oracle7

@Manuel Garcia Bonjour, Saches que DSM7 ne supporte plus par défaut le protocole SMB1 qui y est désactivé. Donc si ta Seedbox utilise SMB1 alors c'est normal. Sauf erreur de ma part, il existe sous DSM 7 un moyen de réactiver SMB1 mais désolé, je ne m'en souvient plus et en plus je ne pas encore passé sous DSM7 (trop tôt !!!). Fais une recherche sur le forum, plusieurs posts ont déjà abordé le sujet. Il y aura bien aussi un autre membre pour te renseigner. EDIT : J'ai retrouvé cela pour DSM7 : Cordialement oracle7😉

@ZD67 Bonjour, Bienvenue à toi sur ce forum, tu as dû voir que c'est une mine d'informations. N'hésites pas à faire une recherche, il y a pleins de posts de conseils avant achats voir la rubrique dediée [Questions avant achat]. Cordialement oracle7😉

@.Shad. Bonjour, Personnellement, je serais bien tenté mais j'ai encore du mal à voir son intérêt pour moi. Pour l'instant, je suis satisfait du Reverse Proxy de DSM et de son Fail2ban, d'où mon expectative 🤔. Mais comme je suis curieux, je ne dis pas que je ne franchirais pas le rubicon, je pèse encore les patates 😜 Je recherche et suis preneur d'exemples d'utilisations qui pourraient finir de me convaincre. Si tu en as en magasin ? Cordialement oracle7😉

@mrb Bonjour, Bienvenue à toi sur ce forum, tu as dû voir que c'est une mine d'informations. Cordialement oracle7😉

@Uhgo Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. A toi de bien faire la part des choses vis à vis de ton QNAP.😇 PS Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@Uhgo Bonjour, OUI pour les données circulant dans le tunnel VPN. OUI, et dans le sens NAS vers Internet : NON. OUI car dans ce cas le tunnel étanche est entre ton NAS et les serveurs de protonvpn. Ensuite entre ces serveurs et Internet ce n'est plus le cas. Les serveurs protonvpn ne te fournissent qu'une @IP "anonyme" (dans la ville et le pays de ton choix) qui masque en fait ton @IP réelle (celle de ta box) et ta navigation Web est alors tout ce qu'il y a de plus normale. Cordialement oracle7😉

@gbsuz Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. Nul doute que tu trouveras ici les réponses à tes questions. Cordialement oracle7😉

@TuringFan Bonjour, A priori : RIEN. Pour mémoire, il existe quatre types d'@IP qui sont réservées pour un usage interne aux entreprises (RFC 1918). Elles ne doivent pas (et peuvent) être utilisées sur l'internet où elles ne seront de toute façon pas routées : de 10.0.0.0 à 10.255.255.255 de 172.16.0.0 à 172.31.255.255 de 192.168.0.0 à 192.168.255.255 les adresses de 127.0.0.0 à 127.255.255.255 sont également interdites. classe réseau privé A 10.0.0.0 A 127.0.0.0 B de 172.16.0.0 à 172.31.0.0 C de 192.168.0.0 à 192.168.255.0 Le cas du réseau 127.0.0.1 est particulier : il désigne la boucle locale (loopback en anglais) et désigne la machine locale (localhost). Pour "root" il faut qu'il (le malveillant bien sûr) connaisse le MdP associé et s'il est "à rallonge", je lui souhaite bien du plaisir 🤣 Pour les protocoles réseau, je lui fait confiance, il doit en connaître toutes les failles s'il est "expert" et là sauf à appliquer les MàJ régulières de protocole largement diffusées, je ne vois/sais pas quoi faire de plus à ce niveau, non ? Cordialement oracle7😉

@toutnickel Bonjour, Sans vouloir jeter le trouble dans ton esprit, saches aussi qu'avec l'application DSPhoto sur un smartphone, il ne faut pas rajouter "/photo" car l'application l'ajoute automatiquement dans l'URL de connexion avec Photo Station, ni rajouter le port 5001 car l’application utilise le port standard HTTPS 443 (ou http 80). Donc pour DSPhoto : https://photo.ndd.tld suffit comme URL de connexion. Pour la configuration nécessaire pour rediriger le HTTP vers le HTTPS, dont parle @maxou56, cela se passe dans le fichier .htaccess (déjà vu dans le TUTO reverse Proxy) qui est situé dans le dossier partagé "web" tel que : RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] RewriteCond %{HTTP_HOST} ^photo.ndd.tld$ RewriteRule ^$ https://photo.ndd.tld/photo [L,R=301] Cordialement oracle7😉

@Uhgo Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus, cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Il ne t'a pas échappé que tu es sur un forum dédié aux NAS Synolology et non QNAP. Cela dit tu t'en sorts bien car tes questions relèvent de points génériques et non spécifiques du QNAP. Attention tout de même en appliquant certains TUTO que tu trouveras ici, il te faudra alors rester dans l'esprit et pas dans la lettre si je puis dire 🤣 Différence de machine oblige. Q1 : Quasiment, éventuellement en plus le port 80 à ouvrir (normalement nécessaire pour le renouvellement d'un certificat Let'sEncrypt si tu disposes d'un domaine personnel). Après certaines applications du NAS nécessitent l'ouverture de ports particuliers pour leur fonctionnement (c'est le cas chez Synology) : à voir ce qu'il en est effectivement avec celles d'un QNAP ???? Q2 : Comme tu as une Livebox, il n'y a pas à mon sens d'intérêt à activer le DHCP du NAS car tu ne peux avoir sur un même réseau local deux serveurs DHCP actifs en même temps. Si tu avais eut un routeur derrière la Livebox, c'eut été un autre débat mais comme ce n'est pas le cas on oublie. Q3 : A priori, tout ce que tu dis est cohérent et exact. Tu es bien sur la plaque 😜 Q4 : Vrai Q5 : Des @IP en 10.8.0.x (donc sous VPN) elles ne voient rien de tes données puisque tu est dans un tunnel "étanche" et "non transparent". Des @IP en 192.168.1.x (donc en local) elles ne voient rien non plus à moins qu'elles se soient introduites dans ton réseau local (défaut paramètrage du pare-feu de la box, uPnP activé sur la box, etc ... Cordialement oracle7😉

@Jeff777 Bonjour, Du coup, j'aime mieux cela, cela est rassurant 😂 Donc finalement la solution était assez simple ... voir évidente à la réflexion, encore fallait-il y penser 😜 Cordialement oracle7😉

@MilesTEG1 Bonjour, Donc si je comprends bien l'option "X-Real-IP" dans l'entête de la redirection Reverse Proxy fournirait l'@IP d'origine de l'URL entrante et permettrait ainsi au système fail2ban de filtrer ou non celle-ci. J'ai bon ? Cordialement oracle7😉

@MilesTEG1 Bonjour, OK, mais la mise en œuvre du blocage natif du compte dans DSM n'est pas suffisante en soit à ce niveau ? Cordialement oracle7😉

@TuringFan Bonjour, Q1 : Si tu as correctement paramétré le blocage du compte, que tu n'as pas de nom d'utilisateurs trop évidents et des Mdp "à rallonge", je pense que ton malveillant sera vite bloqué dans son action. Maintenant si c'est un expert alors il utilisera sûrement d'autres voies de contournement et là je crains qu'il ne soit difficile de te dire les quelles il emploierait. En tous cas, il lui faudra du temps pour les mettre en œuvre, chose qu'il n'a pas pour obtenir tes simples données personnelles à moins que tu ne stocke des secrets industriels ou d'état ...🤪 De simples mesures de prudence sur les accès telles que celles que tu as déjà réalisées, me paraissent suffisantes, non ? Q2 : Sauf erreur de ma part, les dispositions prises ici pour DSM6 restent pour moi tout aussi valables pour DSM7. Voilà ce n'est que mon avis rapide sur ce sujet. Cordialement oracle7😉

@roudiou Bonjour, Juste pour ta gouverne, dans tes réponses, il n'est pas nécessaire de re citer le post précédant dans sa totalité, ce serait bien que tu ne cites que la partie à la quelle tu réponds, cela surcharge moins les posts et ils sont plus faciles à lire. Merci. Cordialement oracle7😉

@roudiou Bonjour, En complément des bons conseils de @maxou56, je dirais que si tu ne retrouve pas le MdP admin alors tu peux faire un Reset mode 1 qui le rétablira à sa valeur par défaut. https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS Pour mémoire : Actions du Reset mode 1 (qui permet de reprendre la main quand on a fait des bêtises lors de la configuration) : La valeur par défaut du compte admin sera restaurée. Le port de gestion de l'IU sera réinitialisé sur 5000/5001. L'IP, le DNS, la passerelle et les autres interfaces réseau seront réinitialisées sur DHCP. PPPoE sera désactivé. Le blocage automatique sera désactivé. Les règles du pare-feu seront désactivées. Les dossiers chiffrés seront démontés et la fonctionnalité Monter automatiquement au démarrage sera désactivée. Le cluster high-avalability sera supprimé. Le cluster Virtual Machine Manager sera supprimé. Cordialement oracle7😉

@mickaeulkaeul Bonjour, Oui au moins ces cases là du processus sont cochées et c'est déjà cela de gagné ! 😜 Cordialement oracle7😉

@roudiou Bonjour, Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. J'invite à regarder et suivre ces deux TUTOs pour bien démarrer avec ce DS211J. TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Cordialement oracle7😉

@mickaeulkaeul Bonjour, Dans ce cas, alors tout se passe comme si la commande ne s'exécutait pas correctement vu qu'il n'y a que le message suscité. Peut-être revoir alors l'installation du script acme.sh ? Cordialement oracle7😉

@mickaeulkaeul Bonjour, Oups, je n'avais pas "percuté" sur la version de DSM de ton NAS. @Mic13710 a raison. J'ajouterai que peut-être il faudrait alors aussi envisager une mise à jour du NAS vers DSM 6 si elle est possible toutefois. Cordialement oracle7😉

@unisev Bonjour, Le reverse proxy ne fait qu'écouter les URL qui arrivent sur le port 443 de ton NAS pour, selon le sous-domaine indiqué dans l'URL rediriger (après "traduction de l'URL" en quelque sorte) le flux vers l'@IP (locale ou externe) du service/application correspondant(e) à atteindre. Du coup, je ne comprends pas trop pourquoi et pour quel usage, tu souhaiterais recevoir l'@IP d'origine de la requête entrante. Sauf erreur de ma part, je ne crois pas que le reverse proxy puisse faire cela, mais peut-être que je me trompe aussi ... Cordialement oracle7😉

@Jeff777 Bonjour, Autant je comprends aisément que ta correction d'@IP de destination pour tes entrées de reverse proxy soit la solution, autant j'ai plus de mal avec cette affaire d'extension Chrome. Pourquoi faudrait-il faire en plus une redirection d'URL avec cette extension à cause du HSTS ? Bizarre ... J'essaie juste de comprendre 🤔 Cordialement oracle7😉

@mickaeulkaeul Bonjour, Tu n'as peut-être pas vu l'ajout au TUTO fait à la fin du §6 ce qui serait toutefois normal si tu en étais encore qu'au §4 ! 🤔. Donc ajoutes la variable d'environnement : DEFAULT_ACME_SERVER='https://acme-v02.api.letsencrypt.org/directory' dans ton fichier "account.conf" (/usr/local/share/acme.sh/account.conf) . et relances la commande de création du certificat après t'être assuré que les autres variables d'environnement précédemment déclarées sont toujours actives sinon ré-exportes les une à une. Cordialement oracle7😉

@Guillaume 7480 Bonjour, Bienvenue à toi sur ce forum, tu as dû voir que c'est une mine d'informations. Cordialement oracle7😉

@febryce Bonjour, Et dans la copie d'écran "Service HTTP" que tu as donnée précédemment, tu as essayé de cocher les deux cases et sans oublier d'ouvrir le port 7001 ? Cordialement oracle7😉