oracle7

@Jeff777 Oups ! J'ai édité le post, est-ce plus clair maintenant ? @maxou56 Alors s'il veux pouvoir utiliser son décodeur TV, il n'a pas d'autre choix que de passer la LB en DMZ et de configurer l'ensemble comme nous l'avions fait ensemble dans ce post Cordialement oracle7😉

@maxou56 Sur le NAS il faut configurer manuellement le serveur DNS, avec l'@IP du serveur DNS du NAS donc en fait avec l'@IP du NAS et fixer sur le NAS comme serveur DNS de remplacement l'@IP de la Livebox Ensuite effectivement, tous les machines client doivent avoir comme DNS le serveur DNS du NAS donc l'@IP du NAS. Cordialement oracle7😉 @techaddict Content d'avoir pu te dépanner, c'était pas si compliqué en somme .... Cordialement oracle7😉

@TuringFan Appliques tout simplement le TUTO objet du présent post. Cordialement oracle7😉

@techaddict Non c'est pas là mais ici : Réseau / INterface réseau / LAN 1 / modifier Cordialement oracle7😉

@techaddict Bonjour, Il faut commencer par mettre ton NAS en DHCP automatique dans l'interface DSM Sur la LB dans réseau/DHCP, tu définis une plage DHCP par ex @IP début 192.168.1.10 - @IP fin 192.168.1.254 Tu reboot la LB puis ton NAS Sur la LB, tu vas trouver (dans équipements connectés) ton NAS grâce à son @MAC sur une @IP 192.168.1.X, tu en profites pour lui donner un nom par ex "MonNAS" Sur la LB dans réseau/Baux DHCP Statiques, tu sélectionnes dans le popup "MonNAS", tu saisis @IP de ton choix, en tous cas < à 192.168.1.10 (par ex 192.168.1.8) et tu saisis l'@MAC du NAS 11:22:33:44:55:66 et enfin tu cliques sur "Ajouter" tu reboot le NAS et là c'est bon Cordialement oracle7😉

Bonjour, @Kramlech et @.Shad. Si la curiosité vous en dit, regardez ici Cela a le mérite d'être simple et peut être automatisé facilement si vous maitrisez le shell. Cordialement oracle7😉

@TuringFan Parce qu'il fera très simplement (avec une interface Synology bien connue de nos NAS), tout ce que ne pourra faire ton routeur à 30€ sans une prise de tête garantie et sans passer entre autres par moultes lignes de commandes manuelles. J'ai compris que tu avais une LB, aussi si tu n'as pas de contrat orange pro et donc pas d'@IP FIXE : tu peux dire adieu à cette fonctionnalité. Avec une IP dynamique, il n'est pas possible de configurer une boite mail avec Mail Plus ou Mail Station. Il me semble aussi que c'est du coup aussi "perdu" pour la gestion de calendrier et contacts. Pour le reste de tes souhaits, ton NAS Synology te le permettra sans problèmes ( il y a tous les paquets qui vont bien pour faire cela) mais mon conseil est qu'il vaudrai mieux disposer d'un routeur qui "tienne la route" pour gérer correctement les flux de toutes ces activités. Certes tu peux toujours garder la LB comme routeur mais saches que tu sera très limité dans la configuration et avec surtout beaucoup de problèmes de stabilité notamment dûs la gestion déplorable du DHCP par cette dernière. Depuis que je suis personnellement passé en DMZ avec la LB, c'est hyper stable; Aucun reboot de la LB depuis 6 mois d'utilisation. De plus le WIFI du RT200ac est accessoirement très très largement supérieur à celui de la LB. Maintenant à toi de voir et ce n'est que mon avis ... Cordialement oracle7 😉

@TuringFan Bonjour, @maxou56 a raison J'étais comme toi et c'est la solution que j'ai personnellement adopté. J'ai mis un routeur RT2600ac (qui fait office de DHCP) derrière ma LB fibre en DMZ. Regardes pour info ce post tout y est décrit avec schémas à l'appui et depuis cela marche impeccablement (même le décodeur TV) comme tu le souhaites. Attention toutefois, si tu utilises des switchs : il faut impérativement qu'ils soient administrables et qu'ils gère IGMP. Cordialement oracle7😉

@Mic13710 Pourtant cela ne semble pas être incompatible aux dire de @firlin Cordialement oracle7 😉

Bonjour, @Jelydan Tapes directement dans l'explorateur : \\Ip_du_NAS\mon_dossier_partagé Sous WIN10 il n'y a que comme cela que j'arrive à atteindre mes répertoire partégés sur le NAS. La résolution de noms NETBIOS ne fonctionne pas correctement (un coup oui, pleins de coups non). Cordialement oracle7 😉

Bonjour, @perduici Pour ma part j'ai voulu étendre mon réseau WIFI avec une borne UNIFI UAP-AC-PRO placé derrière mon routeur RT2600ac. Eh bien je ne la recommande pas du tout. Impossible à configurer correctement. Que des déboires avec cette borne : voir le post ici (Accueil / Autres Produits Synology / Routeur RT2600AC / Pb Configuration PA Unifi UAP-AC-PRO derrière RT2600AC) Je l'ai remplacée par un MR2200ac et cela été "le jour et la nuit". installation et configuration du premier coup ! Depuis aucun problème avec une couverture WIFI d'enfer ! Cordialement oracle7 😉

@bruno78 Bonjour, Je confirme l'ordre suivi : Mise à jour pour le paquet DNS puis mise à jour de DSM. Action confirmée aussi par @Einsteinium qui parle de risque d'avoir à réparer les paquets si cet ordre n'est pas suivi. Effectivement tout cela va à l'encontre de la notification d'upgrade mais je reste pratique ... Cordialement oracle7 😉

@alan.dub Bonjour, Pourquoi faire ? si le serveur DNS est sur le NAS je n'en vois pas l'utilité sinon je suis preneur de bonnes raisons pour faire cela. Cordialement oracle7😉

Bonjour, Mise à jour vers 6.2.3-25423 sur DS918+ effectuée sans problème après avoir préalablement mis à jour les paquets (DNS Serveur entre autre). J'ai eut aussi effectivement la demande d'ouverture du port 53535 en UDP pour DNS Serveur dans le parfeu. Cordialement oracle7

@master0303 Donc ce n'est pas un problème de configuration openvpn. Pourquoi utiliser le pare-feu bitdefender ? Cela ne fait-il pas double emploi avec celui de Windows ? Cordialement oracle7 😉

@master0303 Bonsoir Pour comprendre, comment tes portables et tes PC fixes, sont-ils connectés au réseau : filaire ou WiFi ? Cordialement oracle7 😉

@master0303 Bonjour, Il faut remplacer la chaine "ndd.tld" dans l'exemple que je t'ai donné par le nom de ton domaine personnel. Si tu n'en as pas, tu peux en acheter un par exemple chez OVH (ils sont très bien !) pour un abonnement d'une dizaine d'euros par an. C'est très abordable. Par ailleurs, @pluton212+ as raison de te conseiller de suivre le tuto VPN Server dont il t'as donné le lien ci-avant. Ce serait déjà un bon début ... Cordialement oracle7 😉

@master0303 Édité ton fichier de configuration openvpn "xxxx.ovpn" : c'est une des premières lignes Cordialement oracle7 😏

@master0303 Bonsoir, As-tu essayé en mettant ton domaine ndd.tld à la place de l'@IP du NAS, chez moi cà marche ... Cordialement oracle7 😉

Bonjour @i-Moi C'est no-ip.com qui se charge de récupérer l'@IP externe de ta box dès qu'elle change, pour mettre à jour le lien "monsite.no-ip.com". En conséquences "monsite.com" pointe toujours sur la bonne @IP de ta box donc vers ton NAS si tu as redirigé le port 80 sur ton NAS dans celle-ci. Pour ma part je gère mon DDNS (OVH) sur le NAS. Je n'ai jamais utilisé No-ip sur la box, difficile donc de t'en dire plus. Bonne question, je ne saurais te dire car je n'utilise pas ces services DDNS car bien trop limités sauf à payé "cher" l'abonnement par an avec no-ip en comparaison d'OVH. En fait, j'ai juste configuré le DDNS de Synology "en secours" (c'est du double emploi) pour le cas où OVH tomberait (mais peu de chances que cela arrive). Cordialement oracle7 😉

Bonjour @i-Moi Voici quelques éléments de réponses : Oui absolument Il faut d'abord créer pour chacun d'eux, un enregistrement CNAME dans ta zone DNS chez ton fournisseur DDNS. Il faut qu'il soient déclarés : dans ton DNS local au NAS ainsi que dans ton certificat Let'sEncrypt si tu n'utilises pas de wildcard. dans les redirections de ports pour ton proxy inversé. Voir ci-dessus. Sinon quel intérêt de rediriger ver toto.no-ip.com si tu as acheté un domaine toto.com chez le fournisseur X. Restes chez X et configure correctement ton DDNS chez lui. Cela me parait bien plus simple. Avec Quickconnect quelque soit le chemin emprunté, tes données seront vues sur les serveurs chez Synology. Tout dépend de la confiance que tu leur accordes ... Points 2, 3, 4 : OUI pour Plex je ne sais pas car je ne l'utilise pas, je préfère Kodi. L2PT/IPSEC est plutôt utilisé habituellement dans le monde WINDOWS car plus facile à configuer entre PC WIN. Je l'ai installé mais personnellement j'ai opté en pratique pour OpenVPN, plus généraliste et surtout plus sécure car tu peux régler la clé de chiffrement à ta convenance : parano ou pas ! Cordialement oracle7 😉

Bonjour, @Stixen92 Je vais essayer de te donner quelques pistes de résolution de ton problème. Tout d'abord as-tu suivi le tuto de Fenrir sur la sécurisation de ton NAS ? Sinon je te le conseille vivement c'est un préalable incontournable. Ensuite, pour qu'une URL du type http:/file.ndd.com aboutisse en local, il te faut impérativement configurer un DNS local sur ton NAS. Voir le tuto correspondant. C'est pas bon ! A cet endroit tu dois entrer l'@IP externe de ton NAS donc en fait celle de ta box ou bien nas.ndd.com; les ports doivent être quant à eux ceux de DSM : 5000 http et 5001 https. Après il te faut aussi configurer le proxy inversé pour les accès externes via le port 443. Voir le tuto correspondant. Fais déjà cela et cela y ira surement mieux .... et on en reparle. Cordialement oracle7 😉

Bonjour @pouil Est-ce que ceci répond à ta question ? Cordialement oracle7 😉

Bonjour @Einsteinium Face à cette belle assertion, qu'à cela ne tienne : voici la commande (du §5 de ma procédure) à exécuter pour forcer la clé RSA en 4096bits (pour mémoire le chiffrement RSA est un algorithme de cryptographie asymétrique) : ./acme.sh --issue -d *.mondomaine.tld --dns dns_ovh --keylength 4096 --force Maintenant on peut aussi poussez plus loin les choses en adoptant un chiffrement basé sur une clé ECDSA s'appuyant sur les courbes elliptiques. Malgré une faible longueur, ces clés sont très robustes et peut-être bien plus sécures que les clés RSA sachant que ces dernières sont déjà bien suffisantes pour nos besoins. Pour comparaison, une clé ECDSA 256 bit est équivalente à une clé RSA 3072 bit, et une clé ECDSA 384 bit est équivalente à une clé RSA 7680 bit ! Let'sEncrypt reconnait les courbes elliptiques P-256 et P-384 mais le P-521 n'est pas encore reconnu. Dans ce dernier cas donc, la commande à utiliser serait : ./acme.sh --issue -d *.mondomaine.tld --dns dns_ovh --keylength ec-384 --force Cordialement oracle7 😉

Bonsoir, Bon et bien finalement en fouillant un peu, j'ai réussi à créer mon certificat wildcard Let'sEncrypt. Je vous livre ci-après la procédure que j'ai suivie (c'est un mixte de différents tutos trouvés sur la toile) : 1 - Installation de acme.sh Ouvrir une session SSH sur le NAS (j'ai utilisé pour cela WinSCP) $ wget https://github.com/Neilpang/acme.sh/archive/master.tar.gz $ tar xvf master.tar.gz $ cd acme.sh-master/ $ ./acme.sh --install --nocron --home /usr/local/share/acme.sh --accountemail "email@gmailcom" Nota : c'est la seule solution d'installation qui à marché dans mon cas. Vérifier si besoin les droits d'exécution de "acme.sh" : chmod a+x acme.sh 2 - Délivrer le certificat ./acme.sh --issue -d mondomaine.tld -d *.mondomaine.tld --dns --yes-I-know-dns-manual-mode-enough-go-ahead-please On obtient un message du genre : [Fri Mar 27 19:04:05 CET 2020] Single domain='*.mondomaine.tld' [Fri Mar 27 19:04:05 CET 2020] Getting domain auth token for each domain [Fri Mar 27 19:04:07 CET 2020] Getting webroot for domain='*.mondomaine.tld' [Fri Mar 27 19:04:07 CET 2020] Add the following TXT record: [Fri Mar 27 19:04:07 CET 2020] Domain: '_acme-challenge.mondomaine.tld' [Fri Mar 27 19:04:07 CET 2020] TXT value: 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx' [Fri Mar 27 19:04:07 CET 2020] Please be aware that you prepend _acme-challenge. before your domain [Fri Mar 27 19:04:07 CET 2020] so the resulting subdomain will be: _acme-challenge.mondomaine.tld [Fri Mar 27 19:04:07 CET 2020] Please add the TXT records to the domains, and re-run with --renew. [Fri Mar 27 19:04:07 CET 2020] Please add '--debug' or '--log' to check more details. [Fri Mar 27 19:04:07 CET 2020] See: https://github.com/acmesh-official/acme.sh/wiki/How-to-debug-acme.sh Se rendre ensuite sur le compte OVH dans la 'Zone DNS' du domaine 'mondomaine.tld' et on y ajoute une entrée TXT avec les informations issues du précédent message, telle que : _acme-challenge.mondomaine.tld 60 TXT xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Patienter quelques minutes le temps que les enregistrements DNS soient mis à jour par OVH. 3 - Configuration DNS Aller sur https://eu.api.ovh.com/createApp/ Saisir son identifiant et mot de passe client OVH Saisir pour "Application Name" (par ex) : Synology (en fait je ne savais pas quoi mettre alors ....) Saisir pour "Application Description" (par ex) : Certificat NAS (idem) Enfin cliquer sur "Create Keys" Noter les clés affichées dans le message de retour. 4 - Retour dans la session SHH Saisir : export OVH_AK="Application key" export OVH_AS="Application secret" 5 - Mettre à jour le certificat délivré précédemment ./acme.sh --issue -d mondomaine.tld -d *.mondomaine.tld --dns dns_ovh --force Nota : SI on met seulement '--renew' on récupère un message d'erreur qui nous dit qu'il faut appliquer '--force' alors autant le faire directement. et en retour dnc, on a un message du genre : [Fri Mar 27 20:34:58 CET 2020] Single domain='*.mondomaine.tld' [Fri Mar 27 20:34:58 CET 2020] Getting domain auth token for each domain [Fri Mar 27 20:35:00 CET 2020] Getting webroot for domain='*.mondomaine.tld' [Fri Mar 27 20:35:01 CET 2020] *.mondomaine.tld is already verified, skip dns-01. [Fri Mar 27 20:35:01 CET 2020] Verify finished, start to sign. [Fri Mar 27 20:35:01 CET 2020] Lets finalize the order, Le_OrderFinalize: https://acme-v02.api.letsencrypt.org/acme/finalize/xxxxxxxxxxxxxxxxx/xxxxxxxxxx [Fri Mar 27 20:35:02 CET 2020] Download cert, Le_LinkCert: https://acme-v02.api.letsencrypt.org/acme/cert/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx [Fri Mar 27 20:35:03 CET 2020] Cert success. -----BEGIN CERTIFICATE----- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx etc ... -----END CERTIFICATE----- [Fri Mar 27 20:35:03 CET 2020] Your cert is in /root/.acme.sh/*.mondomaine.tld/*.mondomaine.tld.cer [Fri Mar 27 20:35:03 CET 2020] Your cert key is in /root/.acme.sh/*.mondomaine.tld/*.mondomaine.tld.key [Fri Mar 27 20:35:03 CET 2020] The intermediate CA cert is in /root/.acme.sh/*.mondomaine.tld/ca.cer [Fri Mar 27 20:35:03 CET 2020] And the full chain certs is there: /root/.acme.sh/*.mondomaine.tld/fullchain.cer 6 - Recopie des fichiers générés sur le PC Via WinSCP (ou tout autre moyen) : Sélectionner le fichier sur le NAS : /root/.acme.sh/*.mondomaine.tld/*.mondomaine.tld.key et le recopier dans un répertoire sur le PC : il devient %2A.mondomaine.tld.key Sélectionnerle fichier sur le NAS : /root/.acme.sh/*.mondomaine.tld/*.mondomaine.tld.cer et le recopier dans un répertoire sur le PC : il devient %2A.mondomaine.tld.cer Sélectionnerle fichier sur le NAS : /root/.acme.sh/*.mondomaine.tld/ca.cer et le recopier dans un répertoire sur le PC Nota : le caractère '*' n'est pas accepté dans un nom de fichier sur WINDOWS, c'est pour cela qu'on le remplace par son équivalent : '%2A'. 7 - Importer le nouveau certificat dans DSM Ajouter un certificat Importer un certificat Sélectionner sur le PC le fichier : %2A.mondomaine.tld.key Sélectionner sur le PC le fichier : %2A.mondomaine.tld.cer Sélectionner sur le PC le fichier : ca.cer Valider en cliquant sur OK Rendre ensuite, si besoin, ce certificat valide par Défaut. Voilà, cela vaut ce que cela vaut, mais si çà peut aider ... Cordialement oracle7 😉