oracle7

@TAAD Bonjour, Bienvenue à toi sur ce forum, tu as dû voir que c'est une mine d'informations et d'entraide. Cordialement oracle7😉

@laurent1973 Bonjour, D'abord, vérifies que le sous-réseau IPv6 "fe80::/10" est bien ouvert/autorisé dans le pare-feu de ton NAS en IP source pour "Tous" (ports et protocoles). Pour enregistrer un bail DHCP statique donc une @IP fixe pour ton NAS, il te faut indiquer son @MAC (format aa:bb:cc:dd:ee:ff) et préciser l'@IP que tu souhaites. En général on indique de préférence une @IPv4 (192.168.x.y) ce qui est bien plus facile à retenir qu'une @IPv6 au format "xxxx:yyyy:zzzz:wwww:vvv:uuuu:tttt:kkkk", non ? Normalement, ta box accepte aussi les @IPv4 en 192.168.xx.yy. Celle-ci a normalement par défaut, l'@IPv4 192.168.0.1 ou 192.168.1.1. Vérifies cela dans son interface d'administration ou bien depuis un PC en tapant dans une fenêtre de CMD en mode admin, la commande : " ipconfig /all ". Cela va te renvoyer toutes les infos vues par notamment la carte réseau (Ethernet) de ton PC. Par ex pour la passerelle cela te donne l'@IP de ta box, à la fois en IPv4 et en IPv6. Cordialement oracle7😉

@Scuz Bonjour, Les autorisations d’accès aux données ont une hiérarchie : interdit(NA) > lecture/écriture (LE-RW) > lecture (LS-RO). Cela signifie que si dans le groupe "user" tu interdis l’accès à un répertoire, cette interdiction sera valable pour un Administrateur qui a des droits d’écriture sur ce répertoire... Un utilisateur quelqu'il soit, lors de sa création appartiendra toujours par défaut au groupe "users". Donc les droits que tu donnes au groupe "users" auront toujours préséance sur les droits donnés à d'autres dossiers partagés et/ou aux utilisateurs en particulier (qu'ils aient des droits d'administration ou non). Donc ici dans ton cas, manifestement tes utilisateurs héritent du droit "LS" du groupe "users" et n'auront donc pas accès en "LE" malgré que tu l'ai spécifié pour ton dossier "Famille". Tu me suis ? Il te faut résonner "à l'envers" si je puis dire : Sur le groupe "users" (et sauf exception bien réfléchie), tu autorises TOUT (donc rien de coché par défaut). Ensuite sur d'autres groupes et/ou tes utilisateurs en particulier, tu restreins les droits sur les dossiers partagés de ton choix. Le dernier niveau de la cascade est le plus restrictif sinon cela n'a pas de sens... Cordialement oracle7😉

@Jeff777 Bonjour, Oui, sachant que dans mon cas l'utilisateur Windows qui a créé le .pfx avec openssl sur PC Windows, a le même ID/MdP que mon utilisateur (avec droits d'admin) NAS qui a créer le certificat LE. Cela dit, voici une autre méthode pour créer le .pfx mais qui nécessite que le script acme.sh (voir mon TUTO) soit installé sur le NAS : Se connecter sous root en SSH au NAS (root a le même MdP que mon utilisateur avec droits d'admin) et taper les commandes suivantes : Nota : "/volume1/Certs" --> est mon répertoire de stockage des fichiers du certificat généré avec acme.sh $ ACME_HOME="/usr/local/share/acme.sh $ CERT_HOME="/volume1/Certs" $ cd $ACME_HOME $ ./acme.sh --toPkcs -d votre-domaine.tld Enter Export Password: Verifying - Enter Export Password: [Mon May 25 20:00:28 CEST 2020] Success, Pfx is exported to: /volume1/Certs/votre-domaine.tld/votre-domaine.tld.pfx « Password » est le mot de passe utilisé pour ouvrir la session SSH. En espérant que cela pourra t'aider. Cordialement oracle7😉

@Kody35 Bonjour, Bienvenue à toi sur ce forum, tu as dû voir que c'est une mine d'informations et d'entraide. Cordialement oracle7😉

@nounours18200 Bonjour, Tu ne risques pas de la trouver si tu n'as pas créé de profil VPN dans " Réseau > Interface réseau > Bouton Creer > Popup Créer un profil VPN ", ce qui est manifestement le cas vu ta seconde copie d'écran. Récupères avant tes paramètres de connexion à NordVPN et suis la procédure que je t'avais donnée précédemment. Cordialement oracle7😉

@Jeff777 Bonjour, Du coup, tu n'aurais pas par hasard modifié ta façon de faire, un détail tout c... Cordialement oracle7😉

@Jeff777 Bonjour, Sauf erreur de ma part, c'est le MdP de l'utilisateur avec droits d'admin qui a créé le certificat qu'il faut rentrer. Enfin pour moi c'est ce qui marche. EDIT : Sur Android. Cordialement oracle7😉

@rodo37 Bonjour, Merci beaucoup 👍🤗😀 pour l'annonce que je découvre seulement maintenant. J'avais déjà souscrit au programme de 20 licences gratuites à vie pour VPN Plus Server qui était ouvert jusqu'au 30/09/2021, du coup maintenant j'ai activé en plus la licence gratuite à vis de Site-to-Site VPN. Super ! Cordialement oracle7😉

@CyberFr Bonjour, Bien vu 👍 j'avais oublié qu'il était sur Mac et donc cette spécificité. @TAAD Bonjour, Si ton client OpenVPN est sur Android, il faut faire comme sur MAC, importer le certificat (converti en .p12 tel que te l'a décrit @CyberFr) et sélectionner le certificat lors de ta première connexion. Après tout roule ... Cordialement oracle7😉

@TAAD Bonjour, Quand tu exportes ton fichier de configuration .opvn, celui-ci contient le certificat qui est marqué par défaut dans DSM. Il est entre les balises <ca> et </ca> du fichier .ovpn. Donc il n'y a pas besoin de le recharger dans OpenVPN. Où as-tu vu qu'il fallait charger le certificat dans OpenVPN ? Cordialement oracle7😉

@WilfredGibson Bonjour, Relis la réponse précédente de @maxou56 il est parfaitement explicite. Cordialement oracle7😉

@kankan Bonjour, Attends, je ne comprends plus : Dans ton poste initial tu dis que tu te connectes sans problème au serveur OpenVPN que tu as installé sur ton NAS. Donc tu as dû suivre le TUTO : VPN Server. Ensuite, tu évoques un problème d'accès à un répertoire partagé depuis ton PC sur le réseau local. As-tu bien suivi le TUTO : Sécuriser les accès à son NAS ? J'en conclue, mais je peux me tromper, que ton problème n'est pas le VPN (vu que c'est une "surcouche" réseau) mais plutôt soit ton dossier partagé qui serait mal défini ou la partie réseau de ton PC qui "déco...." ou encore le pare-feu de ton NAS qui bloque les accès depuis ton réseau local. A mon humble avis commences par rechercher de ce coté là en réinitialisant aussi la configuration réseau de ton PC par ex. Essaies aussi, si possible, avec un autre PC connecté à ton réseau local pour voir si tu reproduis le problème. Là je crains que l'on te voit venir avec de "gros sabots" que l'on te fasse payer très cher quelque chose que tu pourrais résoudre toi-même. Maintenant ce que j'en dis, c'est toi qui voit ... Cordialement oracle7😉

@TAAD Bonjour, Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). A la vue de ton dernier fichier de configuration .ovpn, tu as indiquée une @IP (remote ....) qui doit être ton @IP externe (celle de ta box) et donc pas de nom de domaine. J'espère que cette @IP est fixe et pas dynamique sinon tu auras des problèmes, mais bon ... Donc comme tu ne sembles pas utiliser de nom de domaine, j'en conclue, mais je peux me tromper, que tu n'as probablement pas fait de certificat pour un nom de domaine. Ceci expliquerait alors ton message d'erreur. A voir ... Du coup dans l'esprit, je t'invite à lire et suivre ce TUTO : Pourquoi et comment utiliser un nom de domaine et cela répondra à tes questions (Q1). Je suis personnellement plus réservé sur l'intérêt de l'IPv6 avec le VPN, car cela sous entend que tout par ailleurs soit aussi configuré en IPv6 (box/routeur, périphériques, etc ...) ce qui est rarement le cas chez un particulier. Ceci étant, le préfixe IPv6, tu le trouves au niveau de ta box, normalement. Q3 : ????? quelle outil de configuration OpenVPN utilises-tu, car je n'ai pas ces cases à cocher dans la configuration OpenVPN sous Synology VPN Server ? Cordialement oracle7😉

@WilfredGibson Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations et d'entraide. Et tu as quoi comme NAS ? Cordialement oracle7😉

@nounours18200 Bonjour, Très bien, mais même blindés comme tu le dis, si tu DL un torrent pourri (et la toile en regorge) et qu'il pourri à son tour le NAS et que tu n'en t'aperçois pas immédiatement, tes backup ensuite seront aussi certainement pourris. Bénéfice final ????? De quel VPN parles-tu ? Si c'est de NordVPN, lui seul protège ton DL face aux yeux extérieurs. Il protège d'ailleurs aussi tout ton surf Internet en masquant ton @IP externe réelle depuis ton NAS vers l'extérieur. Rien e plus. Pour ce qui est de VPN Server installé sur ton NAS pour sécuriser tes connexions depuis l'extérieur vers le NAS, là il ne protège pas du tout tes DL puisque l'on est pas dans le sens de communication. De toutes façons, tes DL ne passent pas par lui, alors ... Voilà tu as maintenant tous les sons de cloches, à toi de voir celles qui ont la meilleure sonorité à tes oreilles ...🤪🤣 Cordialement oracle7😉

@nounours18200 Bonjour, Comme tenu de mon précédent argumentaire, mais qui n'engage que moi, Download Station ne sert à rien !🤪 surtout pour DL du Warez. Rien ne t'interdit de l'utiliser, personnellement je ne l'utilise pas, il y a à mon sens, sur le marché des outils de DL bien plus performants et plus rapides dans le monde PC/Mac. Maintenant, comme d'autres packages, Synology se doit de fournir des outils "intégrés" pour faire face à la concurrence et attirer les clients chez eux. Mais ce n'est pas le propre des NAS, du moins dans leur fonction première de serveurs de données. Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@molinadiaz Bonjour, Qu'il faille que les deux NAS soient sous un même réseau ne me choque pas plus que cela, au contraire cela me paraît même logique quelque part. Mais en fait, tes serveurs Paris et Madrid sont chacun sur un sous-réseau de la plage 192.168.1.0 (ou 192.168.0.0) mais ils n'en sont pas moins sur des sous-réseaux différents stricto sensus vus qu'ils sont sur des machines distinctes géographiquement, non ? L'astuce est plutôt dans le fait d'utiliser des @IP dans la même plage, ce qui fait qu'elles sont automatiquement reconnues comme faisant partie de l'un ou l'autre sous-réseau selon comment on les atteint. Je ne sais si je m'exprime bien ... Sinon, je ne saisi pas bien cette différence d'interface TUN/TAP pour Android. De ce que je crois avoir compris de ces notions : TUN nous apporte un réseau "tunnelé" et l'interface virtuelle TAP un appareil. En clair, on passe par un réseau "tunnelé" pour atteindre un autre réseau. Par exemple, lors de la configuration d'un réseau OpenVPN, on reçoit le 10.8.0.6 sur notre client. Le serveur VPN 10.8.0.1 achemine notre demande vers un autre réseau (par exemple 192.168.xx.0/24) derrière et lorsque on utilise TAP, on reçoit l'@IP (192.168.10.10/24) de l'appareil directement de notre réseau cible (192.168.10.x/24). Sinon, j'ai trouvé cela en complément de ton précédent lien : Un autre lien intéressant ici. Cordialement oracle7😉

@nounours18200 Bonjour, La réponse est Oui aux deux questions. Comment ? : Panneau de configuration > Réseau > Interface réseau Créer un profil VPN Sélectionner OpenVPN (via l'importation d'un fichier .ovpn) puis cliquer Suivant Aller sur le site NordVPN et sélectionner un serveur pour la connexion (choisir le pays, le type de serveur) et cliquer sur "Download config" avec au choix UDP ou TCP. Noter son adresse (par ex us5825.nordvpn.com) Retour sur le NAS : Indiquer un Nom de Profil > saisir les informations de connexion (ID/MdP : disponibles dans le Tableau de bord de NordVPN) Importer le fichier de configuration .ovpn et cliquer sur suivant. Terminer la configuration en indiquant les options souhaitées (passerelle par défaut, reconnexion auto, etc ...) Cliquer sur Appliquer. Pour finir sélectionner la connexion VPN et se Connecter. Cela dit, mais ce n'est que mon avis, il est quand même bien plus sûr de ne pas exposer directement le NAS à Internet via ce type de connexion. Il est préférable de DL via ton PC et NordVPN et ainsi profiter de ton antivirus de ton PC (bien plus puissant que celui du NAS, si tu en as installé un sur NAS - au passage très gourmand en ressources) qui assurera le filtrage et la sécurité des fichiers DL. Seulement ensuite quand tu es sûr qu'ils sont "clean" alors tu les transfères sur le NAS. Ainsi ton NAS est mieux protégé des DL directs sur lui. Maintenant ce que j'en dit, c'est toi qui voit ... Cordialement oracle7😉

@molinadiaz Bonjour, OK, pas de soucis. Par ailleurs, une petite relecture du TUTP VPN server indique ceci : Peut-être une piste à suivre ... Cordialement oracle7😉

@TAAD Bonjour, Si j'étais toi je ne m'embêterai pas avec "Tunnelblick", utilises tout simplement le client OpenVPN officiel dans sa version Mac-OS disponible ici. Tu exportes ton fichier de configuration OpenVPN depuis le NAS et tu le recharges dans ton client. C'est pas plus compliqué et adieu les messages d'erreurs liés à la version du serveur OpenVPN et de Tunnelblick. Maintenant c'est toi qui voit ... Cordialement oracle7😉

@molinadiaz Bonjour, Pour ton information, voilà ce qui ce passe selon que la ligne "#redirect-gateway def1" est commentée (avec #) ou non : Commentée --> VPN Split-Tunnel : le trafic n'est envoyé via votre réseau que s'il tente d'accéder à une ressource interne. Votre adresse IP lorsque vous naviguez vers un site en dehors de votre réseau sera l'adresse IP du réseau sur lequel vous vous trouvez actuellement. Non commentée --> VPN Full-Tunnel : tout le trafic est envoyé via votre réseau domestique. Votre adresse IP pour les requêtes internes et externes sera votre réseau domestique. En clair cela donne ceci : Ceci peut expliquer la différence de comportement que tu rencontres. Maintenant ce que j'en dit ... Cordialement oracle7😉

@Gramm Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit, rassures-toi il n'est pas trop tard pour bien faire ... Pour répondre à ta question, Oui bien sûr, c'est même je dirais un des premiers usages que l'on fait d'un NAS en plus d'y stocker vidéos, photos et autres documents pour qu'ils soient accessibles à tous les clients du réseau local ou même depuis l'extérieur si besoin. Cordialement oracle7😉

@TAAD Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Pour commencer, quelle fausse mauvaise idée de changer le port standard d'OpenVPN, il est prévu pour fonctionner en UDP sur le port 1194. Inutile de le changer, tu ne seras pas plus sécurisé pour autant. Vérifies donc que le port 1194 est bien ouvert/autorisé dans le pare-feu du NAS. Essaies d'ajouter cette ligne à ton fichier de configuration .ovpn (après " redirect-gateway def1 "), c'est une spécificité pour le monde iOS : redirect-gateway ipv6 As-tu lu ce TUTO : VPN Server ? Dans la configuration du protocole OpenVPN, as-tu bien cochée la case "Autoriser aux clients l'accés au serveur LAN" ainsi que celle pour "Activer la compression sur la liaison VPN" ? Cordialement oracle7😉

@.Shad. Bonjour, Je viens de faire la manip sur l'ajout de l'utilisateur "telegraf". Tout va bien sauf que le conteneur telegraf a planté lorsque j'ai voulu rétablir les droits à 0660 sur le fichier " /var/run/docker.sock " , droits que j'avais modifiés en 0666 lors de la détection du problème suscité. Dès que je suis repassé à 0666 tout est revenu dans l'ordre plus de message d'erreur dans le logs telegraf. Aurais-je raté un truc ? Sinon juste pour comprendre, dans le TUTO tu indiques dans le fichier "telegraf.conf" pour le suivi docker à la section [[inputs.docker]] les instructions suivantes : perdevice = true total = true qui au passage généraient chez moi deux warning (de mémoire @MilesTEG1 avait eut aussi il me semble le soucis) : 021-09-28T16:49:31Z W! [inputs.docker] 'perdevice' setting is set to 'true' so 'blkio' and 'network' metrics will be collected. Please set it to 'false' and use 'perdevice_include' instead to control this behaviour as 'perdevice' will be deprecated 2021-09-28T16:49:31Z W! [inputs.docker] 'total' setting is set to 'false' so 'blkio' and 'network' metrics will not be collected. Please set it to 'true' and use 'total_include' instead to control this behaviour as 'total' will be deprecated alors que les commentaires d'origine du fichier telegraf.conf indiquent que : ## Usage of this setting is discouraged since it will be deprecated in favor of 'perdevice_include'. ## Default value is 'true' for backwards compatibility, please set it to 'false' so that 'perdevice_include' setting ## is honored et donc qu'il faudrait remplacer ces instructions par respectivement : # perdevice = true perdevice = false perdevice_include = ["cpu", "blkio", "network"] # total = false total = true total_include = ["cpu", "blkio", "network"] qui font disparaitre les dits warning. D'où ma question, est-ce normal ou le TUTO serait-il à mettre à jour dans ce sens ? Ton avis STP. Cordialement oracle7😉