D34 Angel

Bon, j'ai fini par trouver une façon de régler les permissions sur ces dossiers "home" ... En fait, en passant par File Station, on peut le faire : Il faut sélectionner un dossier puis, avec clic droit ou avec le bouton "Action", on accède à ses propriétés. De là, et via l'onglet "Permissions", on peut affiner les permissions d'accès au dossier. Ceci dit, ce n'est pas très ergonomique comme procédé car il faut retirer les droits à tous les autres utilisateurs (un par un). Si on n'a qu'une petite poignée d'utilisateurs, passe encore mais si on en a plusieurs dizaines (ou centaines) bonjour la manip car pour chaque nouvel utilisateur créé, il faut éditer les permissions de tous les autres dossiers. Certes on peut créer des groupes mais bon ... j'avoue que c'est pas top. Quelqu'un connaît-il une autre façon de procéder ? @Zeus, @Mic13710, @dd5992 ? Si vous passez par là, je suis preneur de vos conseils. Merci d'avance.

Bonjour J'ai un problème de compréhension quant au partage des dossiers. Voici ce que je peux lire dans l'aide DSM : Rubrique : DSM / Panneau de config / Partage de fichiers / Dossier partagé Or, quand j'accède à File Station avec un utilisateur non admin, je vois les dossiers "home" de TOUS les utilisateurs. J'ai d'abord cru que j'avais mal paramétré les permissions mais, visiblement, je ne peux pas agir sur les permissions des dossiers "home", je ne peux agir QUE sur le dossier "homes". Pouvez-vous m'expliquer ce que j'ai loupé, où est la subtilité que je n'ai pas captée ? Merci pour vos réponses Cordialement

Je les désactivais déjà (et ne les réactivais que pour le renouvellement). Mais bon ... si je n'en ai plus besoin, autant les supprimer. Oui, j'ai créé un compte chez SSLFORFREE. J'avais lu ton conseil dans le tuto Citation : "Vous avez aussi la possibilité avant de commencer de créer un compte pour être averti de l'expiration de votre certificat." PS : Je viens de voir ta mise à jour du tuto. C'est bien ; c'est très complet.

Bonjour Pour la mise en place du reverse proxi, j'ai été amené à créer mon certif wildcard. Je n'ai pas rencontré de gros problèmes mais j'ai, tout de même, quelques remarques. 1 - TTL = 1 seconde Comme toi, je n'ai pas pu mettre 1 s en TTL, j'ai du mettre 1 mn (je suis chez 1&1) Lors du "Verify _acme-challenge.ndd.tld", j'ai eu un message en gras et en rouge me disant que du fait que j'avais pas mis "60", il fallait attendre 60 s Attendre quoi ? Je n'ai pas compris ... J'ai refait le test quelques minutes plus tard mais ce message réapparaît toujours. Bref, j'ai laissé tombé le test et poursuivi ma démarche 2 - Adresses IP de Let's Encrypt On peut donc retirer les règles du pare-feu relatives aux IP de Let's Encrypt (on n'en a plus besoin), c'est bien ça ? 3 - Certificat par défaut Ce n'est pas dit dans le tuto : Il faut penser à mettre ce certificat "par défaut" De plus, même après avoir mis ce certif "par défaut", j'ai vu dans le navigateur des messages relatifs à un "risque potentiel de sécurité". Je suis donc allé dans l'onglet configuration (des certificats) et j'ai vu que certains services avaient gardé l'ancien certificat. => J'ai donc réajusté tous les services sur ce nouveau certificat puis je n'ai plus eu de message relatif à la sécurité Voilà, peut-être serait-il pertinent de compléter le tuto (notamment le troisième point). Cordialement

Merci Zeus pour ta réponse J'ai dû le lire 10 fois, le tuto de Fenrir. Mais j'ai du mal à capter l'histoire des accès au nas (adresse en 10.8.x.x ou 10.2.x.x)). Ceci dit, maintenant que j'ai capté l'usage du reverse proxi (je trouve ça génial, d'ailleurs), je n'aurai (comme toi) que peu de besoin d'accéder à DSM et, donc, l'usage du VPN sera limité.

Bonjour C'est une faute de frappe ? Tu voulais bien écrire "par" ? Quand tu es connecté en VPN (de l'extérieur), tu accèdes à DSM via https://nas.ndd.tld ? Si oui, es-tu obligé, pour cela, d'envoyer tout le trafic dans le VPN ?

J'ai voulu tester l'accès à Mail Station en passant par DSM (via https://nas.ndd.tld ) mais je n'ai pas réussi à atteindre Mail Station ; la fenêtre du navigateur s'ouvre mais suis resté sur une page blanche. Ça m'a donné l'idée de tester : https://ndd.tld/mail/ ... et ça fonctionne nikel Du coup, pour mon Mail Station, pas besoin de passer par le reverse proxi. Par ailleurs, lors du test de https://nas.ndd.tld, j'ai eu la mauvaise surprise de ne pas pouvoir me connecter. Dès la première tentative (avec un autre utilisateur que l'admin), j'ai eu un message m'indiquant que l'adresse IP était bloquée. Je suis donc allé consulter la liste des IP bloquées et, là, surprise ! il s'agissait de l'adresse locale de ma box (192.168.0.254 - spécifiée "privée") J'ai trouvé ça très curieux car je n'ai pas eu plusieurs tentatives de connexion loupées mais bon ... certaines choses me dépassent. Bref, j'ai retiré l'adresse de la liste des IP bloquées et j'ai pu accéder à dsm avec https://nas.ndd.tld. Mais, du coup, je me suis dit que c'était pour cela que mon accès VPN ne marchait plus depuis deux semaines maintenant (les dates de blocage IP et de non fonctionnement VPN coïncidaient) et là BINGO ! ma connexion VPN depuis mon Mac refonctionne ... reste plus qu'à la faire refonctionner depuis mon Linux. Je vais commencer à chercher et, selon le cas, vous rappellerai (Zeus et MIC) sur l'autre topic. Bref, suis super content de mes journées d'hier et d'aujourd'hui. J'ai compris/appris plein de choses (y compris avec des messages s'adressant à d'autres que moi). Grand merci à @Zeus, à @Mic13710 et à @dd5992

Non, j'ai http://192.168.0.51/mail/ Il y a 3 ou 4 mois, dans un topic, j'ai lu Zeus qui avait écrit : "on se vouvoie, maintenant ?". En effet, son interlocuteur l'avait d'abord tutoyé puis était passé au vouvoiement. C'est d'ailleurs ce qui m'avait incité à modifier ma signature. Perso, je trouve bête de devoir, pour ne pas commettre d'impair, se poser des questions du genre "Qui tutoie-je ? Qui vouvoie-je ?". Quand tout le monde se tutoie, comme entre amis/potes/collègues, c'est beaucoup plus simple. Dans le topic A lire avant de vous présenter :) , on peut lire Cette phrase de @Einsteinium était-elle une référence au tutoiement/vouvoiement ? J'ai 58 ans et ça ne me dérange pas d'être tutoyé (quel que soit l'âge de mon interlocuteur). Par ailleurs, je vous lis (tous) dans tant de messages que, désormais, vous m'êtes familiers

Merci @Mic13710, @Zeus et @dd5992 ; vos réponses combinées répondent parfaitement à mes deux premières questions. Concernant la troisième question (appli non présente dans portail des applis) : Comment puis-je connaître le port d'accès à mon appli (Mail Station en l'occurrence) ? Où vais-je trouver cette info ? => Je veux y accéder en webmail. Merci d'avance PS : @Mic13710 , stp, arrête de me vouvoyer (cf. ma signature)

Bonjour J'ai lu ce topic avec grand intérêt. Merci à @Kawamashi pour ce tuto plutôt bien fait (et bien détaillé). J'ai décidé de le mettre en œuvre (sur une seule appli) et, même si j'ai encore des questions, ça a l'air de fonctionner. J'ai une IP fixe et un nom de domaine ... je partais, donc, dans un contexte privilégié (cf. les difficultés de certains avec dyndns). J'ai créé le CNAME qui va bien chez mon registrar. J'ai mis en place mon certificat "Wildcard" en suivant le tuto dédié (merci @Zeus) Sur mon routeur (box), j'ai dirigé le port 443 vers mon nas Je n'ai rien fait avec le port 80 car, d'abord, j'ai lu, ailleurs sur ce forum, qu'il fallait être très prudent avec ce port 80, ensuite, je n'ai pas trop capté ce qui traitait de htaccess et, enfin et comme je l'ai lu dans ce topic, ce n'est pas la mer à boire que de rajouter "https://" devant l'adresse. J'ai mis à jour mes règles de pare-feu Dans le portail des applications, j'ai fait ce qui est indiqué dans ce tuto (appli "Audio station" seulement) Et, enfin, j'ai fait un test en tapant dans la barre d'adresse https://music.ndd.tld et suis bien arrivé sur Audio Station J'en viens donc aux questions : L'utilisation du reverse proxi est-elle une bonne alternative à une connexion VPN (que je ne suis pas arrivé à mettre en place) ? La connexion est-elle autant sécurisée ? Quel est l'intérêt de définir plusieurs sous-domaines quand un seul sous-domaine (nas.ndd.tld) peut aiguiller vers DSM (port 5000) et que, de là, on peut accéder à toutes les applis ? Le portail des applis ne présente pas toutes les applis. Comment rajouter une entrée ? (la question a été posée par @Hitman_11 mais la réponse de @Zeus, faisant référence à un dépannage, ne m'a pas beaucoup aidé) => Si je veux accéder à Mail Station (qui n’apparaît pas dans liste des applis), puis-je me contenter de créer une règle de proxi inversé en indiquant comme destination localhost:993 ? (993 étant le port utilisé pour IMAP-SSL/TLS) ==> Si oui, le port 993 étant chiffré, dois-je indiquer le protocole httpS en destination ? Voilà, j'aurai certainement d'autres questions ... ça dépendra des réponses à celles-ci. Merci d'avance pour vos réponses

J'ai bien compris et, comme je l'ai déjà écrit, j'en ferai de même.

Merci Zeus pour ta réponse. Je ferai, donc, comme tu dis. J'en déduis que ce contrôle d'intégrité est surtout pertinent pour les rotations en smart recycle. Merci encore.

Bon, du coup, j'ai une autre question : A quoi sert le contrôle de l'intégrité ? Je présume que ça vérifie la bonne qualité de la sauvegarde ... mais alors : Pourquoi ne peut-on pas mettre la même fréquence à la sauvegarde et au contrôle de l'intégrité ? Cela signifie-t-il que certaines sauvegardes ne sont pas vérifiées ? En effet, si l'on a une sauvegarde journalière et un contrôle d'intégrité hebdo, on peut être amené à avoir des sauvegardes foireuses ... je me trompe ? Merci pour vos précisions.

Hello @Jojo (BE) Désolé , j'aurais dû chercher plus avant de poser ma question.

Bonjour Merci, @Zeus, pour ce tuto clair et précis.

Bonjour Désolé pour le délai de retour mais je suis plus occupé à recommencer mes manips ... vu que plus rien ne fonctionne Ah, j'avais pas pensé à regarder là. Mais bon ... le reneg-sec a déjà la valeur 0. Vais continuer à chercher mais, avant, il faut que je comprenne pourquoi ce qui fonctionnait la semaine dernière ne fonctionne plus aujourd'hui. Les deux seules choses qui se sont passées (entre le bon et le mauvais fonctionnement) sont - Deux coupures de réseau ; c'était en fin de semaine dernière. J'ai rebooté plusieurs fois ma box. - une mise à jour du syno (Mail Server) ... mais bon, je ne crois pas que ça ait un lien. J'ai, à nouveau, désinstallé et réinstallé le VPN Server. J'ai vérifié ma config (simple, si on suit le tuto de Fenrir), mes ouvertures de port, mon pare-feu, j'ai même renouvelé mon certificat LE, au cas où ... tout me semble bon et pourtant je n'arrive plus à établir une connexion. - En L2TP/IPSec, depuis mon Mac, j'ai un échec d'authentification. J'ai essayé (plusieurs fois et sans succès) de changer la clé pré-partagée. - En OpenVPN, depuis mon Linux, ça mouline puis j'ai un message "la connexion a échoué car le délai de connexion est dépassé" C'est une histoire de fou. Ça commence à me prendre le chou. Vous n'auriez pas une idée ?

Bonjour et merci pour vos messages. @Zeus, pour le délai de réponse (lié à l'absence de notification), c'est pas grave ; je ne suis pas hyper pressé ; je te vois aider beaucoup de monde et, globalement, je te trouve plutôt très réactif ... donc No Souci ! Par ailleurs, il semble que j'aie un autre problème 1 - Ma connexion L2TP/IPSec sur mon Mac ne fonctionne plus depuis quelques jours. Erreur d'authentification => J'ai essayé de changer la clé pré-partagée mais ça n'a rien changé 2 - Ma connexion OpenVPN sur mon Linux (qui s'établissait puis tombait au bout d'une minute) ne s'établit plus : Délai de connexion dépassé Je ne comprends pas ce qu'il se passe => J'ai désinstallé le serveur VPN et puis l'ai réinstallé ... mais en vain ! Je vais donc poursuivre mes recherches mais, avant, j'ai des questions relatives à vos messages : Je ne vois pas où est ce param ... Coté serveur ou coté client ? Peut-on modifier cette valeur avec une commande ? si oui, peux-tu, stp, m'indiquer la commande (suis pas familiarisé aux lignes de commande) Tu parles bien du Deni of Service ? Coté Nas, je suis bon Mon routeur, c'est ma FreeBox ... y a-t-il un tel param dans la box ? Sur ta capture d'écran, tu as un champ Username et Password. Je suppose donc qu'il faut que tu mettes ton mot de passe utilisateur dans ce champ. Eh bien ... pas sûr ... puisque comme je l'ai écrit précédemment, d'après le message en infobulle, il semble que je doive y mettre la clé pré-partagée. Si j'y mets le password, où dois-je inscrire la clé ? A titre de test, j'ai utilisé le même "mot" pour - le password du User sur le Nas - le password du User sur le PC - la clé pré-partagée Ça n'a pas fonctionné (notification : La connexion VPN a échoué) Voilà, je viendrai voir vos réponses (merci d'avance) et, en attendant, je cherche A+

Oups, une partie de mon message n'est pas passée ... (Bizarre ???) donc je reprends : Message de l'info-bulle : Je croyais devoir mettre dans cette case le password lié au user ... mais il semble qu'il faille y inscrire la clé partagée (ce que j'ai fait) Il en découle, donc, une autre question : Où dois-je noter le password lié au user ? Rem: Sur mon Mac, pour la création de la connexion L2TP, j'avais deux cases : une pour le password, l'autre pour la clé partagée. Quoi qu'il en soit, j'ai tout essayé mais la connexion échoue à chaque fois (rien n’apparaît, d'ailleurs, dans le journal de mon serveur VPN) Concernant le OpenVPN, comme je l'ai dit ci-dessus, la connexion tombe au bout d'une minute => As-tu une idée du pourquoi ? Peut-être y a-t-il d'autres personnes (Piwi, Mic13xxxx, Einsteinium, ... ou même Fenrir) susceptibles de répondre à mes questions ... mais je n'ose pas les interpeler ... As-tu des réponses ? En tous cas, merci d'avance

Bonjour Zeus J'ai un peu progressé ... Disons que j'ai créé une connexion VPN (L2TP) sur mon Mac (c'est d'une simplicité enfantine) et que, avec cette connexion, j'ai pu comprendre l'utilisation du VPN (j'arrive à accéder à DSM). J'ai encore quelques (petites) interrogations, j'irai poser quelques questions en commentaire du tuto de Fenrir (si je ne trouve pas, par moi-même, les réponses). Ceci dit, je n'arrive pas à comprendre pourquoi ça ne veut pas fonctionner sur Linux. En OpenVPN, la connexion s'établit ... mais elle s'interrompt au bout d'une minute. En L2TP/IPSec, rien à faire, je n'arrive même pas à établir la connexion. Concernant L2TP, pour revenir à ce que je disais, en amont dans ce topic relativement à la config de strongswan, je n'avais pas la possibilité d'enregistrer la config de la connexion car le bouton "ENREGISTRER" était grisé (voir image ci-dessous). En fait, il faut que le Password fasse, au moins, 20 caractères et, lorsque c'est le cas, le bouton "ENREGISTRER" n'est plus grisé. J'ai vu cette information dans l'info-bulle liée au Password (désolé, je ne peux pas faire de screen de l'info bulle, c'est pourquoi je recopie)

Bonjour, Je n'ai guère eu de réponses concernant le paramétrage du client strongswan. Je dirais quand-même que, si tu n'as pas eu l'interface graphique, peut-être est-ce dû au fait que tu n'as pas, comme moi, installé tous les paquets relatifs à strongswan - l'un d'eux contenait, peut-être, cette interface (je ne sais pas, c'est juste mon analyse) Par contre, j'ai paramétré le client OpenVPN (c'était aussi simple que tu le disais). J'ai, donc, fait un test. Je me suis connecté en externe (depuis chez des amis). Suis allé sur un site qui me renvoie l'adresse IP. Un premier essai sans connexion VPN m'a renvoyé l'adresse IP de mes amis (normal). Pour un deuxième essai j'ai activé la connexion VPN (la connexion s'établit). Le site devant me renvoyer l'adresse IP m'a renvoyé un message m'indiquant que l'IP ne pouvait pas être décelée car j'utilisais probablement un proxi. Je ne sais pas si c'est normal mais j'en ai déduit (du fait même d'un tel message) que je passais forcément par le VPN. (Cependant, ne manquerait-il pas "quelque chose" dans la config de mon nas ? ... car le site aurait dû, me semble-t-il, me renvoyer l'adresse IP de chez moi). Par contre, au bout d'une minute, environ, la connexion est tombée (notification à l'écran). Ceci s'est reproduit à chaque nouvelle tentative de connexion. => Qu'est-ce qui fait que la connexion ne tient pas ? => Y a-t-il une action à faire pour que la connexion ne tombe pas ? Je n'ai pas eu le temps de faire plus de tests (j'étais attendu -et déjà en retard- pour l'apéro ) Je ferai un nouveau test prochainement, mais comme pour tester, via internet, je dois le faire depuis chez des voisins/amis, j'ai une question pour optimiser mes tests : En supposant que la connexion ne tombe pas, => Comment dois-je faire pour accéder à DSM ? ==> Faut-il saisir, dans le navigateur, l'adresse IP locale de mon Nas suivie de ":5000", comme je le fais, en local, chez moi ? (ma connexion VPN m'amenant directement dans mon nas, je ne devrais pas avoir à saisir l'adresse du nas) Voilà, peut-être as-tu des réponses ... merci d'avance. Cordialement

Merci pour ta réponse. Je ne fais rien de particulier. Quand, dans mes param, je choisis "params réseau", je suis en interface graphique, j'y vois mes connexions (Ethernet et wifi). => Je clique sur le "+" pour ajouter une nouvelle connexion ... et je reste en mode graphique. J'arrive sur le formulaire précédemment affiché. OK, vais m'y pencher et je ferai un retour (probablement dans quelques jours). Par ailleurs, j'attendais ton retour avant de poser des questions ailleurs (forum dédié à Linux Mint). Si j'ai des réponses, je viendrai en faire part. Merci bien pour ton aide.

Je ne suis pas vraiment à l'aise avec le terminal ... j"avoue préférer les interfaces graphiques. Merci d'avance

Dans le gestionnaire de paquets Synaptic, j'ai fait une recherche (sur le nom) de strongswan. J'ai trouvé 17 paquets - je les ai tous installés Puis, comme tu me l'as suggéré, Param réseau > Ajout connexion > Sélect type VPN "L2TP/IPSec" > créer connexion

Je n'y arrive pas ! Lorsque je choisis "Pre-shared key", et même si je renseigne un utilisateur et son password, je n'ai pas possibilité d'enregistrer (bouton grisé) ... ça me semble bizarre (???) Lorsque je choisis "Certificate/private key", dans "Certificate", je sélectionne le fichier cert.pem (du certificat exporté), comme pour Gateway dans "Private key", je sélectionne le fichier privkey.pem (du certificat exporté - je ne suis pas sûr de mon coup mais c'est la seule chose qu'il me semble devoir sélectionner) puis j'enregistre mais lorsque j'essaie d'ouvrir la connexion, j'ai une notification d'échec (sans plus de précisions). Dans les deux cas, je ne comprends pas où l'on doit indiquer la clé partagée Je pensais devoir l'indiquer lors de l'ouverture de la connexion vpn ... mais ça semble ne pas être le cas (rien ne m'est demandé). Question : Puis-je faire un test en local (comme j'ai essayé) ou bien dois-je impérativement le faire depuis l'extérieur (via internet)? Je crois que je vais devoir reprendre le tuto de Fenrir et notamment le paragraphe "Que faire si ça ne marche pas ?" ... mais bon ... je le sens pas bien.

Euh ... Quand j'exporte le certificat, j'obtiens un fichier Zip et lorsque j'extrais l'archive, j'obtiens 3 fichiers : cert.pem chain.pem privkey.pem Quel fichier sélectionner pour le certificat de la rubrique Gateway ? Dans la rubrique Client, Lorsque je choisis "Certificate/private key", j'ai accès aux champs "Certificate" et "Private key" mais pas aux champs "Username" et "Password" Lorsque je choisis "Pre-shared key", c'est l'inverse Peut-être la clé pré-partagée doit-elle être saisie au moment de la connexion.