oracle7

@RedAlan Bonjour, As-tu regardé dans " Sécurité > Compte > Clients Fiables > Gérer les clients fiables " l'@IP locale de ton NAS y est peut-être. Si oui, supprimes-la de la liste. Re-vérifies aussi la configuration de ton routeur. Cordialement oracle7😉

@tonejay Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. J'invite à regarder et suivre ces deux TUTOs pour bien démarrer. TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Cordialement oracle7😉

@tonejay Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... As-tu transféré (NAT) les ports 80 et 443 de ta box vers ton NAS et ouverts/autorisés ces même ports dans le pare-feu du NAS ? Ton fournisseur de domaine Amen.fr ne te fournit pas de DynDNS ? Ce serait plus simple que d'avoir à passer par no-ip. Cordialement oracle7😉

@Blockk Bonjour, Pas du tout, dans l'onglet Avancé, on ne met pas une @IP locale du style 192.168..... comme tu l'indiques mais l'@IP externe du NAS et seulement si elle est fixe. Vu que ton @IP externe est dynamique, alors tu mets à la place le même domaine que celui que tu as mis pour le DDNS (soit : "ddns.synology.me") pour renseigner le nom d'hôte du NAS. Ainsi ton nom d'hôte sera bien associé à ton @IP externe via le DDNS. Cordialement oracle7😉

@MilesTEG1 Bonjour, Juste pour mon info, je dois être très en retard car je vois dans ta signature que ton SRM est en version 7.0.1. Waouh ????? Ce serait pas plutôt 1.2.5 ? 🤣 Cordialement oracle7😉

@MilesTEG1 @.Shad. Bonjour, Ce ne serait-ce pas tout bonnement Synology qui était très en retard avec son package docker par rapport à la version docker pour Linux et autres ? Il semblerait que l'ajout de la fonctionnalité 'cap-add' à docker ne date pas d'hier : voir ici et a priori ici une réponse pour son utilisation dans docker-compose. Voilà ce que j'ai trouver en fouinant rapidement, mais peut-être que je me trompe ... Cordialement oracle7😉

@xav107 Bonjour, Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). NON pas du tout, je dirais même au contraire ainsi il peut couvrir tes sous-domaines directs de type xxxxx.ndd.ovh (avec un wilcard *.ndd.ovh, cela va sans dire). Alors que si tu fais par ex un certificat pour nas.ndd.ovh celui-ci ne sera valable que pour les sous-domaines en xxxx.nas.ndd.ovh (avec un wilcard *.nas.ndd.ovh). Tu me suis ? Puisque tu es sous DSM7, saches que pour le renouvellement du certificat tu as juste à mettre cette commande dans le gestionnaire de tâches : bash /usr/local/share/acme.sh/acme.sh --cron --force --debug --home /usr/local/share/acme.sh/ N'oublies pas non plus d'ajouter cette ligne pour la variable d'environnement : DEFAULT_ACME_SERVER='https://acme-v02.api.letsencrypt.org/directory' dans ton fichier "account.conf" (/usr/local/share/acme.sh/account.conf) . Cordialement oracle7😉

@MilesTEG1 Bonjour, Ah voilà qui est une bonne question 😜 Est-ce qu'il y a effectivement quelque chose à faire ? Franchement, je suis comme toi je n'en sais rien et suis aussi preneur de toute info à ce sujet. Cordialement oracle7😉

@MilesTEG1 Bonjour, Regardes au § "Linux Kernel capabilities" --> peut-être un début de réponse à ta question. Cordialement oracle7😉

@grangilles Bonjour, OK pas de soucis. Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@RedAlan Bonjour, @Jeff777 a raison, tu ferais mieux de repartir sur une base saine. De toutes façons, si sous VPN tu ne peux pas pinger ton NAS c'est qu'il y a de fortes chances que soit ton serveur VPN est mal configuré et/ou soit le pare-feu de ton routeur bloque l'@IP de ton NAS puisque tout semble fonctionner en local. Je ne vois pas non plus pourquoi seul ton NAS ne serait pas accessible au ping quand tous tes autres périphériques répondent eux. Comme je te l'ai déjà dit précédemment, il est aussi possible que l'@IP du NAS soit blacklistée quelque part. Vérifies d'une part sur le routeur et d'autre part sur le NAS lui même (Sécurité / Compte / Blocage auto / Autoriser/Bloquer la liste ou /Protection du compte ou /clients fiables/ Gére les clients fiables) que l'@IP locale du NAS n'apparait pas dans une de ces listes. Cordialement oracle7😉

@xav107 Bonjour, En premier lieu, par sécurité, corriges ton précédent post pour masquer ton domaine. Mets à la place une valeur générique du type ndd.tld. Ensuite en première approche je serais tenté de dire vu ton message d'erreur "certificate name mismatch", que tu aurais fait une erreur de saisie lors de la création de ton certificat sous DSM. Du coup il ne serait pas correctement reconnu. C'est de toutes façons le cas car tu n'aurais pas alors d'alerte de sécurité sinon. Mais je peux me tromper ... Peut-être effectivement serait-il bon de supprimer purement et simplement ton certificat dans DSM et d'essayer de le recréer tout en l'affectant bien à tes différents services (bouton Configurer). Sachant qu'avec cette méthode tu ne peut pas créer de certificat "wilcard = *.ndd.tld" qui couvrirait tous tes sous-domaines existants et à venir. En effet, Synology limite à 254 caractères la chaine SAN "Autres noms de l'objet" ce qui réduit fortement le nombre de sous-domaines gérables. Pour éviter cela il y a effectivement la méthode que j'ai décrit dans mon TUTO (au passage valable pour DSM6.x, mais pour DSM7 il y a une restriction : il ne faut pas employer le script python qui n'est pas applicable et utiliser une autre façon d'assurer le renouvellement du certificat). Maintenant c'est toi qui voit ... Cordialement oracle7😉

@RedAlan Bonjour, Non pas forcément. Par exemple si ton VPN est OpenVPN, dans sa configuration (du moins dans VPN Server sur Synology) il y a une case à cocher pour autoriser les clients à accéder au sous-réseau LAN. Ne connaissant pas le routeur Ubiquiti UDM-Pro, je ne saurais te dire si cette fonctionnalité existe ou non sur ce routeur. Par ailleurs, comme tu ne semble pas vouloir répondre aux questions posées, difficile de te donner des pistes de résolution. Je ne suis pas devin 🤔 Cordialement oracle7😉

@xav107 Bonjour, Quelle méthode utilises-tu pour générer ton certificat LE ? Tu passes par DSM ou autre choses ? Quelle URL utilises-tu pour te connecter ? Cordialement oracle7😉

@RedAlan Bonjour, Pour essayer de déverminer les choses quelques questions basiques : As-tu suivi le TUTO : Sécuriser les accès à son NAS ? Le serveur DHCP du routeur est-il bien activé ? As-tu attribué ou non une @IP locale fixe à ton NAS par un bail DHCP statique au niveau du routeur ? Transfères-tu bien les ports 80 et 443 du routeur vers le NAS ? Les ports 80, 443, 5000 et 5001 sont-ils bien ouverts dans le pare-feu du NAS ? Ton réseau local 192.1680.0/24 est-il bien autorisé pour tous les ports en source et destination dans le pare-feu du NAS ? Ton réseau VPN 192.168.2.0/24 est(il bien autorisé pour tous les ports en source et destination dans le pare-feu du NAS ? Quel protocole VPN utilises-tu ? L'@IP locale de ton NAS ne serait-elle pas bloquée/bannie (fail2ban) au niveau du routeur ? Cordialement oracle7😉

@xav107 Bonjour, Bienvenue à toi sur ce forum, tu as dû voir que c'est une mine d'informations. J'invite à regarder et suivre ces deux TUTOs pour t'assurer que tu as bien démarré. TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Cordialement oracle7😉

@RedAlan Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. Cordialement oracle7😉

@goerges Bonjour, Quelle est le modèle de ta box et de ton routeur ? Cordialement oracle7😉

@goerges @Thesalan Bonjour, Avez-vous essayé de réinitialisé le réseau du NAS en faisant un Reset mode 1 sachant que les actions du Reset mode 1 ont aussi ces conséquences : · La valeur par défaut du compte admin sera restaurée. · Le port de gestion de l'IU sera réinitialisé sur 5000/5001. · L'IP, le DNS, la passerelle et les autres interfaces réseau seront réinitialisées sur DHCP. · PPPoE sera désactivé. · Le blocage automatique sera désactivé. · Les règles du pare-feu seront désactivées. · Les dossiers chiffrés seront démontés et la fonctionnalité Monter automatiquement au démarrage sera désactivée. · Le cluster high-avalability sera supprimé. · Le cluster Virtual Machine Manager sera supprimé. donc a reconfigurer ces points selon vos besoins, après le reset . Cordialement oracle7 😉

@RedAlan Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Si ton NAS a une @IP sur ton sous-réseau local en 192.168.0.x et que tu dis arriver sur un sous-réseau en 192.168.2.x alors c'est normal que tu ne vois pas ton NAS, ce sont deux sous-réseaux différents. Du coup pour comprendre ton organisation : ton routeur est derrière une box ? ou bien quand tu parles de ton routeur c'est en fait ta box ? Quel protocole VPN utilises-tu ? Tu peux préciser STP. Cordialement oracle7😉

@bliz Bonjour, Très mauvaise fausse bonne idée !!! Ce n'est pas parce que cela semble marcher que ce n'est pas un non sens réseau. Après, ne te plaint pas si tu des problèmes réseau avec ce type d'organisation ... Un exemple simple, avec deux serveurs DHCP sur un même sous-réseau local, c'est rapidement le b...l car lors du renouvellement de son bail DHCP, un périphérique va récolter une @IP avec le serveur DHCP qui sera le plus prompt à répondre donc toutes les chances que cette @IP soit différente de celle d'origine et avec les conséquences que ce changement d'@IP peut engendrer pour les services qu'il utilise. Maintenant c'est toi qui voit ... Pour être complet je précise quand même que la présence de deux serveurs DHCP sur un même sous-réseau n'est viable qu'à la condition qu'ils adressent chacun une plage d'@IP différente qui en aucun cas ne se recoupent entre elles. Cordialement oracle7😉

@molinadiaz Oui en toute rigueur, il faut via un reverse DNS pouvoir vérifier que l'@IP d'envoi du mail correspond bien au domaine associé (au travers de l'enregistrement MX associé au domaine), mais tout ce que je peux te dire c'est que dans mon cas avec mon serveur de mail je me passe très bien de cela, je n'ai pas pu faire cet enregistrement PTR car Orange (comme beaucoup de FAI) ne le permet pas et je n'ai aucun problème d'envoi de mails pour preuve j'ai bien le 10/10 à mail-tester.com. Voilà c'est mon REX. Mais encore une fois, lis le TUTO suscité. Garantit il marche ! Cordialement oracle7😉

@goerges Bonjour, Difficile de te suivre, pourquoi tiens-tu absolument à utiliser le DHCP du NAS, celui de ta box ne suffit pas ? Celui de la box est nécessaire pour attribuer une @IP locale à ton NAS. Par ailleurs, ce n'est pas que tu ne puisses pas MAIS il est très fortement déconseillé d'avoir deux serveurs DHCP sur un même sous-réseau local. Tu t'exposes inévitablement à des problèmes de réseau dus à des conflits d'@IP (deux périphériques pouvant avoir la même @IP,une attribuée par la box et l'autre par le NAS). En plus, a priori tu n'utilises pas ton NAS comme routeur (là aussi, ce n'est pas conseillé car il représenterait un grâce trou de sécurité dans ton réseau) donc aucun intérêt qu'il soit serveur DHCP. A part vouloir faire fonctionner le DHCP du NAS, quelle organisation de réseau souhaites-tu mettre en place ? Je crains que ce ne soit pas clair dans ton esprit, mais je peux me tromper ... Cordialement oracle7😉

@molinadiaz Bonjour, Eux apportent la sécurité des échanges mails si je puis dire alors que n'importe quel malfaisant peut très bien créer son serveur de Mails et inonder tout le monde avec des spams. Ils garantissent que l'@ de l'expéditeur indiquée est bien celle qui a émis le mail et donc qu'elle n'a pas été usurpée. C'est pour cela qu'ils imposent un certain nombre de règles notamment dans le formatage des entêtes de mails (avec les SPF, DMARC et DKIM par ex) afin d'éviter le spam et garantir l'authenticité des mails. Bien sûr que oui, je le fait personnellement et suis complétement autonome sur ce point. Regardes et adaptes si besoin ce TUTO à tes spécificités. Tu y trouveras aussi des réponses à ta seconde question. Je ne peux te dire mieux. Cordialement oracle7😉

@goerges Bonjour, Et tout bêtement après un arrêt propre de ton NAS et de ta box, as-tu rebooté dans l'ordre ta box, activer son DHCP puis ton redémarré ton NAS (et ne pas activer le DHCP du NAS) ? Cordialement oracle7😉