Brenac

@InfoYANN, merci, on va dire plutot 25,465 et 587 pour la reception je pense. 993 est un port IMAP oui @Mic13710 il le peux et c'est ce que fait @Fenrir (en ouvrant certaines appli a certains pays) mais du coup si tu as un mailserver sur ton nas il faut, si tu ne veux pas bloquer les mail entrants , mettre une regle ad hoc. Apres on peux toujours douter de l'exactitude de la geolocalisation (et je suis bien place pour le savoir) mais c'est deja mieux que rien. Moi je me suis fait une politique inverse . je part du principe que je j'autorise (presque) tout de partout, sauf de certains pays (une 40 aine, des paradis sur terre en general mais pas que) pour qui tout est bloque (et c'est en faisant cela et en testant depuis par exemple la russie (au hazard hein) je ne peux meme pas voir mon site web sur mon NAS). Donc maintenant dans les pays dits exclus (15 par regles) j'autorise quand meme 80,443,25,465.587. C'est une autre approche.

en faisant cette 4eme regle c'est ce que tu fait non ? tout est bloque mail, web etc.. tu rajoute au dessus de cette derniere ligne les exceptions non ? Aisni si tu as ton serveur MX il faut autoriser les ports smtp soit pour tous soit que pour certains pays, et si ce pays n'est pas liste: pas de reception d'email de la part de ce pays. Sauf erreur de ma part

question peut être idiote: en limitant dans le firewall par géolocalisation on s' interdit pas du coup de recevoir des email depuis les pays bloques (ou suivant son implémentation) QUE des pays listes ?

Je regarde pour utiliser le Link Integration pour du failover qui est quand même l'usage principal comme indique par @Fenrir. Sauf a ce que j'ai loupe je ne trouve pas réponse a mes interrogations suivantes. J'ai deux accès internet: 1 fibre et 1 adsl sur 2 ports ethernet de mon Ds1515+. (Bond Actif/veille) Je souhaite que si l'un tombe cela bascule sur le second et si le 1er redevient actif le traffic repasse sur le 1er (le 1er etant la fibre sa performance est largement supérieure) . Enfin une cle 4G secours si tout tombe. 1) au sein du bond les gateways doivent avoir le même adressage (ou pas (voir même il vaut mieux que cela soit différent) 2) Qui connais comment son gérés les priorités au sein du bond: Quels sont le critères de veille et de basculement. a la mise sou tension le choix du lien est eth 1 puis eth2 ou bien aléatoire ? 3) le retour sur le lien original est il possible sans avoir a rebooter le NAS. Si oui est ce décrit quelque part ? Meri pour votreavis/suggestion/aide.

Pour ma part j'utilise pureVPN (https://billing.purevpn.com/aff.php?aff=35823) qui a l’intérêt de proposer une IP fixe (mais pas en France ce qui ne pose pas de soucis, j'en ai une en UK et une en Allemagne), un nat. Ce qui n'est pas sur le site et que l'on découvre ensuite c'est: - dans un même compte si, comme moi, vous avez plusieurs login (et donc plusieurs VPN), le NAT est commun aux deux accès VPN. Comme le nombre de port customisable est limite a 15 libres +5 pre definis cela peut etre une contrainte. - l'option IP fixe ne supporte pas Open VPN, seulement pptp ou l2tp/ipsec - l'ipfixe est pour la première connexion , comme 5 sont autorisées les 4 autres ont des IP dynamique. - Ainsi pour être sur de tomber sur son IP fixe après une coupure de VPN il ne faut pas se relogger trop vite. Attente 10-30 secondes. - leur support est 24/24 est sommes toute assez efficace. - sur mon DS413j et DS1515+ tutti va bene et il y a un tuto specifique pour les NAS synology (https://support.purevpn.com/synology) voila !

je confirme apres quelques jours d'usage que cela fonctionne très bien, le seul moment ou cela ne fonctionne pas c'est lors d'un failover d'un lien a l'autre, soit entre ethernet (bond) soit entre ethernet et dongle 4G ou wifi par exemple.

je regarde le sujet et toute la documentation gandi fait reference a la v4 (et, sauf erreur de ma part c'est sur l interface v4 que l'api est activable). Depuis Avril ton script 'v5' fonctionne t il bien ? Merci !

@Fenrir Petite suggestion pour le tuto. Dans la partie protection, DoS, ne pas oublier de cocher toutes les interfaces une a une. En effet qui n'a pas débranché son câble ethernet puis remis au hasard sur un autre port, ou ajoute comme moi un dongle 4G en secours. Autant pour firewall on a par défaut toutes les interfaces, autant pour la protection c'est 1 a 1.

Autre point, le filtrage par géolocalisation. L'adresse IP fixe qui m'est assignée est par exemple indiquée comme géolocalise en Angleterre sur ipaddress.com (ce qui est mon contrat avec mon fournisseur de vpn), par contre localisée aux US pour pleins d'autres sites de 'geolocalisation'. Du coup peut t on se fier a ce référentiel ??? Dans le même registre je sais que RIPE ne met a jour la localisation des subnets au sein du RIR qu'a l'occasion d'un transfert. Ainsi un LIR qui a plusieurs entité en europe (ou des serveur sous traites) dispatch allègrement ses IP aux 4 coins de son implémentation européenne. ... Quel est le referentiel du syno du coup ?

@FenrirJe personnalise mon firewall depuis internet via un VPN (le NAS est le client), et bim voila ce qui arrive lorsque je souhaite sauver avec la regle 4, reject all, la derniere. J'arrive de l'exterieur depuis une IP de bouygues telecom donc mon filtrage sur les ports 5000 et 5001 limites a la france ne doit pas poser de soucis. A votre avis d'ou cela peut il provenir ?

merci. Je met en pause le point car il semble que l'on puisse éditer le script par defaut de relance d'un VPN qui par design est limite dans le nombre de fois. Je cite: 'it is possible to change the parameter of the reconnect time. The original design is the VPN will be reconnected 10 times every 30 seconds.(10 * 30 = 300sec = 5min) Run the vi command and change the parameter as below. 1. vi /usr/syno/etc.defaults/synovpnclient/scripts/ip-down 2. find the reconnect_times and change it to 9999 or larger.' Maintenant j'ai mis 500 fois a 30 secondes d' intervalle (donc pendant 4.16 heures. on verra bien 🙂

un grand merci @Einsteinium, j'avance (enfin je pense) avec l’éditeur texte (je ne maîtrise pas Vi) j'ai crée un fichier en .sh et mis celui ci dans /home/. Mais du coup quel chemin dois je mettre dans ma tache pour l'executer: volume1/home/monficher.sh ou bien juste /home/monfichier.js ? autre ? Merci pour ton aide. pptpVPNreconnect.sh

Bon alors je débute avec mon premier acces SSH (sisi) pour creer un script afin de résoudre ce point de relance du VPN (tuto ici: https://forum.synology.com/enu/viewtopic.php?t=100146) . j’accède bien au NAS, login avec un login et password administrateur, arrive a obtenir les éléments de pptpvpnclient.conf que je cherche. Par contre impossible de creer un script. la commande touch me répond permission denied. même apres un sudo -l (qui me repond que admin may run ...(all). Une idee pour regler cela ? merci d'avance

apres pour 50 dollars par ans tu peux avoir une IP fixe en utilisant un vpn (l2tp ou PPTP, pas open vpn) de chez purevpn et ses options fix IP et NAT. j'en ai deux et c'est tres bien. le vpn se reconnecte a chaque changement 'ip d'orange ou reboot de la box. https://billing.purevpn.com

avec un VPN de chez purevpn et son option IP fixe et NAT, j'ai un IP fixe quelque soit celle que Orange me prête. CQFD Certes mon VPN se déconnecte quand ma box change d'IP mais c'est quelques secondes, et le reconnections automatique se fait bien. Sauf dans certains cas de panne Orange par exemple, d'ou mon post. Qui peux m'aider a identifier les éléments d'un script relancer le vpn si il se met en echec (par ex apres 15minutes de wan down)

lol, oui je sais mais openvpn n'est pas dispo pour une IP fixe chez PureVPN, du coup je suis passe a L2TP/Ipsec mais ma question reste entière. Autant on trouve de la doc sur comment realiser un script de relance d'un client VPN openvpn, autant rien sur un PPTP ou un L2TP/Ipsec.

personne ?. Par ailleur on trouve pas mal d'articles sur la reconnection d'un OpenVPN (et script adhoc) mais rien sur un VPN utilisant PPTP. En plus dans tous les cas je suis limite technique ici 🙂 a vot' bon coeur !

Bonjour, Etant chez Orange, pour avoir une IP fixe j'ai un VPN crée et fonctionnel dans l' interface réseau de mon NAS. J'ai remarque que lorsque le lien internet est rompu pour plus de 10 minutes le VPN ne tente plus de se reconnecter, même si le lien internet revient. Il se met en erreur et basta. grrrr mes conf MX et autre ne sont bien sur plus fonctionnelles (du coup je met que maintenant un MX en 2eme priorité avec l'adresse fournis par le DDNS de la box, avant les autres MX de secours) Cela dit dans le planificateur de taches je ne trouve pas comment planifier, genre toutes les heures un lancement de cette connexion VPN. (juste pour m'assurer de ne pas retomber dans ce même cas) . Une idée comment faire cela ? Merci

merci, et donc la derniere etape, si je veux que mon serveur dns soit accessible pour tous c'est de faire un glue record avec mon nom de domaine et un autre jour si tout va bien et que je sent l'ame aventureuse de ne mettre que mon serveur DNS dans mon nom de domaine, est ce bien cela ?

bon ben je me suis debrouille 🙂

merci @fenrir pour ce tuto. j'ai pas tout pris en compte mais c'est bien de passer les themes /zone de paramétrage en revue et de se reposer les bonnes questions avec 'security' en tete. .

Merci, ca avance, le resultat zonemaster ci dessousest ok non ? Ces erreurs (non bloquantes) sont peut être corrigeables mais je ne sais pas comment. Une suggestion ?

oui c'est bizarre les autres entrees visible au lieu de acme etait spf et un truc de validation google, les acme n'etant visible et analysee par Ssl4free qu'apres que ces parasites aient disparu. strange

ce n'etait pas le cas avec Gandi bizarrement. Mon certificat SSL n'a ete delivre que quand mes autres entrees TXT de ma zone avait ete enlevees.

super, merci. Puis je suggérer dans le tuto d'une part de conseiller que les entree cname txt acme challenge soient les seules entrees TXT du DNS d'une part et que en effet le TTL a 1 est souvent impossible (gandi est a min 300 secondes) sinon nickel chrome