j0ffr37
-
Compteur de contenus
39 -
Inscription
-
Dernière visite
Messages posté(e)s par j0ffr37
-
-
il y a 24 minutes, .Shad. a dit :
@j0ffr37 Tu exécutes la commande dans le conteneur depuis l'hôte via le terminal :
docker exec -it adguard ping -6 ipv6.google.com
où "adguard" est le nom du conteneur Adguard.
Quelque chose me chiffonne dans ton histoire de second préfixe, a priori tu ne reçois qu'un préfixe de ton FAI, mais celui-ci a une certaine taille, par exemple /52 ou /56. Parmi ce pool de réseaux, ton routeur va choisir par exemple un /64. Probablement que ton player utilise à lui seul son propre /64.
Mais du coup je n'ai plus tout en tête, ça fonctionne ou pas ? 😄
pour le ping du terminal c'est bon.
pour les préfix , voici les parametres de la freebox
et ceux d'asus :
et ca me donne pour asus
0 -
Bonjour,
Hum petite chose déplaisante :
Je vois aujourd'hui dans aiprotect de mon routeur asus :
Il faut ignorer celles du 07 juin..
Je n'ai jamais d'alertes de ce genre.
j'ai pourtant les pare feu d'actifs avec comme seuls ports ouverts à la france (80/443) (1984/6881) pour bittorent et 6690 pour drive.
mon serveur impose l'utilisation de l'HTTPS avec un certificat let's encrypt
du nas, je reverse proxy vers un pc NUC qui heberge emby serveur, vers mon routeur et vers un docker adguard.
Sur le routeur, le NAT est réglé également assez restrictif ( 80/443/1984/6881/6690)
Je n'ai donc rien d'exposé en direct et tout passe par des sous domaines en 443 via synology
Depuis ce week end, j'ai installé en docker home assistant et je suis en train de bidouiller pour le tester.. mais il n'est pas accessible hors réseau local
Comment traiter ces alertes ? quelles vérifications faire et quels corrections apporter ?
merci
0 -
Le 21/06/2023 à 20:54, .Shad. a dit :
T'as bien raison, faut jamais renoncer. 😛
Ca me semble ok, est-ce que tu as testé de résoudre et de ping en IPv6 depuis le conteneur Adguard ?
Hum je veux bien un conseil sur comment vérifier cela ? (lancer un terminal dans le container manager avec une ligne de commande ?)
Donc si je comprends bien, les équipements reçoivent une IPv6 de la box avec ton routeur qui fait le relais IPv6 ?
la Box délègue son second préfix IPV6 publique au routeur asus qui est en IPV6 natif. (important de laisser libre le premier préfix pour brancher le player sur la freebox et avoir accès à la TV, les droits d'accès ne peuvent se faire sur les serveurs free tv qu'avec le premier prévix IPV6 attribué à la ligne)
Le Routeur ASUS attribue à chaque périphérique :
-une IPV6 publique 2a01 sur le second préfix de la freebox. Ainsi la data entrante est routé de la freebox vers le routeur qui dispatche
-une ipv6 local Fe80 qui permet au conteneur adguard d'avoir une ipv6 local qui est en primary DNS serveur dans le routeur asus (avec en second serveur IPV6 Quad9 pour ne pas bloquer internet si adguard n'est plus dispo)
La box a un DHCPv6 ou c'est du SLAAC ?
SLAAC, le DHCPV6 pose des soucis notamment avec le player pop
0 -
@.Shad. alors petite actualisation du week end. Je n'ai pas renoncé à faire tourner de l'ipv6 avec adguard.
J'ai expérimenté beaucoup de choses et le résultat semble cohérent ?
1 Freebox :Elle garde son mode routeur, l'ipv4 du routeur asus est sur sa DMZ, pour l'ipv6 j'ai paramétré un second next hop vers le routeur asus. En gardant le premier vide, je peux brancher le player pop directement sur la freebox et avoir la TV ( toutes les autres configurations, sauf le passthrough sur le routeur asus me posent des soucis pour le player pop via freebox ou routeur asus)
2) routeur asus
Il gère le DHCP local ( routage de ports, firewall ipv4 et ipv6 activés avec ouverture des ports utiles ( 80.443 et 2 ports directs synodrive et emby sur un nuc dédié) ). j'ai paramétré l'ipv6 sur natif avec le next hop en réseau local.
il déclare en DNS V4 : l'ip4 de mon adguard home et en second celui de nextdns configuré à l'identiqueen dnsv6 : l'ipv6 de mon adguard home (en fe80::) et en second celui de nextdns configuré à l'identique
3)synology et adguard
j'ai reconfiguré le bond 0 sur les 2 premiers ethernet et ai activé 2 règles réseau dans container :
-
docker network create -d macvlan --subnet=192.168.50.0/24 --gateway=192.168.50.1 --ip-range=192.168.50.181/32 --ipv6 --subnet=fe80::0/64 --gateway=fe80::123:456:789:39a0 -o parent=eth2 ad_network
le second cf pièce jointe
du coup j'ai un adguard avec en ip :
- 192.168.50.181
- 2a01:abc:def:3ghi:42:jkl:mno:pqr
- fe80::42:47:58:52
donc un ipv4 interne, un ipv6 externe sur le second next hop (comme tout les appareils qui passent par le routeur asus) et un ipv6 interne
j'ai donc pour l'ensemble de mes appareils réseau :
un ipv4 interne, et 2 ipv6 (externe et interne). dans les logs adguard, j'ai autant des requetés venant d'ipv4 que d'ipv6 en fe80::
Cela semble bien nan ?
0 -
-
@.Shad. merci pour ces précisions... je comprends un peu mieux la seconde étape pour faire fonctionner cela...
mais du coup en effet je vais donc rendre accessible de l'extérieur mon adguard. ce n'est pas le but.
Existe t'il un véritable interêt de faire faire de l'IPV6 sur l'équipement connecté à mon reseau local ?
Vu que soit je n'active que l'IPV4 et je peux avoir 100% des requetes qui passent par adguard home, soit j'active aussi l'IPV6 et la seule possibilité de maintenir un contrôle total sur les requêtes serait de passer par un prestataire exemple nextdns?
0 -
oui en effet avec ce script je crée une première régle macvlan dans container. mais le tuto que j'avais trouvé demandait également de créer une seconde règle directement dans container
le tuto que j'avais suivi : https://www.wundertech.net/how-to-install-adguard-home-on-a-synology-nas/comment-page-1/
CitationPar contre il faudra transmettre l'IPV6 de ton réseau à adguard et lui donner une IPV6 dans la tranche réservée. Moi, c'est pi-hole et je les transmets par le docker-compose.
c'est surement le but de cette seconde règle dans container mais je ne sais pas comment la remplir
0 -
donc pour moi :
Citationdocker network create -d macvlan \
--subnet=192.168.50.0/24 \
--ip-range=192.168.50.182/28 \ l'ipv4 que je souhaite attribuer à adguard
--gateway=192.168.50.1 \ #IPV4 Routeur Asus derriere freebox
--ipv6 \
--subnet=fe80::0/64 \
--ip-range=fe80::42:xxxx:xxxx:xxxx/124 \ # IPV6 pour adguard
--gateway=fe80::1234:abcd:ab12:c45e \ # IPV6 WAN IPv6 Gateway du routeur asus
-o parent=eth1 \
macvlan-networkmais question, pour ip-range en ipv6, comment je le choisis ?
également, je dois aprés créer une seconde règle dans reseau de container manager, pour ipv4 je sais déjà comment remplir pour que cela fonctionne mais pour ipv6 ?
0 -
-
Bonjour, je reviens pour une aide ( qui pourra surement servir aussi de tuto futur pour d'autres)
contexte
j'ai actuellement un abonnement freebox pop + un kit asus zenwifi xt8 (192.168.1.24) + nas 1522+ (192.168.50.180)
ma freebox pop est restée en mode routeur avec l'asus en DMZ qui gere lui mon reseau local IPV4. mon reseau local est donc en 192.168.50.x
Pour l'IPV6, Je peux éventuellement utiliser l'ipv6 de la freebox pop en activant le passthrough dans l'ASUS ou bien utiliser ce tuto pour que l'asus gere l'ipv6 en local et ponte sur l'ipv6 de la freebox ( https://utux.fr/index.php?article13/free-bridge-ipv6)
Objectif
Je souhaite mettre en place adguard home sur le nasinstallation IPV4 Only
J'ai premièrement testé un fonctionnement en ipv4 only (désactivation de l'ipv6 au niveau du routeur asus) et j'ai utilisé ce tuto :https://www.wundertech.net/how-to-install-adguard-home-on-a-synology-nas/comment-page-1/ ce qui m'a crée une ip locale 192.168.50.181 qui dirige vers le docker adguard qui n'attribue donc qu'une ipv4
la ligne de commande utilisée ssh était
docker network create -d macvlan --subnet=192.168.50.0/24 --gateway=192.168.50.1 --ip-range=192.168.50.181/32 -o parent=eth0 adguard-network
Puis dans reseau de container manager j'ajoute un reseau ag_bridge IPV4
ss reseau 192.168.51.0/24 plage d'ip 192.168.51.2/32 gateway 192.168.51.1
et enfin j'affecte bien ag_network et ag_bridge au container crée
J'ai ensuite indiqué l'IP locale virtuelle 192.168.50.181 comme serveur DNS dans le routeur asus.
tout fonctionne normalement.
Amélioration IPV6
Je souhaite donc ajouter la couche IPV6 car le reseau free est devenu natif IPV6 et l'IPV4 est désormais encapsulé dans de l'IPV6
mais là pour le moment je pèche. pour une installation avec l'asus en passthrough, j'ai donc (ip modifiés) :
sur la freebox, adresse lien local : fe80::1111:2222:fe69:0000 et délégation de préfix 2a01:123:456:36e0::/64
l'asus a comme ipv6 fe80::7e10:c9ff:feb1:1111
mais je n'arrive pas à faire fonctionner cette regle :
docker network create -d macvlan --subnet=192.168.50.0/24 --gateway=192.168.50.1 --ip-range=192.168.50.182/32 --ipv6 --subnet=???????????????? --gateway=??????????? -o parent=eth1 ad_network2
c'est volontairement sur eth_1 et sur 192.168.50.182 car j'ai déjà adguard qui tourne en only ipv4 sur eth_0 et 192.168.50.181
est ce possible d'avoir ce fonctionnement en passthrough, sinon je repasse en ipv6 géré par asus mais dans ce cas quelle régle appliquer également ?
merci
0 -
Bonjour, je viens de voir un souci, l'ensemble des users ont un accés libre à l'ensemble des dossiers homes et je ne comprends pas pourquoi, une piste ?
par exemple voila ce que vois un user dans son filestation(01.png ) et les parametres d'accés d'un dossier d'utilisateur dans le homes (02.png)merci d'avance
0 -
@.Shad. @PiwiLAbruti
Alors ce n'est pas le fait d'avoir un routeur asus connecté à la freebox, je viens de mettre un pc en filaire sur la freebox sans passer par le routeur asus, je test un upload vers le nas du site 2 qui est aussi en direct sur sa freebox, plafonne 10mo/s, speed test et autres sites d'upload, je peux faire du 40mo/s sans soucis.
vraiment que entre 2 sites freebox quel que soit le protocole de transfert utilisé cette limite de 10mo/s
je peux exclure les cables vu que je ne plafonne pas sur d'autres tests 😕dernier test :
pc portable en partage de co sur 5G de mon telephone (bouygues).... telechargement des 2 nas, 20mo/s (limite de la connexion 5G)
on en revient bien à un plafonnement 10mo/S QUE entre 2 nas sur reseau free .... mais pourquoi ?0 -
@.Shad.
je viens de faires des tests d'uploads dans l'autre sens du site 2 vers site 1, même constat, ca plafonne à 10Mo/S... j'ai également testé d'uploader un fichier d'un pc du site 1 vers nas site 2, toujours pareil ca plafonne à 10Mo/S....
Quand je veux uploader du pc vers un site d'upload lambda, je retrouve bien un débit bien supérieur
je n'ai donc une limitation que dans la communication entre mes 2 sites (nas ou pas nas)Du coup je me demande si la partie reseau du site 1 ne serait pas en cause
site 1 : routeur asus zenwifi branché sur la box en DMZ et il distribue à mon reseau interne. est il possible qu'il y ait des soucis d'IPV6 publique par rapport à ca et que si free communique en interne dans son reseau en ipv6, il bug et fasse une bascule ipv4 avec un freinage ? ou je ne sais quoi d'autre ?0 -
Bah router le port entrant vers le nas ?
( ex si le port hyper Backup est 5000) je route le port 5000 vers le nas dans mon routeurip publique : l’ip du routeur en ipv4
0 -
Via Ip publique ipv4 ( les 2 free en ip fullstack)
le fait de largement dépasser ces 10mo d’upload pour tout les autres usages exclus les capacités matérielles.
Les ipv6 sont activees sur la box et dans les nas aussi, les ports sont ouverts sur les 2 configs niveau routeur et pare feu syno
0 -
Bonjour, nouvelle petite question.
J'ai donc 2 nas sur des sites distants, les routages de ports sont ok ainsi que les pare feux (les règles de routage et de pare feu sont limitées à l'IP du site "source" par protection)abonnement freebox pop 5Gb en down et 700 en UP.
Les tests speedtest, etc... me donnent bien un super débit up ( 32Mo/S d'un pc en wifi )par contre, tous les transferts entre les NAS plafonnent à 10Mo/s (hyperbackup, rsync, copie via webdav...)
les sauvegardes vers C2 par contre montent également à 30 Mo/s
bridage de free ? comment améliorer l'up?
0 -
Bonjour’
je souhaitais utiliser snapshot réplication pour dupliquer 1 fois par semaine sur un serveur cible des dossiers (homes, photos, vidéos) de manière lisible sur le second serveur.
l’utilité était aussi de gagner du temps en copie car 95% des fichiers du serveur source sont aussi présents sur le serveur cible (et donc en première synchronisation aller vite et ne pas reprendre 15to de transfert )
en utilisant snapshot réplication’ ça me crée des dossiers homes-1, photos-1 et videos-1 et veut donc transférer 100% des fichiers
donc pas possible de faire une synchronisation de dossiers source vers cible comme je le souhaitais (homes vers homes, etc )
j‘étais pas intéressé par drive sync car je n’ai pas le coté versionning du snapshot
ps: j’ai également une sauvegarde hyperbackup sur un autre site pour les donnés essentielles
merci de vos conseils
0 -
J’ai également une sauvegarde hors site sur un second nas syno en hdd
Bon je vais tet partir sur un nas 100% ssd avec juste une partition de « production »
je me pose une autre question est ce que sur un raid shr syno écrit aléatoirement et de manière pas équitable sur les sdd afin de générer une usure décalée des ssd ?
0 -
Bonjour à tous,
petite question pratique
Est il possible sur un 5 baies d'installer 3 SSD et 2HDD
-faire un groupe de stockage avec les SSD (raid 0 ou SHR à voir)
-Un second groupe de stockage avec 2 HDD en raid 1)
-Utiliser le groupe SSD comme groupe /volume principale et le groupe HDD en groupe /volume de backup du groupe principale
Afin que le NAS soit silencieux en temps normale ( ne tourne que sur le groupe SSD), et chaque nuit / semaine reveiller les HDD qui seraient en veille (donc 0 décibels) pour récupérer une backup du groupe ssd principal ?
0 -
Bonjour,
Petite question, je dispose de 2 NAS dans 2 lieux séparés.
Je souhaiterai créer un dossier sur un premier NAS et le monté en accès distant permanent sur mon second NAS (donc qu'il apparaisse dans File station), le tout avec les sécurités suffisantes
Donc plusieurs questions :
- Quel protocole est le plus rapide ? je m'y perds entre le SFTP, SAMBA, WEBDAV
- pour la sécurité, je pense n'ouvrir l'accès au protocole distant retenu qu'à mon second NAS (via filtre IP dans le pare feu).... suffisant niveau sécurité (et cryptage) ou il serait plus utile de monter un tunnel vpn entre les 2 nas sur ce port... protocole .. un tuto est présent dans le forum ?
merci de votre aide :)
0 -
Je vais donc partir sur le chiffrement du transfert. pour économiser l'usure des disques et les risques d'attaques, le nas de sauvegarde est programmé pour se réveiller une nuit par semaine, recevoir la sauvegarde hyoerbackup puis se rendormir. (hors les cas ou je l'allume volontairement pour l"entretien" : MAJ, etc..)
ce qui risque donc de compliquer la fiabilité du tunnel vpn0 -
@oracle7 @Jeff777 hum je vais pas activer le HSTS car un peu relou si j'ai un souci avec mes certificats. Saut si le HSTS est vraiment important niveau sécurité.
Ensuite pour la sauvegarde hyper backup sur un second nas distant, l'option cryptage dans hyperbackup suffit ou vous me conseillez de mettre un tunnel vpn ? (sachant que je vais verrouiller le nas distant pour qu'il ne soit accessible que de mes IP domicile et bureau )
0 -
Alors petite mise à jour :
- j'avais en effet oublié d'ajouté un sous-domaine dans la demande de certificat let's encrypt, résolu et mon sous-domaine d'accés au dsm fonctionne.
- dans portail de connexion, j'ai indiqué le sous-domaine comme domaine personnalisé et c'est ok. J'avais peur que cela puisse impacter mailplus mais tout est bon de ce coté- J'ai installé web station et laissé tel quel, j'ai désormais une page site en contruction quand je tape juste maison.moi ou mon ip publique,
- dans le pare-feu, j'ai pu passer les ports imap et smtp avec la localisation france et je ne laisse plus que le port 25 en ouverture monde
- j'ai ajouté le script qui actualisé la liste d'IP bloquées de blocklist.de toutes les heures avec une expiration à 30 jour afin de ne pas avoir dans 1 an 200 000 ip en memoire
Alors que l'installation de mailplus serveur avait déclenché des tentatives de connexion toutes les heures sur postfix, je n'en ai plus une seule depuis vendredi soir.
ps : j'ai enlevé HSTS mais activé la redirection automatique de http en https dans portail de connexion, ce ne serait pas la même fonction en fait ?🤔
L'étape suivant va être la délocalisation de mon second nas de backup (hyperbackup du Nas principal) dans un autre logement. Par contre je vais donc devoir modifier sa config pour faire en sorte que le nas de backup ne s'ouvre que pour 2 ip : chez moi et au boulot. PAs d'utilité de me lancer dans un tunnel vpn donc ?
0 -
Question subsidiaire, pour le sous-domaine desktop.maison.moi que je souhaite faire pointer sur l'accés DSM, j'ai un message d'erreur :
Votre connexion n'est pas privée
Des individus malveillants tentent peut-être de subtiliser vos informations personnelles sur le site desktop.maison.moi (mots de passe, messages ou numéros de carte de crédit, par exemple). En savoir plus
NET::ERR_CERT_COMMON_NAME_INVALIDPour bénéficier du niveau de sécurité le plus élevé de Chrome, activez la protection renforcéeActualiserMasquer les paramètres avancésUn chiffrement est normalement utilisé sur le site desktop.maison.moi pour protéger vos informations. Lors de la dernière tentative de connexion de Chrome au site desktop.maison.moi, des identifiants inhabituels et incorrects ont été retournés. Il est possible qu'un individu malveillant tente de se faire passer pour desktop.maison.moi ou qu'un écran de connexion Wi-Fi ait interrompu la connexion. Vos informations restent sécurisées, car nous avons arrêté la connexion avant l'échange des données.
Le site desktop.maison.moi est actuellement inaccessible, car il utilise la technologie HSTS. Les erreurs réseau et les attaques sont généralement temporaires. Vous devriez donc pouvoir accéder à cette page plus tard.
0 -
il y a 32 minutes, Kramlech a dit :
Attention : masque ton adresse IP ....
Sauf les numéros de ports standards ( 25, 80 , ....) tout les noms de domaines, IP et ports sont fictifs 🙂
il y a 32 minutes, Kramlech a dit :Les URL avec adresse IP ne sont pas interceptées par le Reverse Proxy.
Ton adresse IP fera systématiquement pointer sur ta box, tu ne peux rien faire contre cela. Si les URLs que tu donnent te font arriver sur le DSM, c'est qu'au niveau de ta box tu as redirigé ces ports vers ton NAS, et que tu n'as pas activé Web Station. Dans ce cas, un mécanisme interne au DSM bascule automatiquement l'appel du port 80 vers le port 5000 et le 443 vers le 5001.
Pour éviter cela, tu doit activer Web Station. Dans ce cas les ports 80 et 443 seront bien pris en compte par Web Station et plus redirigés vers le DSM. Et si tu n'as pas de site web actif dans Web Station, un écran standard (site en construction ou équivalent) seront affichés.
Mais web station n'est pas pour l'hebergement de site web type joomla, wordpress, etc... ? Du coup si j'installe web station, https://maison.moi arrivera sur une page en construction, mais quid des sous domaines pour les accés aux applications :
photo.maison.moi , etc..
Et comment faire en sorte que desktop.maison.moi arrive sur l'accés DSM ?
0
[RESOLU] parametrages macvlan ipv6 pour adguard sur contain manager et freebox pop
dans Docker
Posté(e)
oui j'utilise les pare feu ipv4 et ipv6 au niveau du routeur + pare feu au niveau de syno.
J'ai pourtant un souci de sécurité en ce moment :
avec encore ce matin une attaque detectée par mon routeur ai protect WEB Remote Command Execution via Shell Script -1.a de
qui provient d'une ip encore identique 37.44.238.150 , quand je check ca me dit que l'ip est francaise est a comme host : nekololis.wtf .