oracle7

@Kody35 Bonjour, Essaies d'activer le "split tunneling" dans la configuration de SSL VPN et ajoutes (bouton Modifier) dans la liste associée, le réseau local que tu as désigné dans "Plage d'IP du client". Cordialement oracle7😉

@Jeff777 Bonjour, A mon humble avis ne cherches pas plus loin ! Les caractères spéciaux sont à bannir ! Cà passe peut-être pour des systèmes tels que Windows, (Mac je sais pas) mais en tout cas pour un système basé sur UNIX/Linux comme DSM, c'est sûr que ce n'est pas bon. UNIX/Linux, sont aussi très sensibles à la casse notamment dans les Ids, le noms de fichiers, les commandes shell, etc ... Aller, encore un p'tit effort à tête reposée et cela ira bien ... Le jeu en vaut la chandelle, non ? Cordialement oracle7😉

@Methodrone8 Bonjour, Parfait alors, tout est rentré dans l'ordre et tant mieux.🤗 Content d'avoir pu t'aider.😀 Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@MimiraK Bonjour, Si tu parles de ce TUTO, alors tu as dû raté un truc en cours de configuration, je ne peux que t'inviter à le relire bien à l'horizontale pour ne pas perdre d'information en route. Maintenant @DaffY devrait pouvoir t'aider. C'est lui l'expert ! Cordialement oracle7😉

@Jeff777 Bonjour, là déjà je crois que la syntaxe n'est pas bonne, cela devrait être : openssl pkcs12 -export -out certificat.p12 -inkey privkey.pem -in cert.pem -certfile chain.pem là, moi je mets le MdP de l'utilisateur du NAS qui a créer le certificat et qui est aussi mon utilisateur courant du NAS. Dans ce profil OpenVPN Connect, pour le mot de passe moi je mets le même qu'au point 2. Là aussi, j'utilise l'utilisateur et son MdP qui a créer le certificat sur le NAS. En clair, tout au long de la chaîne, j'utilise le même Id d'utilisateur et le même MdP associé. Je ne suis pas sûr que tes changement de MdP même si tu reprends le même Id d'utilisateur, soit une bonne chose et donc que ce soit la source de ton problème. Pourquoi n'harmonises-tu pas ? Maintenant ce n'est que mon avis ... Cordialement oracle7😉

@tompus Bonjour, Juste pour ta gouverne, dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ce serait bien que tu ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci. Cordialement oracle7😉

@tedkiller Bonjour, Bienvenue à toi sur ce forum. Cordialement oracle7😉

@dim17 Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. Quand tu auras ta nouvelle machine, j'invite à regarder et suivre ces deux TUTOs pour bien démarrer. TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Cordialement oracle7😉

@MimiraK Bonjour, Même après avoir redémarré le Web Station ? Cordialement oracle7😉

@Drickce Kangel Ahhh FREE et ses mystères ...🤣

@Darkangel You're welcome 😀

@nounours18200 Bonjour, Autant je sais faire sous NordVPN avec les applications sur un PC mais avec les applications hébergées sur le NAS c'est un mystère ????? Dans l'interface de NordVPN, il y a ceci : et là tu sélectionnes les applications de ton choix. Je ne saurais te dire si c'est aussi possible sur le NAS . Je te laisse voir et dis moi pour ma culture personnelle. Cordialement oracle7😉

@Darkangel Bonjour, D'autres membres plus compétents que moi en VM (je n'en utilise pas) pourront confirmer ou non mais pour moi cela me paraît normal que ce soit le port 80, mais je peux me tromper. Cordialement oracle7😉

@tompus Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. Et quels modèles de NAS as-tu ? Cordialement oracle7😉

@MimiraK Bonjour, En espérant ne pas te raconter de c ... ies et donc sous toutes réserves, il me semble qu'il faille remplacer le serveur principal HTTP qui est en "nginx" par "Apache HTTP Server 2.2" dans WebStation et dans Virtual Host. A tester donc ... Cordialement oracle7😉

@Jeff777 Bonjour, Pour moi il n'y a pas de limitations sauf à respecter pour les caractères des lettres minuscules, majuscules et chiffres uniquement, la longueur n'a pas d'importance mais plus il est long mieux c'est pour la sécurité. Dans tous les cas il faut bannir les caractères dit spéciaux. Ce MdP de ce que j'en ai compris, mais je peux me tromper, sert à ouvrir la clé privée associée au certificat pour vérifier la concordance avec la clé publique ou quelque chose comme cela. Oui. Bah voilà alors le problème. Utilises le même et je penses que cela ira tout de suite mieux. Cordialement oracle7😉

@Darkangel Bonjour, Ton domaine est "xxxxx.synology.me" et tes sous-domaines seront en "yyyy.xxxxx.synology.me". Donc le SEUL certificat à créer est pour le domaine "xxxxx.synology.me" et son wilcard "*.xxxxx.synology.me" qui couvrira lui tous les sous-domaines "yyyy.xxxxx.synology.me". Dans le Reverse Proxy pour atteindre ta VM tu crées une règle : https://vm.xxxxx.synology.me 443 http/2 --> http://@IPlocaleVM:port. Normal ton navigateur a voulu vérifier qu'il existait bien un certificat valide pour xxx.synology.me et comme il n'en existait pas, il t'a envoyé une alerte de sécurité disant que ta connexion n'était pas fiable. Tu es passé outre (ce qui n'est pas bien car si tu fais cela avec d'autres sites, tu cours vers les ennuis) et tu as autorisé la connexion. Ce qui marche effectivement mais sans aucune sécurité. Il te faut impérativement créer ce certificat LE pour protéger tes connexions avec tes sous-domaines. Cordialement oracle7😉

@Methodrone8 Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit, rassures-toi il n'est pas trop tard pour bien faire ... Laisses tomber la configuration du DynDNS sur la box, tu n'en as pas besoin. Renseignes correctement la partie DDNS sur le NAS comme tu as semble-t-il déjà fait. A ce niveau, le nom d'hôte "mon-nas" que tu renseignes ne doit pas être le nom que tu as donné par ailleurs à ton NAS. Ce nom d'hôte doit aussi être le même que celui indiqué dans "Accès externe > Avancés". Ensuite il te faut cocher la case pour créer un certificat Let'sEncrypt pour ce domaine "mon-nas.synology.me" et pour son wilcard "*.mon-nas.synology.me" (dans autre nom de l'objet). Le wilcard te permettra ensuite d'utiliser des sous-domaines du style "xxxxx.mon-nas.synology.me" pour atteindre des applications internes du NAS via le Reverse Proxy par ex. En parallèle, il te faut aussi transférer (NAT) les ports 80 et 443 de ta box vers le NAS et ouvrir/autoriser ces même ports ainsi que les ports 5000 et 5001 dans le pare-feu du NAS. Enfin je t'invite à vérifier que tu as parfaitement sécurisé ton NAS en lisant et appliquant ce TUTO. Au passage, il serait bon que tu lises aussi avant ce TUTO. Cordialement oracle7😉

@Scuz Bonjour, Tu n'utiliserais pas par hasard Synology Photo ? Si oui dans ce cas en aucun cas, il ne faut attribuer/modifier les droits d’accès depuis FileStation. Dans Synology Photo si tu es sous DSM7 il existe 2 zones de stockage des photos : L’espace partagé et l’espace personnel. L’espace partagé correspond au dossier « Photo » créé par l’installation de l’application et n’est accessible, par défaut, qu’à l’administrateur. Il ne faut surtout pas modifier les droits d’accès à ce dossier. L’espace personnel se trouvera dans le dossier « Home » de l’utilisateur. Concernant l’espace partagé, il est préférable de créer des groupes d’utilisateurs par album partagé depuis le panneau de configuration -> Utilisateur et Groupe. Grâce à cela, il est plus facile d’attribuer les droits sur les albums partagés. En revanche, il faut attribuer les droits de lecture/écriture du dossier Photos à l’utilisateur qui va gérer les albums partagés. Voilà sous réserve ce que j'en sais, sachant que je n'utilise pas Synology Photo et que je suis encore sous DSM6. Il y aura ici sûrement quelqu'un de plus compétent que moi pour confirmer ou infirmer ces pistes. Cordialement oracle7😉

@Darkangel Bonjour, Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@Drickce Kangel Bonjour, As-tu vérifié que connecté au NAS sous SSH et root un nslookup nas.customurl.com 8.8.8.8 donne bien ton @IPexterne (celle de ta box/routeur) ? Free ne t'aurais pas réduit non plus la plage de ports pour ton @IP à ton insu ? Ton @IP externe justement est-elle bien "fullstack" ? Cordialement oracle7😉

@Jeff777 Bonjour, Je crains bien que OUI. Cela dit, n'y a-t-il pas moyen de faire en sorte que les serveurs LE viennent directement dans ta zone DNS publique pour faire leurs contrôles de validité du domaine plutôt que d'aller toi par script recopier les fichiers _acme-challenge_ndd.tlt chez toi ? Ne serait-ce pas plus simple ? Ce n'est qu'une hypothèse ... Maintenant, ton script de ce que j'en ai vu, ne fait qu'automatiser ce que je fais moi manuellement mais en utilsant la procédure manuelle acme au lieu du mode DNS d'acme. J'ai bon ? Et du coup, tes problèmes ne viendraient-ils pas de là ? Je me demande mais je peux me tromper. Cordialement oracle7😉

@Noobonas Bonjour, Pas de soucis on a tous nos priorités à gérer ... Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). As-tu essayé de donner des droits en LE à ton utilisateur lambda sur le dossier partagé "/volume1/scripts" et ensuite (sous SSH root) le droit spécifique d'exécution (chmod 0777)sur le script pour les utilisateurs "autres" ? Cordialement oracle7😉

@Jeff777 Bonjour, ??? Je te crois volontiers mais c'est pas possible cà doit te demander un MdP. Je ne ne comprend pas 😟 Désolé, mais je crains que tu n'ais certainement autre chose de mal configuré ailleurs, mais quoi ? Comme cela je ne vois pas. Habituellement, tu génères comment ton certificat LE ? quelle méthode ? Cordialement oracle7😟

@Darkangel Bonjour, Si tu utilises un domaine en xxxx.synology.me alors : xxxx.synology.me doit correspondre à ton @IP externe via le DDNS et cela doit être le nom d'hôte dans " Accès externe > Avancés ". Vérifies que : Depuis ton PC, un ping xxxx.synology.me --> te renvoie bien ton @IP externe (celle de ta box) Dans un terminal SSH via PuTTY ou WinSCP, sous user root que nslookup xxxx.synology.me 8.8.8.8 --> doit aussi te renvoyer ton @IP externe. Si tout est OK alors tu peux continuer, sinon il te faut impérativement résoudre ces problèmes avant d'aller plus loin. Il te faut avoir créer un certificat LE pour ce domaine ainsi que pour son wilcard "*.xxxx.synology.me" (dans autre nom de l'objet). Sur ta box il faut que les ports 80 et 443 soient transférés (NAT) vers ton NAS. Sur ton NAS dans le pare-feu les ports 80 (pour le renouvellement du certificat) et 443 ainsi que 5000 et 5001 doivent être ouverts/autorisés à tous. Ensuite, pour atteindre une application/service du NAS via le Reverse Proxy, dans les régles que tu crées, il te faut utiliser des noms de domaines tels que par ex "files.xxxx.synology.me" pour atteindre FileStation, "dsm.xxxx.synology.me" pour atteindre l'interface DSM du NAS (dsm ou toto ou yyyy car si tu mets le nom du NAS cela ne marchera pas), "aliasAppliService.xxxx.synology.me" de façon générale. Enfin pour destination, tu mets effectivement HTTP, localhost (pour les applications hébergées sur le NAS sinon une @IP pour une autre machine : second NAS par ex), et le port le l'application (7000 pour FileStation, 5000 pour le NAS, etc ...) Attention avec le HSTS, car avec cette option tes navigateurs Web n'accepteront plus que des URL en HTTPS, donc à faire en connaissance de cause. De plus si activé une fois et même désactivé ensuite cela reste activé et c'est assez difficile (mais pas impossible) de revenir en arrière. Cordialement oracle7😉