molinadiaz

@oracle7 J'ai l'impression de perdre mon temps 😢 Malgré ce qui semble être le bon paramétrage de ma zone inversée, je ne parviens pas à faire disparaître la Notice lors de mes tests sur zonemaster.net 😞 : Le serveur de noms ns1.domain.tld a une adresse IP (MON_IP_PUBLIQUE) qui ne correspond pas aux enregistrements "PTR" retournés (MON_IP_PUBLIQUE.MON_FAI.) pour celle-ci. On est bien sûr que ce que je veuille faire soit théoriquement possible sans faire intervenir mon FAI dans l'histoire ?

@oracle7 Mais donc c'est bien ce que je dis 😅 Si mon IP publique est, mettons : 12.345.6.789. La zone inversée doit être 6.345.12.in-addr.arpa. Non ? Merci par avance !

Bonsoir @oracle7 ! Je ne parviens pas à récupérer la réponse sur mon DNS secondaire. Mais j'ai un doute. Ne devrais-je pas plutôt avoir : c.bbb.aa.in-addr.arpa gg.fff.ee.in-addr.arpa ?? Merci pour ton aide 🙂

Merci, les gars 🙂 Alors, @oracle7, c'est exactement la configuration que j'utilise, à savoir : un serveur DNS primaire (DS918+) avec une IP publique aa.bbb.c.ddd un serveur DNS secondaire (DS720+) avec une IP publique ee.fff.gg.hh Les 2 NAS sont donc à des positions géographiques différentes. Ce que j'ai fait, d'après le tuto de @Fenrir, c'est que j'ai créé 3 zones master dans DNS Server (avec Vue "WAN" adéquate) sur le DNS primaire DS918+ dont 2 zones inversées : ddd.c.bbb.aa.in-addr.arpa hh.gg.fff.ee.in-addr.arpa De l'autre côté, sur le DNS secondaire DS720+, j'ai créé mes 3 zones slave dont 2 inversées. Ensuite, je teste le bousin sur zonemaster.net. Et je pensais que les zones inversées paramétrées allaient faire en sorte que les Notices suivantes n'apparaissent PAS : Le serveur de noms ns1.domain.tld a une adresse IP (aa.bbb.c.ddd) qui ne correspond pas aux enregistrements "PTR" retournés (host-aa-bbb-c-ddd.monPremierFAI.) pour celle-ci. Le serveur de noms ns2.domain.tld a une adresse IP (ee.fff.gg.hh) qui ne correspond pas aux enregistrements "PTR" retournés (host-ee-fff-gg-hh.monAutreFAI2.) pour celle-ci.

Dans ce cas, si pas de reverse DNS possible via le FAI, ça peut réellement être bloquant ? Définir mes SPF / DKIM / DMARC peut-il suffir à m'éviter tout blocage de mails sortant ?

@.Shad. @alan.dub J'utilise zonemaster.net pour vérifier mes DNS. Créer une zone inversée depuis DNS Server ne suffit pas ? Je ne dois quand même pas prendre contact avec mon FAI pour qu'ils réalisent une manipulation de leur côté, tout de même ?

Bonjour, J'ai suivi le tutoriel de @Fenrir pour être mon propre SOA et NS. J'aimerais configurer mon propre serveur mail hébergé sur mes NAS. Le problème est qu'apparemment je dois modifier le record DNS PTR de mon adresse IP vers mon nom de domaine pour fiabiliser mon serveur de messagerie en l'authentifiant. Seulement, ce PTR record est géré par mon FAI. Comment puis-je faire pour modifier ce record PTR vers mon domaine ? J'utilise le paquet officiel Synology "DNS Server". Merci pour votre aide ! @Fenrir ? @.Shad. ? Cordialement,

Oui, ils sont à des positions géographiques éloignées et je compte héberger ma propre zone DNS publique avec le second NAS en esclave, absolument. AdGuard Home tournant sur chacun des NAS pour que, lorsque connecté à un Wi-Fi local => blocage pub. Donc, on est bon, non ? @.Shad.

??? Ce n'est pas ce que je comptais faire et ce n'est de toute façon pas possible. Ce que j'envisage (images à l'appui), c'est de paramétrer depuis le menu Network > Internet de mon routeur les adresses IP de mes propres DNS (une fois qu'ils seront opérationnels). Donc les adresses IP publiques de mes serveurs NAS (DS918+ primaire, DS720+ secondaire). Comme suit : Ensuite, dans le menu Network > DHCP Server, y encoder l'adresse IP privée de mon AdGuard Home. C'est d'ailleurs déjà le cas 😉 Voilà quels étaient mes plans. C'est bon, non ? Ou alors j'ai vraiment rien compris mais moi je pense que c'est okay, là 😅 @.Shad.

@.Shad. Admettons que les deux NAS soient HS en même temps (peu probable mais bon, c'est pour l'exemple), le routeur va-t-il automatiquement s'attribuer les DNS du FAI par défaut ou bien ma résolution DNS sera juste dead et impossibilité de naviguer sur le Web ? Je ne sais pas dans quelle mesure ça dépend de la marque et du modèle de routeur ou si tout les routeurs ont ce comportement inscrit en dur ..

@.Shad. Disons que j'ai envie d'aller au bout des choses. Quitte à me passer des DNS de mon FAI, autant ne pas déléguer à un autre DNS même si "plus libre et moins soumis à la censure". C'est surtout l'idée d'une indépendance totale qui me plaît. Mon routeur actuel me permet de paramétrer les interactions entre le routeur et le WAN d'un côté, et les interactions entre le routeur et le LAN d'un autre côté. Je ne sais pas si tous les routeurs proposent ça mais dans mon cas, je me dis que c'est tout bénef. Si je comprends bien, je pourrais alors définir : les IP publiques des DNS à l'aide de 2 serveurs NAS (DNS Server) pour la communication routeur<-->WAN (et donc ciao FAI !) l'IP privée de AdGuard Home pour la communication routeur<-->LAN (pour bloquer les pubs et quelques services sur tout mon réseau domestique) Est-ce que ce schéma te semble correct ? Ma compréhension du bordel est déterminante puisque c'est ce qui va déterminer si je vais investir dans un second serveur NAS (j'avais pensé à un DS720+ un peu overkill pour de la résolution DNS mais je rentabiliserais de toute façon avec de la sauvegarde avec Hyper Backup/Vault, du Plex, du Docker, du Download Station, etc.). Merci 😉

Merci pour ta réponse @.Shad. 🙂 Juste pour être certain de comprendre les fondamentaux : DSN Server et Adguard Home sont-ils des équivalents ? Je sais que AdGuard Home est un résolveur DNS. Mais je voudrais me passer des serveurs DNS de mon FAI pour ne me fier (pour l'exercice !) qu'à mon propre serveur DNS pour la navigation Internet ! AdGuard Home permet-il cette prouesse ? Et DNS Server ? Ai-je besoin d'un seul ? Des deux ? D'autre chose ? Merci ! EDIT : j'ai découvert ce fantastique tutoriel Je ne pense pas que mon bureau d'enregistrement puisse faire office de DNS secondaire. Je vais les contacter pour leur poser la question (toujours pour l'exercice). À terme, je placerai un autre NAS avec son paquet DNS Server derrière une autre IP publique. Et avec tout ça, je devrais pouvoir me passer des DNS de mon FAI, n'est-ce pas ? 🙂

Bonjour, Je suis sous DS918+ avec DSM 7.0. Mais je venais de DSM 6.2 avant la migration. Cela a peut-être son importance, donc je le note 😉 Bref, je tente d'installer DNS Server depuis le Centre de paquets. Première fois qu'un paquet refuse de démarrer, ça ne m'était jamais arrivé. Que faire ? Loul. Merci pour votre aide ! EDIT : Le paquet DNS Server démarre .. lorsque Docker est stoppé. Je constate que le redémarrage du conteneur (Docker) AdGuard Home pose ensuite problème. DNS Server ne peut pas cohabiter ?

@.Shad. Ce serait super gentil de ta part, oui ! Je suis vraiment curieux ! Hâte d'avoir un retour. À tester, idéalement, avec une vDSM en 6.2 et une autre directement en 7.0, voir s'il y a une différence ^^ Sinon, j'ai même remarqué que Docker n'apparaissait pas dans la liste des applications depuis Panneau de configuration > Privilèges d'application. Normal, ça aussi ?

Attends ! Le groupe "docker" avait été créé sur ton Synology, dans les Utilisateurs locaux aux côtés des groupes administrators, users, http et video, et ce à l'installation de Docker depuis le Centre de paquets ? Tu l'as pas créé manuellement ? o_O !

Ah ? Alors y'a quelque chose que j'ai pas suivi car quand j'avais ls -lart /var/run/docker, j'étais en root:root ! Mais Docker avait été installé depuis DSM 6.2 à l'époque .. peut-être ça ? EDIT : D'ailleurs, je pense même pas que j'avais de groupe "docker" sur mon système. C'est possible ça ? Moi, ce que j'ai fait, c'est que j'ai créé un usergroup "docker" aux côtés de : administrators, http, users et video

@MilesTEG1 @.Shad. Si vous avez 5 minutes : https://www.grottedubarbu.fr/docker-touche-pas-groupe/ Ça nous explique pourquoi c'est risky d'avoir un /var/run/docker.sock en root:root 😉 N'hésitez pas à revenir laisser votre avis car j'estime, après lecture, que c'est justement risqué d'avoir un socket en root:root plutôt qu'en root:docker ! Je reste à votre écoute, d'avance merci ! Après y'aura toujours le flag --privileged qui posera question mais bon .. Disons que je vois pas trop l'intérêt, alors, de créer un user propriétaire par dossier à l'intérieur de /volume1/docker si, dans la finalité, tout sera exécuté par root ! À quoi bon s'emmerder à créer des utilisateurs ? Toute la réflexion démarre de là, non ?

@MilesTEG1 @.Shad. Ce que j'ai fait, c'est que j'ai créé autant de users qu'il existe de dossiers (et donc de conteneurs) dans mon /volume1/docker. Ainsi : Le user "adguardhome" (du usergroup "docker") est le propriétaire du dossier /volume1/docker/adguardhome, de ses sous-dossiers et de ses fichiers ; Le user "portainer" (du usergroup "docker") est le propriétaire du dossier /volume1/docker/portainer, de ses sous-dossiers et de ses fichiers ; Le user "vaultwarden" (du usergroup "docker") est le propriétaire du dossier /volume1/docker/vaultwarden, de ses sous-dossiers et de ses fichiers ; Le user "watchtower" (du usergroup "docker") est le propriétaire du dossier /volume1/docker/watchtower, de ses sous-dossiers et de ses fichiers À cela, j'ai chown root:docker /var/run/docker.sock pour permette à tous les users que j'ai cité ci-dessus d'accéder au socket sans passer par le compte root. Tiré par les cheveux ? Et idéalement, j'aimerais ensuite que : le user "adguardhome" (au lieu de root) soit celui qui exécute le conteneur "adguardhome" ; le user "portainer" (au lieu de root) soit celui qui exécute le conteneur "portainer" ; et ainsi de suite .. Possible ? Ou je rêve en couleur ? Merci pour votre aide 🙂

@MilesTEG1 Non mais, en vrai, c'est toi qui a raison. On est jamais trop prudent. Et j'avais mal compris ta phrase aussi concernant la diffusion sur internet. Bref, j'ai édité mon post mentionnant le PUID ^^ C'est un bon réflex. Je le fais pour les paquets DSM. J'ai pas songé à le faire pour les containeurs Docker. Ma foi, je vais le faire aussi 😉 EDIT : je dois avoir un soucis de compréhension avec le PUID/PGID contenu dans le docker-compose.yml. À titre d'exemple, j'ai créé un user "vaultwarden" faisant partie du groupe "docker" depuis DSM. J'ai récupéré le PUID/PGID du user et du groupe, et je l'ai inséré dans le docker-compose.yml. En quoi cela isole-t-il mon conteneur du point de vue de la sécurité ? J'y vois pas clair. En d'autres termes, en admettant un nouveau user "vaultwarden" (PUID 200) du groupe "docker" (PGID 200) créés sur le Syno, dois-je chown -R vaultwarden:docker /volume1/docker/vaultwarden ? Aussi, j'ai beau avoir spécifié le PUID/PGID du user "vaultwarden" et du groupe "docker"' dans le docker-compose.yml, comment puis-je m'assurer que ce soit bien cet utilisateur qui ait exécuté le conteneur ? @.Shad. @MilesTEG1

@MilesTEG1 T'inquiète, j'ai recréé le conteneur avec ton docker-compose.yml, plus propre 😉 Mais du coup, je comprends pas. Avoir un PUID à 1000, ça signifie que seul le user de PUID 1000 peut interagir avec Portainer, non ? Parce qu'il n'y a pas de user à PUID 1000 sur Synology 😮 Je profite de mon post pour revenir à Watchtower. D'après https://www.nas-forum.com/forum/topic/63740-tuto-mise-à-jour-automatique-des-images-et-conteneurs-docker/, j'ai mis les variables d'environnement suivantes dans /volume1/docker/watchtower/watchtower.env : - WATCHTOWER_NOTIFICATION_EMAIL_FROM=XXX - WATCHTOWER_NOTIFICATION_EMAIL_TO=XXX - WATCHTOWER_NOTIFICATION_EMAIL_SERVER=XXX - WATCHTOWER_NOTIFICATION_EMAIL_SERVER_USER=XXX - WATCHTOWER_NOTIFICATION_EMAIL_SERVER_PASSWORD=XXX - WATCHTOWER_NOTIFICATION_EMAIL_SERVER_PORT=XXX Sauf qu'avec ce docker-compose.yml (et le fichier .env bien présent dans le dossier) : version: "2.1" services: watchtower: container_name: watchtower image: containrrr/watchtower:amd64-latest network_mode: bridge restart: unless-stopped environment: - PUID=1000 - PGID=100 - TZ=Europe/Brussels - WATCHTOWER_SCHEDULE= 0 0 8 * * * - WATCHTOWER_LABEL_ENABLE=true - WATCHTOWER_CLEANUP=true - WATCHTOWER_REMOVE_VOLUMES=true - WATCHTOWER_NOTIFICATIONS=email - WATCHTOWER_NOTIFICATIONS_LEVEL=debug - WATCHTOWER_NOTIFICATION_EMAIL_DELAY=2 env_file: - /volume1/docker/watchtower/watchtower.env labels: - "com.centurylinklabs.watchtower.enable=true" volumes: - /var/run/docker.sock:/var/run/docker.sock J'ai ceci lorsque je veux mettre à jour la stack : EDIT : trouvé ! https://docs.docker.com/compose/environment-variables/#:~:text=env file is placed at,is executed ( %2B1.28 ).

@MilesTEG1 J'avais simplement suivi ce tuto https://www.forum-nas.fr/threads/tuto-installer-portainer-en-docker-sur-un-nas-synology.14030/, je pensais que le port 8000 était absolument nécessaire mais pas vraiment (du moins, pas dans mon cas de figure https://www.reddit.com/r/docker/comments/lbjuyn/port_8000_in_a_dockerstackyml/). Merci de l'avoir souligné ! C'est étonnant, dans ton .yml tu as ta variable d'environnement PUID à 1000. J'avais cru comprendre que le premier utilisateur créé sur un Synology démarrait au PUID 1026. D'ailleurs, j'ai vérifié sur mon système et ça se confirme. Comment t'as fait pour sortir un PUID à 1000 ?

@MilesTEG1 Actuellement, j'ai /volume1/docker/portainer que j'ai renommé en /volume1/docker/portainer.old. J'ai donc pu me créer un nouveau /volume1/docker/portainer/data et y placer le contenu de /volume1/docker/portainer.old. Mon docker-compose.yml est le suivant : version: '3.8' services: portainer: container_name: portainer image: portainer/portainer-ce:latest restart: unless-stopped command: -H unix:///var/run/docker.sock ports: - 9000:9000 volumes: - /var/run/docker.sock:/var/run/docker.sock:ro - /volume1/docker/portainer/data:/data labels: - com.centurylinklabs.watchtower.enable=true En SSH, j'ai balancé ceci : sudo docker run -d -p 8000:8000 -p 9000:9000 --label="com.centurylinklabs.watchtower.enable=true" --restart=unless-stopped --name="portainer" -v /var/run/docker.sock:/var/run/docker.sock -v /volume1/docker/portainer/data:/data portainer/portainer-ce Je peux rejoindre la WebUI via le port 9000 et m'y connecter. Parfait !.. mais je voudrais que Portainer lui-même soit une Stack de façon à pouvoir update le docker-compose.yml à la volée pour avoir un contrôle total plutôt que de passer par le "container" du menu de gauche qui consiste à paramétrer le conteneur avec les inputs texte de l'application. C'est possible de faire ça ? Je ne sais pas si je me fais comprendre LOUL. Merci 😉

@MilesTEG1 C'est, par intuition, exactement ce que je viens de faire durant les minutes qui se sont écoulées entre mon post et le tien ^^ Résultat des courses : j'ai maintenant mon Vaultwarden (je fais très bien la différence, t'inquiète, j'ai simplement mentionné "Bitwarden" par abus de langage), mon ADG et mon Watchtower qui sont en "stack" avec le label "watchtower". Ce simple label va suffire à mettre à jour automatiquement tous mes containeurs ? Donc à les supprimer puis les recréer dans mon dos sans que je ne me préoccupe plus de quoi que ce soit ? Valable pour Watchtower lui-même ? Est-il possible de watchtowerisé également le Portainer ? Encore merci pour tout !

@MilesTEG1 Alors .. Mon ADG actuel est sous /volume1/docker/adguard. Il contient un dossier "data" et un dossier "config". Par sécurité, je me suis dit que j'allais créer un nouveau conteneur avec docker-compose : /volume1/docker/adguardhome. J'ai suivi ce lien pour aller retrouver un docker-compose.yml par défaut pour AdGuard Home : https://domopi.eu/abandon-de-pi-hole-au-profit-dadguard-home/ Avec ceci dans mon fichier docker-compose.yml : volumes: - /volume1/docker/adguardhome/data:/opt/adguardhome/work/data - /volume1/docker/adguardhome/conf:/opt/adguardhome/conf .. je me suis dit que je récupérerais le contenu de /volume1/docker/adguard/data et /volume1/docker/adguard/config respectivement dans /volume1/docker/adguardhome/data et /volume1/docker/adguardhome/config Pourquoi n'est-ce pas le cas ? Je préférais créer nouveau conteneur AdGuard Home avec le contenu de l'ancien histoire de pas prendre le risque d'écraser quoi que ce soit. Après, pour un ADG, ça n'aurait pas vraiment été problématique de tout perdre. Mais pour Vaultwarden (tu as ta réponse ^^), là ce serait carnage ! Tu sais m'aider ? Merci 🙂

@MilesTEG1 Possibilité de recréer mes conteneurs depuis l'interface de Portainer pour y ajouter le label ? Car là, je galère un peu. J'ai 2 conteneurs créés au préalable avec Docker DSM : AdGuard et Bitwarden. Donc je n'ai pas les fichiers docker-compose.yml correspondant. Comment recréer les conteneurs facilement avec l'ajout du label "watchtower" ?