en est. Avec un calculateur de masque tu pourras si tu le souhaites, déterminer le masque adéquat pour restreinte pas exemple la plage d'@IP de ton sous-réseau et ainsi limiter la plage d'@IP utilisables. Cordialement oracle7😉

@kevin67130 Bonjour, Certes mais ce fichier comme je te l'ai déjà dit n'a rien de secret, il n'y a pas d'informations personnelles dedans. L'@IP de ton NAS est une adresse locale INVISIBLE depuis l'extérieur (Internet). Le fichier est OK, pour être cohérent, j'aurai juste mis la dernière ligne de celui-ci "MONITOR ..........................." juste en dessous de la ligne : # -------------------------------------------------------------------------- # MONITOR <system> <powervalue> <username> <password> ("master"|"slave") Tu mets la valeurs que tu veux? moi j'éteints le PC avant le NAS. Cordialement oracle7😉

@kevin67130 Bonjour, C'est évident : commander l'arrêt du PC 3 minutes après avoir reçu l'ordre par le NAS. Cela ne sert à rien de mettre une durée de validité sur le lien vers le fichier que tu transmets, ceux qui te répondent ne sont pas là à attendre chacun de tes posts ! Par ailleurs le "bout" de log que tu joins est parcellaire, il ne donne pas l'information voulue qui elle se trouve justement dans le fichier upsmon.conf. Cordialement oracle7😉

@mery Bonjour, Le logiciel constructeur de ta caméra doit te permettre de définir ce login et le mot de passe associé. C'est ceux là qu'il faut utiliser. D'ailleurs tu as dû aussi utiliser ce logiciel pour rentrer l'@IP de ta caméra sur ton réseau local en remplacement de l'@IP par défaut qui a toutes les chances de ne pas correspondre. En plus c'est aussi le ba a ba de la sécurité pour ces équipements : changer le MdP par défaut et adapter l'@IP. Cordialement oracle7😉

@kevin67130 Bonjour, Une fois WinNUT réinstallé tu devrais avoir quelque chose par exemple comme cela : Ensuite après avoir configuré ton fichier upsmon.conf envoies nous le pour vérifier que tout est bon. Cordialement oracle7😉