oracle7

@maxou56 Avec 12 Go installés, cela devrait le faire, sinon je passerai à 16 Go si nécessaire. Cordialement oracle7😉

@TuringFan Je parlais effectivement du manque d'@IP fixe. Par ailleurs, payer 18€ en plus par mois est pour moi rédhibitoire. C'est mon choix ... Cordialement oracle7 😉

@PPJP Merci de votre réponse aussi rapide. Personnellement j'attendais un éventuel feu vert de votre part ou de @unPixel puisque ce dernier avait explicitement demandé d'attendre avant de utiliser ce script car le sujet était à l'époque expérimental. D'où maintenant ma demande de situation après quelques mois. Sinon effectivement, je suis intéressé par sa mise en œuvre. Je vais tester avec la dernière version du script 'majcertificat-5.sh' que vous aviez diffusé alors et comme vous le dites qui était fonctionnelle (du moins chez vous et chez lui). J'ai examiné le code et pense avoir compris le fonctionnement et le processus suivi même si j'ai un peu de mal à identifier le pourquoi de certains passages. Mais là, je met cela sur le compte de ma méconnaissance de l'organisation des fichiers de gestion du NAS. C'est bien aussi d'un autre coté car en décortiquant le code j'apprends aussi sur cette gestion. Vous dites que ce script n'est probablement plus opérationnel actuellement. Qu'est-ce qui aurait changé ? Dû à une gestion des packages/services différentes suite aux màj récentes de DSM ? Au passage, comme @unPixel au début de ses tests, la génération de mes certificats se fait dans le répertoire caché 'root/.acme.sh' alors que ce répertoire n'est pas stable dans le temps, il ('/root' du moins)est réinitialisé à chaque mise à jour de DSM. Plus tard dans le fil des échanges, unPixel semblait avoir trouvé comment faire générer les fichiers dans le même répertoire que l'exécutable acme.sh ('/usr/local/share') mais il n'a pas dit comment il avait fait. J'ai peut-être une piste mais je n'en suis pas sûr, vous avez peut-être vous, une idée ? Cordialement oracle7 😉

@maxou56 Bah oui évidemment, pour le RAID1 j'ai oublié ce point. Mais si tu dis que ce sera suffisant alors c'est bien. OK c'est rassurant au moins. Cordialement oracle7😉

@TuringFan Saches aussi que cela coupe court toute idée future d'implémenter un serveur Mail sur le NAS comme tu l'avais laissé entendre dans une de tes réponses. J'ai été moi même très déçu en découvrant cela. Mais on se fait une raison ... 😪 Cordialement oracle7 😉

@maxou56 Bonjour et grand MERCI pour ta réponse très technique et précise qui m'a appris encore bien des choses. J'ai bien regardé les tests lesnumériques et je crois que je vais m'orienter vers le Samsung car manifestement c'est le plus endurant. C'est aussi un point que recommande Synology dans le choix d'un SSD pour un NAS. De plus, le Samsung semble moins chauffer que le Crucial (même si c'est relatif vu qu'ils chauffent tous les deux). C'est un point important car comme déjà mes NAS sont dans une armoire 19" fermée et même si ceux-ci restent aujourd'hui froids au toucher, je préfère limiter l'échauffement supplémentaire que les SSD pourraient apporter à l'ensemble de chaque NAS. A ce propos, je n'ai pas trouvé (sans doute mal cherché ou bien j'ai une mauvaise vue) dans la doc sur le DS918+ pour savoir s'il était équipé de dissipateurs thermiques M.2 justement pour accueillir ces SSD ou si la carte mère était suffisamment ventilée en cas d'absence de ceux-ci. Au final, je ne disposerai que d'un cache maximum de 1To en L/E mais comme la performance (quasiment 1,5 fois plus en L/E globale par rapport au Crucial) est au rendez-vous, même si cela ne sera pas forcément décelable comme tu le dis, je pense que cela compensera cette différence de taille de cache. Je pense aussi que cela me donnera une certaine marge de manœuvre pour le cas où. De toutes façons, ce qui importe c'est que le NAS soit plus véloce et là le but sera atteint. Cordialement oracle7 😉

@unPixel et @PPJP Bonjour, Désolé de "déterrer" le sujet mais maintenant après quelques mois, où en êtes vous de l'automatisation du renouvellement de certificat wilcard LE à l'aide du script 'majcertificat-5.sh' ? Quel est votre retour d'expérience d'exploitation ? Bon, pas bon ? Vu que vous n'échangez plus sur ce fil à ce propos, je m'avance peut-être, mais cela semble vouloir dire que vous êtes satisfaits. En conséquence, considérerez-vous que l'on peut l'implémenter sans risques et qu'il est aussi suffisamment abouti pour nous permettre de renouveler nos certificats wilcard LE créés par la méthode acme.sh ? Votre avis d'experts est important. Merci de vos réponses. Cordialement oracle7 😉

@cpc44 Bonjour, Tu dis que tu viens de prendre un domaine chez OVH, saches alors que la propagation des informations vers les principaux DNS du monde entier peut parfois prendre un peu de temps, normalement maxi 24h. Soit patient ... On peut suivre ce déploiement sur ce site : https://www.whatsmydns.net/ Sinon commence par vérifier que ton non de domaine est bien associé à t@IP du moment. Tapes "nslookup tondomaine.tld" dans une fenêtre de commande WIN (en mode admin). Si tout est OK, cela devrait devrait te donner ton @IP du moment. Cordialement oracle7 😉

Personne n'a idée ... Cordialement oracle7😉

@TuringFan Excellente synthèse 😉 Cordialement oracle7 😉

@Mic13710 Merci de ta réponse. Je me doutais bien de l'inutilité d'une telle règle mais comme parfois il y a des subtilités j'ai préféré demandé pour m'en assurer avant de supprimer effectivement. Tu peux fermer le sujet. Cordialement oracle7 😉

Bonjour, Pour éviter d'avoir "36 000" règles d'ouverture de port dans le parefeu et pour être sûr de bien comprendre le processus de blocage, est-il vraiment nécessaire d'ouvrir un port spécifique, par exemple le port 3493 d'un serveur UPS ayant par exemple pour IP source le sous-réseau privé 192.168.1.0/24 alors que l'on a déjà une règle d'ouverture de TOUS les ports sur ce même sous-réseau privé. N'est-ce pas redondant ? Si oui, cette ouverture de port spécifique serait donc inutile et la règle n'aurait donc pas lieu d'être. Si non, merci de bien vouloir m'expliquer car là je bloque. Cordialement oracle7 😉

Bonjour, J'ai aussi ce problème, du coup en attendant mieux je l'ai désinstallé et je fais confiance à l'antivirus sur le PC qui me vérifie les fichiers avant que je ne les transfère sur le NAS. Cordialement oracle7 😉

@PPJP et @PiwiLAbruti Merci d'avoir compléter mon information qui malheureusement était parcellaire notamment pour le DHCP. Comme quoi les échanges ont du bon ... Cordialement oracle7 😉

@PiwiLAbruti Bah OUI, sinon qui d'autre la traite selon toi ? puisque le client ne connait pas l'@IP du serveur DNS à utiliser pour résoudre la requête. Cordialement oracle7😉

@PPJP Je rebondis sur ton post car, désolé et le le prends pas mal mais je crains que tu fasses une confusion entre DHCP et serveur DNS. Je m'explique : Un serveur DHCP ne fait pas , entre autre choses, que d'attribuer automatiquement une @IP et un masque de sous-réseau à un client qui n'en dispose pas (i.e. pas d'@IP fixe définie) et de façon unique dans la plage d'@IP définie au niveau du routeur pour ce serveur DHCP. Un serveur DNS quant à lui ne fait que traduire un nom de domaine en une @IP via une démarche récursive dans toute la hiérarchie du domaine, il indique ainsi au routeur l'@IP à suivre jusqu'au prochain serveur DNS et ainsi de suite, jusqu'au dernier serveur DNS qui donnera l'@IP finale pour que le routeur puisse envoyer les paquets vers le destinataire. Maintenant, lorsque aucune @IP de serveur DNS n'est explicitement fixée dans l'adaptateur réseau du client, la requête de demande d'@IP est envoyée directement à la passerelle du réseau ( ici la LiveBox en l'occurence) qui utilise alors ses propres @IP de serveurs DNS (codées en "dur" en interne) pour résoudre la requête. Donc en disant explicitement au client d'utiliser l'@IP du serveur DNS du NAS, on bypasse en quelque sorte les serveurs DNS de la Livebox. Cette dernière ne fait alors que router les paquets de données vers l'@IP du prochain serveur DNS qui lui a été indiquée par le serveur DNS du NAS. Edit Maj pour tenir compte des remarques de PiwiLAbruti et de PPJP Cordialement oracle7 😉

@TuringFan Le serveur DHCP ne fait qu'attribuer une @IP dans le réseau local au client qui se connecte à ce réseau local. Il s'assure que l'@IP est unique sinon rien ne marcherait. Pour moi NON, parce que ces clients "de passage" n'ont pas connaissance de ton serveur DNS et via la passerelle ils tomberont sur le serveur DNS de la LiveBox qui ne saura résoudre le chemin pour atteindre 'nas.ndd.eu'. C'est une sage résolution et puis qu'auraient-ils à y faire ? Leur besoin est d'accéder à internet via ton WIFI, c'est tout. On est bien d'accord "un client configuré par défaut" est un client pour le quel AUCUN serveur DNS n'a été spécifié explicitement càd aucune @IP n'a été rentrée dans le champ 'DNS Serveur' dans les propriétés Ipv4 de son adaptateur réseau. A partir de là, ce client lorsqu'il fera une requête DNS, celle-ci remontera à la Livebox via la passerelle et c'est le serveur DNS de cette dernière qui lui répondra avec le bon chemin à suivre pour atteindre le destinataire voulu. Je peux pas faire plus clair, désolé. Très bonne initiative 😜😉 Simplifier la vie : absolument OUI pas besoin de switchs administrables : NON car tu n'auras pas à créer de VLAN pour séparer les flux du décodeur TV de ceux des autres clients (TV, box de jeux, etc...) qui circulent dans le même tuyau comme chez moi ou la Livebox est dans le garage et la TV dans le salon à 15m de là. Inspires-toi des schémas du post en question pour faire le tien afin de bien savoir où tu vas et quoi relier à quoi. Oui le décodeur TV sera directement connecté à la LiveBox (au passage il faudra conserver le DHCP de la box actif sinon pas de décodeur TV opérationnel) dans son sous réseau propre (par ex 192.168.1.0) et tes clients dans le sous réseau du routeur (par exemple 192.168.2.0) donc hors DMZ. Cordialement oracle7 😉

@Mic13710 Je viens de m'en apercevoir et ai édité ma réponse en conséquence. Cordialement oracle7 😉

@cpc44 Je ne comprends pas, tu demandes d'un coté comment interdire l'usage du protocole SSH sur ton réseau local, et d'un autre tu l'as ouvert aux quatre vents de l'extérieur dans ton parefeu ??? C'est pas cohérent, mais si c'est ton choix .... Edit : Oups , j'ai lu trop vite ta demande initiale, tu ne veux pas interdire SSH sur ton réseau local. Donc oublies STP ma remarque et suis celle de @Mic13710 Cordialement oracle7 😉

@TuringFan Bon effectivement tu as un peux de mal, mais c'est pas grave et même un peu normal au début ... 🤪 Bah NON, comme je te l'ai précédemment dit, tu fixes explicitement sur chacun d'eux l'@IP du serveur DNS à utiliser, en l'occurence avec l'@IP de ton NAS puisque c'est lui qui supporte le serveur DNS. C'est pourtant ce que tu avais fait il me semble à la vue de la copie d'écran que tu avais fournie au début des échanges. Pour le reste de ton interprétation c'est bon. Cordialement oracle7 😉

@cpc44 Pour le routeur : Panneau de configuration / Services / System Services --> décocher SSH Pour le NAS : Panneau de configuration / Terminal & SNMP / Terminal --> décocher SSH et dans le parefeu : pas de règle sur le port 22 Cordialement oracle7 😉

@Pinpon_112 Bonjour, Il n'y a rien de plus à faire sur routeur, tout se passe dans les points que je t'ai donnés dans ma précédante réponse. Nota : Dans le proxy inversé, le port du routeur à utiliser est le port 8000. Cordialement oracle7 😉

@cpc44 Pour faire simple et dans la continuité de ton NAS Synology : je te conseillerais un Synology RT2600ac même s'il a un coût et que certains ici te dirons que d'autres routeurs moins chers font aussi le job. A toi de voir ... Cordialement oracle7 😉

@GrOoT64 OUAOUH ! Très fort !!! je comprends alors que la bande passante s'effondre 😜 Et si tu créais des règles de contrôle du traffic (je ne sais pas faire, désolé) mais peut-être que ce serait la solution pour limiter la bande passante et donc les "abus" ... Cordialement oracle7 😉

@GrOoT64 Je ne comprends pas chez moi si je coche la case, j'ai le nombre 2048 qui s'affiche et que je peux modifier à n'importe qu'elle valeur (< 2048). Après, j'avoue ne pas avoir essayé plus. Mais en quoi cela te gêne-t-il que ton papa par ex se connecte avec plusieurs périphériques (par ex un PC et son smartphone) ? Il a son propre environnement sécurisé et étanche (sauf à toi comme administrateur bien évidemment) sur le NAS, non ? Cordialement oracle7😉