oracle7

@tompus Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. Et quels modèles de NAS as-tu ? Cordialement oracle7😉

@MimiraK Bonjour, En espérant ne pas te raconter de c ... ies et donc sous toutes réserves, il me semble qu'il faille remplacer le serveur principal HTTP qui est en "nginx" par "Apache HTTP Server 2.2" dans WebStation et dans Virtual Host. A tester donc ... Cordialement oracle7😉

@Jeff777 Bonjour, Pour moi il n'y a pas de limitations sauf à respecter pour les caractères des lettres minuscules, majuscules et chiffres uniquement, la longueur n'a pas d'importance mais plus il est long mieux c'est pour la sécurité. Dans tous les cas il faut bannir les caractères dit spéciaux. Ce MdP de ce que j'en ai compris, mais je peux me tromper, sert à ouvrir la clé privée associée au certificat pour vérifier la concordance avec la clé publique ou quelque chose comme cela. Oui. Bah voilà alors le problème. Utilises le même et je penses que cela ira tout de suite mieux. Cordialement oracle7😉

@Methodrone8 Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit, rassures-toi il n'est pas trop tard pour bien faire ... Laisses tomber la configuration du DynDNS sur la box, tu n'en as pas besoin. Renseignes correctement la partie DDNS sur le NAS comme tu as semble-t-il déjà fait. A ce niveau, le nom d'hôte "mon-nas" que tu renseignes ne doit pas être le nom que tu as donné par ailleurs à ton NAS. Ce nom d'hôte doit aussi être le même que celui indiqué dans "Accès externe > Avancés". Ensuite il te faut cocher la case pour créer un certificat Let'sEncrypt pour ce domaine "mon-nas.synology.me" et pour son wilcard "*.mon-nas.synology.me" (dans autre nom de l'objet). Le wilcard te permettra ensuite d'utiliser des sous-domaines du style "xxxxx.mon-nas.synology.me" pour atteindre des applications internes du NAS via le Reverse Proxy par ex. En parallèle, il te faut aussi transférer (NAT) les ports 80 et 443 de ta box vers le NAS et ouvrir/autoriser ces même ports ainsi que les ports 5000 et 5001 dans le pare-feu du NAS. Enfin je t'invite à vérifier que tu as parfaitement sécurisé ton NAS en lisant et appliquant ce TUTO. Au passage, il serait bon que tu lises aussi avant ce TUTO. Cordialement oracle7😉

@Scuz Bonjour, Tu n'utiliserais pas par hasard Synology Photo ? Si oui dans ce cas en aucun cas, il ne faut attribuer/modifier les droits d’accès depuis FileStation. Dans Synology Photo si tu es sous DSM7 il existe 2 zones de stockage des photos : L’espace partagé et l’espace personnel. L’espace partagé correspond au dossier « Photo » créé par l’installation de l’application et n’est accessible, par défaut, qu’à l’administrateur. Il ne faut surtout pas modifier les droits d’accès à ce dossier. L’espace personnel se trouvera dans le dossier « Home » de l’utilisateur. Concernant l’espace partagé, il est préférable de créer des groupes d’utilisateurs par album partagé depuis le panneau de configuration -> Utilisateur et Groupe. Grâce à cela, il est plus facile d’attribuer les droits sur les albums partagés. En revanche, il faut attribuer les droits de lecture/écriture du dossier Photos à l’utilisateur qui va gérer les albums partagés. Voilà sous réserve ce que j'en sais, sachant que je n'utilise pas Synology Photo et que je suis encore sous DSM6. Il y aura ici sûrement quelqu'un de plus compétent que moi pour confirmer ou infirmer ces pistes. Cordialement oracle7😉

@Drickce Kangel Bonjour, As-tu vérifié que connecté au NAS sous SSH et root un nslookup nas.customurl.com 8.8.8.8 donne bien ton @IPexterne (celle de ta box/routeur) ? Free ne t'aurais pas réduit non plus la plage de ports pour ton @IP à ton insu ? Ton @IP externe justement est-elle bien "fullstack" ? Cordialement oracle7😉

@Jeff777 Bonjour, Je crains bien que OUI. Cela dit, n'y a-t-il pas moyen de faire en sorte que les serveurs LE viennent directement dans ta zone DNS publique pour faire leurs contrôles de validité du domaine plutôt que d'aller toi par script recopier les fichiers _acme-challenge_ndd.tlt chez toi ? Ne serait-ce pas plus simple ? Ce n'est qu'une hypothèse ... Maintenant, ton script de ce que j'en ai vu, ne fait qu'automatiser ce que je fais moi manuellement mais en utilsant la procédure manuelle acme au lieu du mode DNS d'acme. J'ai bon ? Et du coup, tes problèmes ne viendraient-ils pas de là ? Je me demande mais je peux me tromper. Cordialement oracle7😉

@Noobonas Bonjour, Pas de soucis on a tous nos priorités à gérer ... Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). As-tu essayé de donner des droits en LE à ton utilisateur lambda sur le dossier partagé "/volume1/scripts" et ensuite (sous SSH root) le droit spécifique d'exécution (chmod 0777)sur le script pour les utilisateurs "autres" ? Cordialement oracle7😉

@Jeff777 Bonjour, ??? Je te crois volontiers mais c'est pas possible cà doit te demander un MdP. Je ne ne comprend pas 😟 Désolé, mais je crains que tu n'ais certainement autre chose de mal configuré ailleurs, mais quoi ? Comme cela je ne vois pas. Habituellement, tu génères comment ton certificat LE ? quelle méthode ? Cordialement oracle7😟

@Noobonas Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. J'invite à regarder et suivre ces deux TUTOs pour bien démarrer. TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Cordialement oracle7😉

@TAAD Bonjour, Bienvenue à toi sur ce forum, tu as dû voir que c'est une mine d'informations et d'entraide. Cordialement oracle7😉

@laurent1973 Bonjour, D'abord, vérifies que le sous-réseau IPv6 "fe80::/10" est bien ouvert/autorisé dans le pare-feu de ton NAS en IP source pour "Tous" (ports et protocoles). Pour enregistrer un bail DHCP statique donc une @IP fixe pour ton NAS, il te faut indiquer son @MAC (format aa:bb:cc:dd:ee:ff) et préciser l'@IP que tu souhaites. En général on indique de préférence une @IPv4 (192.168.x.y) ce qui est bien plus facile à retenir qu'une @IPv6 au format "xxxx:yyyy:zzzz:wwww:vvv:uuuu:tttt:kkkk", non ? Normalement, ta box accepte aussi les @IPv4 en 192.168.xx.yy. Celle-ci a normalement par défaut, l'@IPv4 192.168.0.1 ou 192.168.1.1. Vérifies cela dans son interface d'administration ou bien depuis un PC en tapant dans une fenêtre de CMD en mode admin, la commande : " ipconfig /all ". Cela va te renvoyer toutes les infos vues par notamment la carte réseau (Ethernet) de ton PC. Par ex pour la passerelle cela te donne l'@IP de ta box, à la fois en IPv4 et en IPv6. Cordialement oracle7😉

@Scuz Bonjour, Les autorisations d’accès aux données ont une hiérarchie : interdit(NA) > lecture/écriture (LE-RW) > lecture (LS-RO). Cela signifie que si dans le groupe "user" tu interdis l’accès à un répertoire, cette interdiction sera valable pour un Administrateur qui a des droits d’écriture sur ce répertoire... Un utilisateur quelqu'il soit, lors de sa création appartiendra toujours par défaut au groupe "users". Donc les droits que tu donnes au groupe "users" auront toujours préséance sur les droits donnés à d'autres dossiers partagés et/ou aux utilisateurs en particulier (qu'ils aient des droits d'administration ou non). Donc ici dans ton cas, manifestement tes utilisateurs héritent du droit "LS" du groupe "users" et n'auront donc pas accès en "LE" malgré que tu l'ai spécifié pour ton dossier "Famille". Tu me suis ? Il te faut résonner "à l'envers" si je puis dire : Sur le groupe "users" (et sauf exception bien réfléchie), tu autorises TOUT (donc rien de coché par défaut). Ensuite sur d'autres groupes et/ou tes utilisateurs en particulier, tu restreins les droits sur les dossiers partagés de ton choix. Le dernier niveau de la cascade est le plus restrictif sinon cela n'a pas de sens... Cordialement oracle7😉

@Jeff777 Bonjour, Oui, sachant que dans mon cas l'utilisateur Windows qui a créé le .pfx avec openssl sur PC Windows, a le même ID/MdP que mon utilisateur (avec droits d'admin) NAS qui a créer le certificat LE. Cela dit, voici une autre méthode pour créer le .pfx mais qui nécessite que le script acme.sh (voir mon TUTO) soit installé sur le NAS : Se connecter sous root en SSH au NAS (root a le même MdP que mon utilisateur avec droits d'admin) et taper les commandes suivantes : Nota : "/volume1/Certs" --> est mon répertoire de stockage des fichiers du certificat généré avec acme.sh $ ACME_HOME="/usr/local/share/acme.sh $ CERT_HOME="/volume1/Certs" $ cd $ACME_HOME $ ./acme.sh --toPkcs -d votre-domaine.tld Enter Export Password: Verifying - Enter Export Password: [Mon May 25 20:00:28 CEST 2020] Success, Pfx is exported to: /volume1/Certs/votre-domaine.tld/votre-domaine.tld.pfx « Password » est le mot de passe utilisé pour ouvrir la session SSH. En espérant que cela pourra t'aider. Cordialement oracle7😉

@Kody35 Bonjour, Bienvenue à toi sur ce forum, tu as dû voir que c'est une mine d'informations et d'entraide. Cordialement oracle7😉

@nounours18200 Bonjour, Tu ne risques pas de la trouver si tu n'as pas créé de profil VPN dans " Réseau > Interface réseau > Bouton Creer > Popup Créer un profil VPN ", ce qui est manifestement le cas vu ta seconde copie d'écran. Récupères avant tes paramètres de connexion à NordVPN et suis la procédure que je t'avais donnée précédemment. Cordialement oracle7😉

@Jeff777 Bonjour, Du coup, tu n'aurais pas par hasard modifié ta façon de faire, un détail tout c... Cordialement oracle7😉

@Jeff777 Bonjour, Sauf erreur de ma part, c'est le MdP de l'utilisateur avec droits d'admin qui a créé le certificat qu'il faut rentrer. Enfin pour moi c'est ce qui marche. EDIT : Sur Android. Cordialement oracle7😉

@rodo37 Bonjour, Merci beaucoup 👍🤗😀 pour l'annonce que je découvre seulement maintenant. J'avais déjà souscrit au programme de 20 licences gratuites à vie pour VPN Plus Server qui était ouvert jusqu'au 30/09/2021, du coup maintenant j'ai activé en plus la licence gratuite à vis de Site-to-Site VPN. Super ! Cordialement oracle7😉

@CyberFr Bonjour, Bien vu 👍 j'avais oublié qu'il était sur Mac et donc cette spécificité. @TAAD Bonjour, Si ton client OpenVPN est sur Android, il faut faire comme sur MAC, importer le certificat (converti en .p12 tel que te l'a décrit @CyberFr) et sélectionner le certificat lors de ta première connexion. Après tout roule ... Cordialement oracle7😉

@TAAD Bonjour, Quand tu exportes ton fichier de configuration .opvn, celui-ci contient le certificat qui est marqué par défaut dans DSM. Il est entre les balises <ca> et </ca> du fichier .ovpn. Donc il n'y a pas besoin de le recharger dans OpenVPN. Où as-tu vu qu'il fallait charger le certificat dans OpenVPN ? Cordialement oracle7😉

@WilfredGibson Bonjour, Relis la réponse précédente de @maxou56 il est parfaitement explicite. Cordialement oracle7😉

@kankan Bonjour, Attends, je ne comprends plus : Dans ton poste initial tu dis que tu te connectes sans problème au serveur OpenVPN que tu as installé sur ton NAS. Donc tu as dû suivre le TUTO : VPN Server. Ensuite, tu évoques un problème d'accès à un répertoire partagé depuis ton PC sur le réseau local. As-tu bien suivi le TUTO : Sécuriser les accès à son NAS ? J'en conclue, mais je peux me tromper, que ton problème n'est pas le VPN (vu que c'est une "surcouche" réseau) mais plutôt soit ton dossier partagé qui serait mal défini ou la partie réseau de ton PC qui "déco...." ou encore le pare-feu de ton NAS qui bloque les accès depuis ton réseau local. A mon humble avis commences par rechercher de ce coté là en réinitialisant aussi la configuration réseau de ton PC par ex. Essaies aussi, si possible, avec un autre PC connecté à ton réseau local pour voir si tu reproduis le problème. Là je crains que l'on te voit venir avec de "gros sabots" que l'on te fasse payer très cher quelque chose que tu pourrais résoudre toi-même. Maintenant ce que j'en dis, c'est toi qui voit ... Cordialement oracle7😉

@TAAD Bonjour, Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). A la vue de ton dernier fichier de configuration .ovpn, tu as indiquée une @IP (remote ....) qui doit être ton @IP externe (celle de ta box) et donc pas de nom de domaine. J'espère que cette @IP est fixe et pas dynamique sinon tu auras des problèmes, mais bon ... Donc comme tu ne sembles pas utiliser de nom de domaine, j'en conclue, mais je peux me tromper, que tu n'as probablement pas fait de certificat pour un nom de domaine. Ceci expliquerait alors ton message d'erreur. A voir ... Du coup dans l'esprit, je t'invite à lire et suivre ce TUTO : Pourquoi et comment utiliser un nom de domaine et cela répondra à tes questions (Q1). Je suis personnellement plus réservé sur l'intérêt de l'IPv6 avec le VPN, car cela sous entend que tout par ailleurs soit aussi configuré en IPv6 (box/routeur, périphériques, etc ...) ce qui est rarement le cas chez un particulier. Ceci étant, le préfixe IPv6, tu le trouves au niveau de ta box, normalement. Q3 : ????? quelle outil de configuration OpenVPN utilises-tu, car je n'ai pas ces cases à cocher dans la configuration OpenVPN sous Synology VPN Server ? Cordialement oracle7😉

@WilfredGibson Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations et d'entraide. Et tu as quoi comme NAS ? Cordialement oracle7😉