j0ffr37

oui j'utilise les pare feu ipv4 et ipv6 au niveau du routeur + pare feu au niveau de syno. J'ai pourtant un souci de sécurité en ce moment : avec encore ce matin une attaque detectée par mon routeur ai protect WEB Remote Command Execution via Shell Script -1.a de qui provient d'une ip encore identique 37.44.238.150 , quand je check ca me dit que l'ip est francaise est a comme host : nekololis.wtf .

pour le ping du terminal c'est bon. pour les préfix , voici les parametres de la freebox et ceux d'asus : et ca me donne pour asus

Bonjour, Hum petite chose déplaisante : Je vois aujourd'hui dans aiprotect de mon routeur asus : Il faut ignorer celles du 07 juin.. Je n'ai jamais d'alertes de ce genre. j'ai pourtant les pare feu d'actifs avec comme seuls ports ouverts à la france (80/443) (1984/6881) pour bittorent et 6690 pour drive. mon serveur impose l'utilisation de l'HTTPS avec un certificat let's encrypt du nas, je reverse proxy vers un pc NUC qui heberge emby serveur, vers mon routeur et vers un docker adguard. Sur le routeur, le NAT est réglé également assez restrictif ( 80/443/1984/6881/6690) Je n'ai donc rien d'exposé en direct et tout passe par des sous domaines en 443 via synology Depuis ce week end, j'ai installé en docker home assistant et je suis en train de bidouiller pour le tester.. mais il n'est pas accessible hors réseau local Comment traiter ces alertes ? quelles vérifications faire et quels corrections apporter ? merci

@.Shad.

@.Shad. alors petite actualisation du week end. Je n'ai pas renoncé à faire tourner de l'ipv6 avec adguard. J'ai expérimenté beaucoup de choses et le résultat semble cohérent ? 1 Freebox : Elle garde son mode routeur, l'ipv4 du routeur asus est sur sa DMZ, pour l'ipv6 j'ai paramétré un second next hop vers le routeur asus. En gardant le premier vide, je peux brancher le player pop directement sur la freebox et avoir la TV ( toutes les autres configurations, sauf le passthrough sur le routeur asus me posent des soucis pour le player pop via freebox ou routeur asus) 2) routeur asus Il gère le DHCP local ( routage de ports, firewall ipv4 et ipv6 activés avec ouverture des ports utiles ( 80.443 et 2 ports directs synodrive et emby sur un nuc dédié) ). j'ai paramétré l'ipv6 sur natif avec le next hop en réseau local. il déclare en DNS V4 : l'ip4 de mon adguard home et en second celui de nextdns configuré à l'identique en dnsv6 : l'ipv6 de mon adguard home (en fe80::) et en second celui de nextdns configuré à l'identique 3)synology et adguard j'ai reconfiguré le bond 0 sur les 2 premiers ethernet et ai activé 2 règles réseau dans container : docker network create -d macvlan --subnet=192.168.50.0/24 --gateway=192.168.50.1 --ip-range=192.168.50.181/32 --ipv6 --subnet=fe80::0/64 --gateway=fe80::123:456:789:39a0 -o parent=eth2 ad_network le second cf pièce jointe du coup j'ai un adguard avec en ip : 192.168.50.181 2a01:abc:def:3ghi:42:jkl:mno:pqr fe80::42:47:58:52 donc un ipv4 interne, un ipv6 externe sur le second next hop (comme tout les appareils qui passent par le routeur asus) et un ipv6 interne j'ai donc pour l'ensemble de mes appareils réseau : un ipv4 interne, et 2 ipv6 (externe et interne). dans les logs adguard, j'ai autant des requetés venant d'ipv4 que d'ipv6 en fe80:: Cela semble bien nan ?

@.Shad. merci pour ces précisions... je comprends un peu mieux la seconde étape pour faire fonctionner cela... mais du coup en effet je vais donc rendre accessible de l'extérieur mon adguard. ce n'est pas le but. Existe t'il un véritable interêt de faire faire de l'IPV6 sur l'équipement connecté à mon reseau local ? Vu que soit je n'active que l'IPV4 et je peux avoir 100% des requetes qui passent par adguard home, soit j'active aussi l'IPV6 et la seule possibilité de maintenir un contrôle total sur les requêtes serait de passer par un prestataire exemple nextdns ?

oui en effet avec ce script je crée une première régle macvlan dans container. mais le tuto que j'avais trouvé demandait également de créer une seconde règle directement dans container le tuto que j'avais suivi : https://www.wundertech.net/how-to-install-adguard-home-on-a-synology-nas/comment-page-1/ c'est surement le but de cette seconde règle dans container mais je ne sais pas comment la remplir

donc pour moi : mais question, pour ip-range en ipv6, comment je le choisis ? également, je dois aprés créer une seconde règle dans reseau de container manager, pour ipv4 je sais déjà comment remplir pour que cela fonctionne mais pour ipv6 ?

hello merci, oui c'est bon et le ping aussi (je suis là en mode passthrough pour le routeur asus)

Bonjour, je reviens pour une aide ( qui pourra surement servir aussi de tuto futur pour d'autres) contexte j'ai actuellement un abonnement freebox pop + un kit asus zenwifi xt8 (192.168.1.24) + nas 1522+ (192.168.50.180) ma freebox pop est restée en mode routeur avec l'asus en DMZ qui gere lui mon reseau local IPV4. mon reseau local est donc en 192.168.50.x Pour l'IPV6, Je peux éventuellement utiliser l'ipv6 de la freebox pop en activant le passthrough dans l'ASUS ou bien utiliser ce tuto pour que l'asus gere l'ipv6 en local et ponte sur l'ipv6 de la freebox ( https://utux.fr/index.php?article13/free-bridge-ipv6) Objectif Je souhaite mettre en place adguard home sur le nas installation IPV4 Only J'ai premièrement testé un fonctionnement en ipv4 only (désactivation de l'ipv6 au niveau du routeur asus) et j'ai utilisé ce tuto :https://www.wundertech.net/how-to-install-adguard-home-on-a-synology-nas/comment-page-1/ ce qui m'a crée une ip locale 192.168.50.181 qui dirige vers le docker adguard qui n'attribue donc qu'une ipv4 la ligne de commande utilisée ssh était docker network create -d macvlan --subnet=192.168.50.0/24 --gateway=192.168.50.1 --ip-range=192.168.50.181/32 -o parent=eth0 adguard-network Puis dans reseau de container manager j'ajoute un reseau ag_bridge IPV4 ss reseau 192.168.51.0/24 plage d'ip 192.168.51.2/32 gateway 192.168.51.1 et enfin j'affecte bien ag_network et ag_bridge au container crée J'ai ensuite indiqué l'IP locale virtuelle 192.168.50.181 comme serveur DNS dans le routeur asus. tout fonctionne normalement. Amélioration IPV6 Je souhaite donc ajouter la couche IPV6 car le reseau free est devenu natif IPV6 et l'IPV4 est désormais encapsulé dans de l'IPV6 mais là pour le moment je pèche. pour une installation avec l'asus en passthrough, j'ai donc (ip modifiés) : sur la freebox, adresse lien local : fe80::1111:2222:fe69:0000 et délégation de préfix 2a01:123:456:36e0::/64 l'asus a comme ipv6 fe80::7e10:c9ff:feb1:1111 mais je n'arrive pas à faire fonctionner cette regle : docker network create -d macvlan --subnet=192.168.50.0/24 --gateway=192.168.50.1 --ip-range=192.168.50.182/32 --ipv6 --subnet=???????????????? --gateway=??????????? -o parent=eth1 ad_network2 c'est volontairement sur eth_1 et sur 192.168.50.182 car j'ai déjà adguard qui tourne en only ipv4 sur eth_0 et 192.168.50.181 est ce possible d'avoir ce fonctionnement en passthrough, sinon je repasse en ipv6 géré par asus mais dans ce cas quelle régle appliquer également ? merci

Bonjour, je viens de voir un souci, l'ensemble des users ont un accés libre à l'ensemble des dossiers homes et je ne comprends pas pourquoi, une piste ? par exemple voila ce que vois un user dans son filestation(01.png ) et les parametres d'accés d'un dossier d'utilisateur dans le homes (02.png) merci d'avance

@.Shad. @PiwiLAbruti Alors ce n'est pas le fait d'avoir un routeur asus connecté à la freebox, je viens de mettre un pc en filaire sur la freebox sans passer par le routeur asus, je test un upload vers le nas du site 2 qui est aussi en direct sur sa freebox, plafonne 10mo/s, speed test et autres sites d'upload, je peux faire du 40mo/s sans soucis. vraiment que entre 2 sites freebox quel que soit le protocole de transfert utilisé cette limite de 10mo/s je peux exclure les cables vu que je ne plafonne pas sur d'autres tests 😕 dernier test : pc portable en partage de co sur 5G de mon telephone (bouygues).... telechargement des 2 nas, 20mo/s (limite de la connexion 5G) on en revient bien à un plafonnement 10mo/S QUE entre 2 nas sur reseau free .... mais pourquoi ?

@.Shad. je viens de faires des tests d'uploads dans l'autre sens du site 2 vers site 1, même constat, ca plafonne à 10Mo/S... j'ai également testé d'uploader un fichier d'un pc du site 1 vers nas site 2, toujours pareil ca plafonne à 10Mo/S.... Quand je veux uploader du pc vers un site d'upload lambda, je retrouve bien un débit bien supérieur je n'ai donc une limitation que dans la communication entre mes 2 sites (nas ou pas nas) Du coup je me demande si la partie reseau du site 1 ne serait pas en cause site 1 : routeur asus zenwifi branché sur la box en DMZ et il distribue à mon reseau interne. est il possible qu'il y ait des soucis d'IPV6 publique par rapport à ca et que si free communique en interne dans son reseau en ipv6, il bug et fasse une bascule ipv4 avec un freinage ? ou je ne sais quoi d'autre ?

Bah router le port entrant vers le nas ? ( ex si le port hyper Backup est 5000) je route le port 5000 vers le nas dans mon routeur ip publique : l’ip du routeur en ipv4

Via Ip publique ipv4 ( les 2 free en ip fullstack) le fait de largement dépasser ces 10mo d’upload pour tout les autres usages exclus les capacités matérielles. Les ipv6 sont activees sur la box et dans les nas aussi, les ports sont ouverts sur les 2 configs niveau routeur et pare feu syno

Bonjour, nouvelle petite question. J'ai donc 2 nas sur des sites distants, les routages de ports sont ok ainsi que les pare feux (les règles de routage et de pare feu sont limitées à l'IP du site "source" par protection) abonnement freebox pop 5Gb en down et 700 en UP. Les tests speedtest, etc... me donnent bien un super débit up ( 32Mo/S d'un pc en wifi ) par contre, tous les transferts entre les NAS plafonnent à 10Mo/s (hyperbackup, rsync, copie via webdav...) les sauvegardes vers C2 par contre montent également à 30 Mo/s bridage de free ? comment améliorer l'up?

Bonjour’ je souhaitais utiliser snapshot réplication pour dupliquer 1 fois par semaine sur un serveur cible des dossiers (homes, photos, vidéos) de manière lisible sur le second serveur. l’utilité était aussi de gagner du temps en copie car 95% des fichiers du serveur source sont aussi présents sur le serveur cible (et donc en première synchronisation aller vite et ne pas reprendre 15to de transfert ) en utilisant snapshot réplication’ ça me crée des dossiers homes-1, photos-1 et videos-1 et veut donc transférer 100% des fichiers donc pas possible de faire une synchronisation de dossiers source vers cible comme je le souhaitais (homes vers homes, etc ) j‘étais pas intéressé par drive sync car je n’ai pas le coté versionning du snapshot ps: j’ai également une sauvegarde hyperbackup sur un autre site pour les donnés essentielles merci de vos conseils

J’ai également une sauvegarde hors site sur un second nas syno en hdd Bon je vais tet partir sur un nas 100% ssd avec juste une partition de « production » je me pose une autre question est ce que sur un raid shr syno écrit aléatoirement et de manière pas équitable sur les sdd afin de générer une usure décalée des ssd ?

Bonjour à tous, petite question pratique Est il possible sur un 5 baies d'installer 3 SSD et 2HDD -faire un groupe de stockage avec les SSD (raid 0 ou SHR à voir) -Un second groupe de stockage avec 2 HDD en raid 1) -Utiliser le groupe SSD comme groupe /volume principale et le groupe HDD en groupe /volume de backup du groupe principale Afin que le NAS soit silencieux en temps normale ( ne tourne que sur le groupe SSD), et chaque nuit / semaine reveiller les HDD qui seraient en veille (donc 0 décibels) pour récupérer une backup du groupe ssd principal ?

Bonjour, Petite question, je dispose de 2 NAS dans 2 lieux séparés. Je souhaiterai créer un dossier sur un premier NAS et le monté en accès distant permanent sur mon second NAS (donc qu'il apparaisse dans File station), le tout avec les sécurités suffisantes Donc plusieurs questions : - Quel protocole est le plus rapide ? je m'y perds entre le SFTP, SAMBA, WEBDAV - pour la sécurité, je pense n'ouvrir l'accès au protocole distant retenu qu'à mon second NAS (via filtre IP dans le pare feu).... suffisant niveau sécurité (et cryptage) ou il serait plus utile de monter un tunnel vpn entre les 2 nas sur ce port... protocole .. un tuto est présent dans le forum ? merci de votre aide :)

Je vais donc partir sur le chiffrement du transfert. pour économiser l'usure des disques et les risques d'attaques, le nas de sauvegarde est programmé pour se réveiller une nuit par semaine, recevoir la sauvegarde hyoerbackup puis se rendormir. (hors les cas ou je l'allume volontairement pour l"entretien" : MAJ, etc..) ce qui risque donc de compliquer la fiabilité du tunnel vpn

@oracle7 @Jeff777 hum je vais pas activer le HSTS car un peu relou si j'ai un souci avec mes certificats. Saut si le HSTS est vraiment important niveau sécurité. Ensuite pour la sauvegarde hyper backup sur un second nas distant, l'option cryptage dans hyperbackup suffit ou vous me conseillez de mettre un tunnel vpn ? (sachant que je vais verrouiller le nas distant pour qu'il ne soit accessible que de mes IP domicile et bureau )

Alors petite mise à jour : - j'avais en effet oublié d'ajouté un sous-domaine dans la demande de certificat let's encrypt, résolu et mon sous-domaine d'accés au dsm fonctionne. - dans portail de connexion, j'ai indiqué le sous-domaine comme domaine personnalisé et c'est ok. J'avais peur que cela puisse impacter mailplus mais tout est bon de ce coté - J'ai installé web station et laissé tel quel, j'ai désormais une page site en contruction quand je tape juste maison.moi ou mon ip publique, - dans le pare-feu, j'ai pu passer les ports imap et smtp avec la localisation france et je ne laisse plus que le port 25 en ouverture monde - j'ai ajouté le script qui actualisé la liste d'IP bloquées de blocklist.de toutes les heures avec une expiration à 30 jour afin de ne pas avoir dans 1 an 200 000 ip en memoire Alors que l'installation de mailplus serveur avait déclenché des tentatives de connexion toutes les heures sur postfix, je n'en ai plus une seule depuis vendredi soir. ps : j'ai enlevé HSTS mais activé la redirection automatique de http en https dans portail de connexion, ce ne serait pas la même fonction en fait ?🤔 L'étape suivant va être la délocalisation de mon second nas de backup (hyperbackup du Nas principal) dans un autre logement. Par contre je vais donc devoir modifier sa config pour faire en sorte que le nas de backup ne s'ouvre que pour 2 ip : chez moi et au boulot. PAs d'utilité de me lancer dans un tunnel vpn donc ?

Question subsidiaire, pour le sous-domaine desktop.maison.moi que je souhaite faire pointer sur l'accés DSM, j'ai un message d'erreur : Votre connexion n'est pas privée Des individus malveillants tentent peut-être de subtiliser vos informations personnelles sur le site desktop.maison.moi (mots de passe, messages ou numéros de carte de crédit, par exemple). En savoir plus NET::ERR_CERT_COMMON_NAME_INVALID Pour bénéficier du niveau de sécurité le plus élevé de Chrome, activez la protection renforcée ActualiserMasquer les paramètres avancés Un chiffrement est normalement utilisé sur le site desktop.maison.moi pour protéger vos informations. Lors de la dernière tentative de connexion de Chrome au site desktop.maison.moi, des identifiants inhabituels et incorrects ont été retournés. Il est possible qu'un individu malveillant tente de se faire passer pour desktop.maison.moi ou qu'un écran de connexion Wi-Fi ait interrompu la connexion. Vos informations restent sécurisées, car nous avons arrêté la connexion avant l'échange des données. Le site desktop.maison.moi est actuellement inaccessible, car il utilise la technologie HSTS. Les erreurs réseau et les attaques sont généralement temporaires. Vous devriez donc pouvoir accéder à cette page plus tard.

Sauf les numéros de ports standards ( 25, 80 , ....) tout les noms de domaines, IP et ports sont fictifs 🙂 Mais web station n'est pas pour l'hebergement de site web type joomla, wordpress, etc... ? Du coup si j'installe web station, https://maison.moi arrivera sur une page en construction, mais quid des sous domaines pour les accés aux applications : photo.maison.moi , etc.. Et comment faire en sorte que desktop.maison.moi arrive sur l'accés DSM ?