oracle7

@molinadiaz Bonjour, Qu'il faille que les deux NAS soient sous un même réseau ne me choque pas plus que cela, au contraire cela me paraît même logique quelque part. Mais en fait, tes serveurs Paris et Madrid sont chacun sur un sous-réseau de la plage 192.168.1.0 (ou 192.168.0.0) mais ils n'en sont pas moins sur des sous-réseaux différents stricto sensus vus qu'ils sont sur des machines distinctes géographiquement, non ? L'astuce est plutôt dans le fait d'utiliser des @IP dans la même plage, ce qui fait qu'elles sont automatiquement reconnues comme faisant partie de l'un ou l'autre sous-réseau selon comment on les atteint. Je ne sais si je m'exprime bien ... Sinon, je ne saisi pas bien cette différence d'interface TUN/TAP pour Android. De ce que je crois avoir compris de ces notions : TUN nous apporte un réseau "tunnelé" et l'interface virtuelle TAP un appareil. En clair, on passe par un réseau "tunnelé" pour atteindre un autre réseau. Par exemple, lors de la configuration d'un réseau OpenVPN, on reçoit le 10.8.0.6 sur notre client. Le serveur VPN 10.8.0.1 achemine notre demande vers un autre réseau (par exemple 192.168.xx.0/24) derrière et lorsque on utilise TAP, on reçoit l'@IP (192.168.10.10/24) de l'appareil directement de notre réseau cible (192.168.10.x/24). Sinon, j'ai trouvé cela en complément de ton précédent lien : Un autre lien intéressant ici. Cordialement oracle7😉

@nounours18200 Bonjour, La réponse est Oui aux deux questions. Comment ? : Panneau de configuration > Réseau > Interface réseau Créer un profil VPN Sélectionner OpenVPN (via l'importation d'un fichier .ovpn) puis cliquer Suivant Aller sur le site NordVPN et sélectionner un serveur pour la connexion (choisir le pays, le type de serveur) et cliquer sur "Download config" avec au choix UDP ou TCP. Noter son adresse (par ex us5825.nordvpn.com) Retour sur le NAS : Indiquer un Nom de Profil > saisir les informations de connexion (ID/MdP : disponibles dans le Tableau de bord de NordVPN) Importer le fichier de configuration .ovpn et cliquer sur suivant. Terminer la configuration en indiquant les options souhaitées (passerelle par défaut, reconnexion auto, etc ...) Cliquer sur Appliquer. Pour finir sélectionner la connexion VPN et se Connecter. Cela dit, mais ce n'est que mon avis, il est quand même bien plus sûr de ne pas exposer directement le NAS à Internet via ce type de connexion. Il est préférable de DL via ton PC et NordVPN et ainsi profiter de ton antivirus de ton PC (bien plus puissant que celui du NAS, si tu en as installé un sur NAS - au passage très gourmand en ressources) qui assurera le filtrage et la sécurité des fichiers DL. Seulement ensuite quand tu es sûr qu'ils sont "clean" alors tu les transfères sur le NAS. Ainsi ton NAS est mieux protégé des DL directs sur lui. Maintenant ce que j'en dit, c'est toi qui voit ... Cordialement oracle7😉

@molinadiaz Bonjour, OK, pas de soucis. Par ailleurs, une petite relecture du TUTP VPN server indique ceci : Peut-être une piste à suivre ... Cordialement oracle7😉

@TAAD Bonjour, Si j'étais toi je ne m'embêterai pas avec "Tunnelblick", utilises tout simplement le client OpenVPN officiel dans sa version Mac-OS disponible ici. Tu exportes ton fichier de configuration OpenVPN depuis le NAS et tu le recharges dans ton client. C'est pas plus compliqué et adieu les messages d'erreurs liés à la version du serveur OpenVPN et de Tunnelblick. Maintenant c'est toi qui voit ... Cordialement oracle7😉

@molinadiaz Bonjour, Pour ton information, voilà ce qui ce passe selon que la ligne "#redirect-gateway def1" est commentée (avec #) ou non : Commentée --> VPN Split-Tunnel : le trafic n'est envoyé via votre réseau que s'il tente d'accéder à une ressource interne. Votre adresse IP lorsque vous naviguez vers un site en dehors de votre réseau sera l'adresse IP du réseau sur lequel vous vous trouvez actuellement. Non commentée --> VPN Full-Tunnel : tout le trafic est envoyé via votre réseau domestique. Votre adresse IP pour les requêtes internes et externes sera votre réseau domestique. En clair cela donne ceci : Ceci peut expliquer la différence de comportement que tu rencontres. Maintenant ce que j'en dit ... Cordialement oracle7😉

@Gramm Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit, rassures-toi il n'est pas trop tard pour bien faire ... Pour répondre à ta question, Oui bien sûr, c'est même je dirais un des premiers usages que l'on fait d'un NAS en plus d'y stocker vidéos, photos et autres documents pour qu'ils soient accessibles à tous les clients du réseau local ou même depuis l'extérieur si besoin. Cordialement oracle7😉

@TAAD Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Pour commencer, quelle fausse mauvaise idée de changer le port standard d'OpenVPN, il est prévu pour fonctionner en UDP sur le port 1194. Inutile de le changer, tu ne seras pas plus sécurisé pour autant. Vérifies donc que le port 1194 est bien ouvert/autorisé dans le pare-feu du NAS. Essaies d'ajouter cette ligne à ton fichier de configuration .ovpn (après " redirect-gateway def1 "), c'est une spécificité pour le monde iOS : redirect-gateway ipv6 As-tu lu ce TUTO : VPN Server ? Dans la configuration du protocole OpenVPN, as-tu bien cochée la case "Autoriser aux clients l'accés au serveur LAN" ainsi que celle pour "Activer la compression sur la liaison VPN" ? Cordialement oracle7😉

@.Shad. Bonjour, Je viens de faire la manip sur l'ajout de l'utilisateur "telegraf". Tout va bien sauf que le conteneur telegraf a planté lorsque j'ai voulu rétablir les droits à 0660 sur le fichier " /var/run/docker.sock " , droits que j'avais modifiés en 0666 lors de la détection du problème suscité. Dès que je suis repassé à 0666 tout est revenu dans l'ordre plus de message d'erreur dans le logs telegraf. Aurais-je raté un truc ? Sinon juste pour comprendre, dans le TUTO tu indiques dans le fichier "telegraf.conf" pour le suivi docker à la section [[inputs.docker]] les instructions suivantes : perdevice = true total = true qui au passage généraient chez moi deux warning (de mémoire @MilesTEG1 avait eut aussi il me semble le soucis) : 021-09-28T16:49:31Z W! [inputs.docker] 'perdevice' setting is set to 'true' so 'blkio' and 'network' metrics will be collected. Please set it to 'false' and use 'perdevice_include' instead to control this behaviour as 'perdevice' will be deprecated 2021-09-28T16:49:31Z W! [inputs.docker] 'total' setting is set to 'false' so 'blkio' and 'network' metrics will not be collected. Please set it to 'true' and use 'total_include' instead to control this behaviour as 'total' will be deprecated alors que les commentaires d'origine du fichier telegraf.conf indiquent que : ## Usage of this setting is discouraged since it will be deprecated in favor of 'perdevice_include'. ## Default value is 'true' for backwards compatibility, please set it to 'false' so that 'perdevice_include' setting ## is honored et donc qu'il faudrait remplacer ces instructions par respectivement : # perdevice = true perdevice = false perdevice_include = ["cpu", "blkio", "network"] # total = false total = true total_include = ["cpu", "blkio", "network"] qui font disparaitre les dits warning. D'où ma question, est-ce normal ou le TUTO serait-il à mettre à jour dans ce sens ? Ton avis STP. Cordialement oracle7😉

@Mic13710 Bonjour, Merci de ta précision car j'étais persuadé que l'on ne pouvait pas mettre plusieurs niveaux dans un certificat et que l'on était limité à deux. La manipulation de @Kiki91800 le prouve aussi et tant mieux car cela ouvre du coup des perspectives intéressantes, dans mon cas du moins. Cordialement oracle7😉

@Spectre110273 Bonjour, Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Juste pour ta gouverne, dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ce serait bien que tu ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci. Cordialement oracle7😉

@Spectre110273 Bonjour, Désolé de te le dire cruement mais l'origine de l'erreur c'est toi. Lorsque tu cliques sur le bouton "Configuration du routeur" tu lances automatiquement le processus qui installe ton NAS en tant que routeur, comme ton NAS est déjà derrière un routeur (ta box) le conseiller sécurité réagit immédiatement pour te signaler le problème. C'est la box ou ton NAS mais en aucun cas les deux (même si c'est techniquement possible mais au prix d'une configuration bien particulière). Et je n'insiste pas sur l'avertissement en rouge du TUTO qui est aussi très explicite. Cordialement oracle7😉

@Spectre110273 Bonjour; Bienvenue à toi sur ce forum, tu as donc dû voir que c'est une mine d'informations. On attend tes questions ... Cordialement oracle7😉

@AlainMd Bonjour, Pour prolonger la recommandation de @StéphanH je t'invites pour commencer à lire et suivre a minima ces deux TUTO : TUTO : Sécuriser les accès à son NAS TUTO : Pourquoi et comment utiliser un nom de domaine Cordialement oracle7😉

@Kiki91800 Bonjour, Pour le cas où tu aurais un problème d'environnement acme tu peux toujours taper ces commandes sous SSH : $ cd /usr/local/share/acme.sh $ ./acme.sh --force --upgrade --nocron --home /usr/local/share/acme.sh Cordialement oracle7😉

@Blockk Bonjour, La procédure que je t'ai donné est normalement faite pour DSM6 (je ne savais pas à ce moment là que tu étais sous DSM7). De toutes façons elle est aussi applicable à DSM7 à la réserve que certaines fonctions ne sont pas au même endroit dans l'interface DSM7. Pour ce qui est du DHCP du NAS, comme je te l'ai dit précédemment, sous DSM7 tu n'installes pas le package DHCP Server et comme cela tu n'auras pas besoin de le désactiver comme dit dans la procédure. Par ailleurs normalement le DHCP de la box est de base activé donc tu laisses comme cela et tes périphériques quand tu les connecteras à la box se verront attribuer automatiquement par elle une @IP locale. Donc pas besoin de saisir manuellement une @IP locale au niveau de chaque périphérique, il faut juste que ces derniers soient en DHCP automatique. Laisses faire les automatismes et tout ira bien. Je comprend aisément que ce ne soit pas évident au premier abord, mais il te faut lire les TUTO tranquillement et bien "à l'horizontale" pour ne pas perdre d'informations en route et te documenter sur certaines options (Google et les wiki sont tout à fait adaptés à cela). Surtout il te faut bien comprendre les indications données, prendre ton temps et si besoin venir ici poser les questions qui te sont nécessaires, ce que tu fais déjà et c'est très bien. Il y aura toujours ici quelqu'un pour te répondre. Cordialement oracle7😉

@Kiki91800 Bonjour, Alors c'est que cela marche et que le navigateur à bien trouver le certificat en face de sous-domaine sinon il t'aurait envoyé un message comme quoi ta connexion était bloquée car non sécurisée comme quand tu mets en URL l'@IP de ton NAS par ex. Du coup avec l'URL : " https://xxxx.monSousDomaine.monDomaine.fr " ton navigateur affiche bien un cadenas dans la barre d'URL, j'ai bon ? Cordialement oracle7😉

@YOliv OK donc tout va bien maintenant 🤣 et peut-être qu'il serait bien pour toi de relire le TUTO : Sécuriser les accès à son NAS rien que pour t'assurer que tu es clean. Q a) Désolé, je ne sais pas te répondre. Q b) Il me semble que tu as eut les réponses dans le post, à part Free sur son propre N°, les autres FAI ne fournissent pas ce service. Après je sais qu'il existe des services payant avec abonnement en fonction du nombres de SMS transmis par mois je crois. Avoir selon ton budget et une recherche google te donnera les prestataires potentiels. Cordialement oracle7😉

@Blockk Bonjour, Désolé mais je percute seulement maintenant et je crois que l'on ne s'est pas compris. Pas grave ... Je croyais que tu avais activé par erreur le serveur DHPC du NAS et que tu voulais le désactiver. Je t'ai donc répondu en conséquence. C'est en voyant maintenant que tu étais sous DSM7 que mes indications n'étaient pas bonnes. Saches que sous DSM7 le Serveur DHCP est un package spécifique qu'il faut installer pour ensuite le configurer. Je pense pas que ce soit ce que tu ais fait si je ne me trompe pas, ce qui explique aussi que tu ne trouves pas l'onglet suscité. Du coup, maintenant je me demande pourquoi tu as posé la question de savoir comment le désactiver ? Que veux-tu faire en ce sens ? Normalement, ton NAS étant derrière une box tu utilises déjà le serveur DHCP de la box, c'est elle par son biais qui donne automatiquement une @IP locale aux périphériques que tu connectes sur le réseau locale de celle-ci, comme c'est le cas pour ton NAS, il reçu son @IP locale du DHCP de la box. On le voit très bien (sur ta copie d'écran) au niveau de ton Interface réseau LAN 1 sur le NAS car le DHCP et sur automatique (activé). Maintenant si tu tiens à attribuer manuellement toi même les @IP locale de tes périphériques, c'est possible mais pas simple à gérer dans le temps. Aussi, il vaut mieux et c'est plus sûr de laisser le DHCP de la box faire ce boulot ingrat à ta place. Maintenant c'est toi qui voit ... Par ailleurs, il te faut savoir qu'il n'est pas du tout recommandé d'avoir deux serveurs DHCP d'actifs sur un même réseau local, c'est pour cela qu'à mon humble avis que tu n'as pas besoin d'activer le serveur DHCP du NAS, celui de la box est suffisant. Cordialement oracle7😉

@Kiki91800 Bonjour, Je t'avoue qu'à la vue de tes copies d'écran, être perplexe, cela ne devrait pas marcher mais bon je peux me tromper ... Essaies de taper https://xxxx.monSousDomaine.monDomaine.fr, tu verras bien si ton navigateur t'envoie une alerte de sécurité ou pas. Sinon j'aurai fait ceci : monDomaine et *.monDomaine monSousDomaine.monDomaine et *.monSousDomaine.monDomaine Cordialement oracle7😉

@Kiki91800 Bonjour, C'est étonnant voire bizarre, à voir s'il marche effectivement ... Quand tout se passe bien Let's Encrypt crée l'enregistrement puis le supprime une fois son contrôle d'existence du domaine fait mais si il y a une erreur, il reste et cela perturbe ensuite le processus. Donc pour toi si tu as pu créer le certificat, c'est bon et il est normal qu'il n'y en ait plus. Cordialement oracle7😉

@aloysbr Bonjour, A mon humble avis, c'est une fausse bonne idée, laisse faire acme et Let'sEncrypt sur ce point. Maintenant c'est toi qui voit, mais attention au bout de 5 tentatives de création de certificat dans la même semaine, tu seras bloqué par Let'Encrypt pour une semaine calendaire avant de pouvoir redemander un nouveau certificat, ce serait balo non? Cordialement oracle7😉

@Kiki91800 Bonjour, Je crains que ta commande ne soit pas bien formulée et ce pour a priori deux raisons: Tu ne peux pas créer un certificat pour "trois niveaux" mais seulement pour ton domaine et son wilcard qui lui couvre le niveau immédiatement inférieur au domaine de base. Si tu veux un certificat spécifique pour ton "troisième niveau" càd "*.monSousDomaine.monDomaine.fr", il faut faire un autre certificat car le certificat pour ton domaine "monDomaine.fr" ne couvrira pas et ne peux couvrir ce niveau. Il te faudra aussi que pour ce sous-domaine "monSousDomaine.monDomaine.fr" tu définisses impérativement un enregistrement de type A ou CNAME car Let's Encrypt vérifie l'existence de chaque nom de domaine avant de créer effectivement le certificat sinon il ne fait rien et te renvoie "invalid domain". Pour l'option "--dns" tu as dû lire la procédure en diagonale et tu as perdu de l'information en route 🤪, tu dois mettre "dns-ovh" et pas "ovh-eu". En effet, "ovh-eu" est la valeur de la variable d'environnement "OVH_END_POINT" et pas le protocole de validation que la méthode met en œuvre. Avant de reprendre le processus, assures-toi de bien supprimer dans ta zone DNS locale de ton domaine chez OVH, tout enregistrement TXT nommé du style "-acme-challenge.monDomaine.fr" sinon tu récolteras une erreur. Cordialement oracle7😉

@molinadiaz Bonjour, Certes, mais je le répète, c'est impossible sur NAS être à la fois client et serveur OpenVPN (plus généralement en fait d'un même protocole VPN). Ah bon ? Tu es sûr de ton coup là ? car si c'était le cas cela se saurait, non ? Ce qui est sûr c'est que L2TP est plus lent et moins eficace que OpenVPN car c'est un processus en deux étapes où le trafic doit être converti au format L2TP, puis le cryptage doit être ajouté à IPsec. Cordialement oracle7😉

@Einsteinium Ah bon ? Ce que j'avance n'est que le fruit d'un constat factuel. Chaque fois que j'avais un enregistrement TXT -acme-challenge.ndd.tld déjà présent (pour x raisons) je récoltais le message d'erreur. Cordialement oracle7😉

@molinadiaz Bonjour, Tu as dû recouvrir à cet artifice (qui n'est pas bon) car ton NAS ne peut être à la fois client et serveur pour un même protocole VPN, en l'occurrence ici OpenVPN. Par contre tu peux très bien avoir ton serveur OpenVPN sur le routeur pour tes connexions depuis l'externe et être en même temps sur ton NAS, client VPN d'un autre serveur VPN externe à la simple condition d'utiliser un autre protocole, par ex L2PT/IpSec donc ton serveur externe doit être en L2TP. Cela marche très bien et sans interférences. Cordialement oracle7😉