BruceFeuillette

Oui, je viens d'éditer mon message avec un peu plus d'informations 🙂 C'est franchement pas top comme solution. Même si c'est temporaire ! Merci de la confirmation !

Bon, finalement c'est passé. J'ai autorisé toutes les IP sur le port 80 à aller sur le NAS, sur la Freebox. Idem sur le parefeu. Redirection de mon sous-domaine AudioStation vers localhost en port 80 et le certificat est passé. Le fichier well-known n'est pas servi par NGINX, je vais donc essayer de trouver dans les logs ce qui s'est passé, si des logs existent. Vivement que Synology s'appuie sur certbot avec la possibilité de faire du challenge-dns, c'est quand même rudement plus simple et sans devoir tout ouvrir. EDIT : Finalement, si, les vérifications sont servies par NGINX. Par contre il y a pas mal d'adresses IP concernées. Au total il y a eu 9 vérifications par 4 adresses IP différentes, soit 1 vérification par sous domaine. Les adresses IP externes : 18.196.96.172, 52.15.254.228, 64.78.149.164, 34.222.229.130. Ce qui veut donc dire que si on veut valider correctement un certificat, il faut ôter toutes les restrictions sur le port 80, temporairement. Conclusion : je vais utiliser une distribution Debian pour faire du challenge-dns et j'irai mettre le certificat à la main dans la configuration.

Hello ! Est-ce que depuis la mise à jour de DSM, vous avez rencontré des problèmes de renouvellement pour vos certificats SSL ? Chez moi cela ne fonctionne plus. La configuration n'a pas été touchée que ça soit sur ma box, le reverse proxy ou autre depuis que j'ai généré mon certificat avec des noms alternatifs. J'ai remarqué que pour valider le certificat, Let's Encrypt se rend sur le sous domaine dédié à AudioStation. Or celui-ci était redirigé vers le port de l'application, donc cela n'était pas près de fonctionner... Il a, bizarrement, zappé le premier nom, celui qui fonctionnerait. Question annexe : est-ce que les adresses IP des serveurs Let's Encrypt ont changé ? Ma configuration est restrictive et je n'avais autorisé que le 64.78.149.164 et le 66.133.109.36. J'ai activé les logs NGINX en access pour valider tout ça, mais comme j'ai dépassé mon quota de validation en échec (5), je dois attendre 1 semaine...

Ben moi je les stocke pour pouvoir y accéder à distance (authentification double facteur). 🙂 Mais en même temps je n'ai pas grand chose puisque toutes les factures sont sur les sites des entreprises concernées (énergie, etc). Tout le reste en encore en papier. Le pourcentage de risques est inconnu, c'est le même pour tout le monde. Je prends mes précautions : Kasperksy Total Security à jour, je ne vais pas n'importe où, je ne fais pas n'importe quoi, je ne discute pas avec n'importe qui. Je fais donc tout pour minimiser le risque. La peur n'empêche pas le danger. Donc il faut en avoir conscience mais ne pas rester bloqué et le faire correctement. J'ai créé des comptes restreints pour mes amis : lecture de vidéos et d'audio. Double authentification obligatoire, même si ça les a gonflé. J'ai même restreint les accès aux adresses IP de leur box, sur le pare-feu de ma box. Histoire de... Pas d'accès aux fichiers avec les autres, sauf avec du partage via File Station en lecture seule et via le navigateur Web. Je n'ai pas activé le chiffrage à cause du risque d'oubli du mot de passe. 😝 A ce jour je n'ai été piraté qu'une seule fois, mais c'est quand j'étais jeune, il y a une vingtaine d'années, et que j'étais à fond dans le cracking/hacking. Un test d'outil qui a mal tourné, un peu volontairement. 🤓 J'avais installé le serveur du cheval de troie au lieu de l'outil de gestion. Bon, j'ai vite réglé ça quand le gars en face s'est amusé à ouvrir mon lecteur de CD et à m'envoyer des messages. 🤣 Ce n'était pas très violent à l'époque, on s'amusait plus qu'autre chose.

Je suis moyennement d'accord avec ceux qui disent que les hackers n'ont rien à faire des données d'un individu lambda. Actuellement les pirates se font de grosses bases de données d'identités réelles, en croisant les infos de plusieurs fuites de données. Donc tout ce qui permet d'alimenter la "fiche" de la personne est bon à prendre. Ça permet d'aller pirater une entreprise avec des infos personnelles vérifiées et de faire du bon vieux social engineering pour ensuite passer à la phase technique pure. Je pense que @felix62 a bien raison de s'en préoccuper. Pour info, une idée de ce que vaut, en argent, une donnée personnelle de Monsieur X. Il y avait un site qui donnait le "cours du jour" en fonction des informations volées. Ajoutez par dessus un ransomware, qui aura exfiltré les données avant chiffrement... 200-400€ de rançon + revente des données. Ça devient intéressant.

Je pense que tu tires trop vite des conclusions. Tu n'as pas lu le reste de la phrase : dynamique OU suspectée d'être réservée pour un usage "domestique". Il faut savoir qu'il est extrêmement rare que des particuliers disposent d'un serveur SMTP. En entreprise, on souscrit des offres Pro pour Internet. Celles-ci sont plus chères mais en contrepartie on n'a pas ce souci, puisque les plages IP sont flaggées comme "Pro" et donc y trouver un serveur SMTP est normal. Free ne fourni pas de liaison Internet pour les pros, donc tu pars avec un sacré handicap d'entrée de jeu. Comme tout ce qui est Orange (y compris les box Pro) et autres. Pour ma part j'ai renoncé à émettre des mails en direct, je m'appuie sur le relais de messagerie de Free, accessible gratuitement pour les abonnés, moyennant l'authentification.

Pour le DDNS, tu vas sur https://www.whatsmyip.org/ et tu auras ton adresse IP à renseigner chez le fournisseur DDNS. 🙂 Quand tu as un nom de domaine, tu peux avoir autant de sous domaines que tu veux. Un pour chaque application, si tu le veux : audio.toto.fr, file.toto.fr, dsm.toto.fr ou encore drive.toto.fr. Ils sont tous libres de base. Mais si tu optes pour un fournisseur DDNS, tu devras jongler avec ce qui aura déjà été créé par les autres. Par exemple sur noip.com, je pense qu'audio.noip.com existe déjà. Il faudra être inventif. Pour le partage, pas la peine de faire compliqué. Quand tu crées le lien de partage, DSM connait les restrictions liées à l'adresse. Par exemple https://partage.toto.fr/sharing/abcdef1234 peut donner accès au dossier Debian dans Download et en lecture seule. Quand, dans le même temps, https://partage.toto.fr/sharing/ab124de21 va donner accès au dossier Fedora dans Download en lecture/écriture. Et pour ta part, ton accès à https://partage.toto.fr/ te donnera un accès complet. Et pour le SSH, je ne sais pas. Probablement un mauvais paramétrage du pare feu ou autre. 🙂

J'ai des TPLink qui me donnent du 127Mbits entre le PC et ma Freebox, sur laquelle est branchée le NAS. Je fais un pauvre 4,5Mo/s soit du 36Mbits pour déposer/prendre des fichiers sur le NAS. Le NAS branché sur le même plug CPL TPLink, en 100Mbits, je faisais du 88Mbits, soit du 11Mo/s. Donc même en m'affranchissant de la distance, c'est vraiment pas top. Les chiffres annoncés par le CPL sont tous farfelus et les débits jamais atteints. Cela est aussi dû au réseau électrique. La box est hors de cause, je suis fibré et quand je lance un téléchargement depuis Download Station, il n'y a pas photo si il y a du répondant en face : 50 à 70Mo/s soit 560Mbits. De ce que j'ai pu constater de visu. 🙂 Si je veux aller vite, je mets un câble depuis le PC sur la box et tout est réglé. 🙂 CPL < WiFi < Câble

Oui, il faut passer par un prestataire extérieur. Le NAS permet la création d'un sous domaine directement chez Synology. Tu vas dans le Panneau de configuration -> Accès externe -> DDNS et tu choisis Synology dans la liste. Ayant un NDD chez OVH depuis quasiment 18 ans, je n'ai pas poussé plus loin mes investigations sur cet aspect là. 🙂 Je n'ai pas vu de 11.11.11.11, mais ça doit être une adresse IP externe d'exemple. Quand tu dis une requête DNS, c'est sur le NAS lui même ou sur le serveur DNS hébergé sur le NAS ? Si c'est depuis le NAS, il faut te connecter en SSH et lancer nslookup. Si c'est pour tester depuis ton PC pour voir ce que retourne le serveur DNS installé sur le NAS, il faut lancer cmd.exe depuis le PC et taper nslookup hôte serveur nslookup www.nas-forum.com 8.8.8.8 -> test via le DNS de Google pour résoudre www.nas-forum.com

Le serveur DNS te permet juste d'accéder à ton NAS via le nom de domaine depuis ton réseau local. De manière très pratique, si tu utilises un nom de domaine sans serveur DNS local, tu sors sur Internet. Le serveur DNS sur Internet te renvoies vers ta box qui du coup perd les pédales et ne sait plus quoi faire. Le serveur DNS local va te permettre d'intercepter la requête avant qu'elle aille sur Internet, pour tout renvoyer sur l'adresse IP locale de ton NAS. Et éviter une boucle. Je te conseille de lire le tuto suivant pour comprendre le tout sur le nom de domaine. Ensuite tu pourras appliquer le tutoriel sur le DNS et ça sera beaucoup plus clair ! 🙂

Ça ne change rien. Ton NAS ne fait qu'envoyer la vidéo brute au navigateur. C'est lui qui fait tout le boulot (le navigateur) : soit en natif, soit via un plugin.

Dans les navigateurs, Video Station utilise un plugin. Il ne lancera jamais VLC de la manière dont tu l'écris. Quand le plugin fonctionnait, VLC ne se lançait pas, il venait prendre le relais de l'affichage dans le navigateur. Mais tu restais techniquement dans Video Station, VLC étant intégré dans la page web. Depuis Firefox 61, la technologie de plugin utilisée par VLC n'est plus supportée. Donc le plugin ne fonctionne plus. Il faut utilise la version 52 ESR, qui est la dernière version avec le support des plugins dit "legacy". Dans EDGE, il n'est pas installé et dans IE 11, c'est pas top. La page vers laquelle tu renvoies doit dater un peu. Aujourd'hui les navigateurs sont tout à fait capable de lire des vidéo sans plugins externes (cf HTML5 et la balise video), ou viennent avec le nécessaire embarqué. Si la vidéo se lance quand tu cliques dessus, pas la peine de vouloir faire plus. 🙂

Aucun souci avec Firefox 72.0.2. Pas testé avec Lynx.

Bonne question ! Je ne l'ai pas mis et ça a copié. Mais peut être que j'ai eu de la chance sur mon premier test et ça expliquerait la lenteur sur les tests 2 et 3. 🙂 Je vais tester sur d'autres fichiers et je ferai un retour. La documentation est là : https://trac.ffmpeg.org/wiki/Map Mais c'est vite complexe. 🙂 EDIT : Je confirme, il faut bien ajouter -acodec copy -vcodec copy -scodec copy pour qu'il y ait une copie. Je me demande comment j'ai fait pour oublier ces arguments entre 2 tests. Merci pour la correction apportée !

Ah mais je suis entièrement d'accord. Je l'ai relu plusieurs fois hier en me disant : "Wahou... ouais mais non". 😂 Donc en pas résumé : il y a un endroit ou tu vas définir le NDD utilisé pour les partages générés par File Station. Par exemple partage.toto.fr. Je donne l'emplacement à la fin de mon post indiqué en dernière position. Quand tu vas créer le partage, il va utiliser ce NDD pour préfixer le lien qui aura donc la forme https://partage.toto.fr/sharing/abcdef1234 Mais si tu accèdes à File Station via DSM, donc via le port 5000 ou 5001, automatiquement le lien va venir ajouter le port au lien, soit https://partage.toto.fr:5000/sharing/abcdef1234 Il faudra donc supprimer le :5000 à la main. Sauf si... 🙂 Sauf si tu passes par https://partage.toto.fr pour accéder à File Station et créer ton lien à partager. A ce moment là, il ne rajoutera pas le :5000 dans l'URL, le lien sera prêt à l'emploi !