Je tombe des nues ... Synology ne supporte pas les multiples VLANs. Et en 2026 pour un équipementier réseau c'est juste incompréhensible !

Les ports physiques 1 Gbps des NAS sont devenus trop lents pour bien des usages et pénalisent les accès réseau, d'autant que de plus en plus d'ordinateurs sont équipés désormais avec des ports ethernet 2,5 Gbps et des stockages NVME très rapides. Même mon dernier écran (Dell U4025QW) intègre un port ethernet 2,5 Gbps à l'arrière. Donc que ce soit sur le réseau d'un power user, ou en entreprise, les ports 1 Gbps des NAS sont devenus tout à fait insuffisants.

Même avec de l'agrégation de ports en LACP (802.3ad ou bonding), le débit par session ne dépasse pas le débit d'une interface physique (donc 1 Gbps) car c'est une limitation du protocole (pas de Synology).

La solution habituelle est d'upgrader vers une carte réseau de plus gros débit (10 Gbps) et d'utiliser des VLANs pour continuer à isoler les différents réseaux (zones de confiance) qui étaient précédemment isolés sur plusieurs interfaces physiques. Pour expliquer simplement les VLANs sont des réseaux isolés virtuellement grâce au protocole 802.1Q, qui peuvent alors emprunter une même interface physique sans perdre leur étanchéité.

J'ai acheté une carte 10 Gbps pour remplacer les 4 ports 1 Gbps trop lents de mon 1621+. Et c'est là que le drame arrive: Synology dit supporter le 802.1Q (vous verrez la case 802.1Q au niveau de votre interface physique) mais en réalité sous DSM un seul VLAN est configurable par interface physique. Donc il n'y a aucun intérêt réel à activer du 802.1Q sur Synology (le marquage des paquets pouvant dans ce cas se faire au niveau du switch). Je le redis: la valeur du 802.1Q est de transporter plusieurs VLANs (et pas 1 seul). Et Synology ne semble pas l'avoir compris.

J'ai échangé longuement avec le support Synology qui reconnait la situation, mais n'apporte pas de solution.

En faisant des recherches dans différents forums (dont anglophone) j'ai trouvé des demandes d'utilisateurs pour que Synology supporte le 802.1Q avec plusieurs VLAN qui remontent à 2012, soit plus de 10 ans ! Et Synology n'a toujours pas implémenté cette fonctionnalité pourtant basique en environnement réseau.

Certains utilisateurs ont pu bidouiller les fichiers de config directement (/etc/sysconfig/network-scripts/) pour arriver à configurer plus d'un VLAN, mais ensuite cela n'est pas correctement reconnu au niveau de l'interface graphique de management ni des packages, ce qui fait perdre tout intérêt. Sans compter le risque de perte de connectivité du NAS lors des mises à jour.

Alors que faire ? Dans mon cas probablement continuer la migration vers Unifi Ubiquiti. J'avais déjà été très déçu des fonctionnalités du RT6600AX que j'ai avantageusement remplacé par des bornes Unifi U7 pro (les possibilités de configuration sont juste incroyables par rapport au routeur Synology). Et mon éloignement de Synology va devoir se continuer dû au manque de fonctionnalités basiques réseau. C'est dommage, et je pense que Synology aurait besoin d'un bon électrochoc pour se reprendre en main car la concurrence se développe à une vitesse prodigieuse.

Les VLAN c'est tout de même plutôt réservé aux professionnels ou aux utilisateurs particuliers avertis.

J'ai ouvert deux demandes d'améliorations à ce sujet par le passé, à quelques années d'intervalle. Synology n'a jamais rien fait.

Si l'utilisation de plusieurs VLAN est vitale pour ton infrastructure, je pense qu'un NAS Synology n'est simplement pas envisageable et qu'il est préférable de voir ce que fait la concurrence.

Paradoxalement, le fait qu'une interface physique ne soit affectée qu'à un seul VLAN ne me choque pas du tout, pour des raisons évidentes de sécurité.

C'est le principe même des VLAN : tu branches ton périphérique réseau et il récupère une IP du serveur DHCP soit sur la plage du VLAN principal/par défaut, soit sur le segment de réseau que l'utilisateur aura configuré dans les paramètres réseau dudit périphériques ou sur le port du switch utilisé, par exemple.

Ton NAS est équipé de plusieurs interfaces qui peuvent bien chacune être affectée à un segment de ton réseau local. La limitation dont tu te plains, c'est toi qui l'introduit en ajoutant une interface réseau additionnelle, certes plus rapide, et en voulant qu'elle puisse être taggée sur tous les VLAN à la fois. Cela n'est pas prévu et pour avoir déjà configuré du Qnap et du Asustor, je ne crois pas l'avoir vu non plus (je veux bien que d'autres utilisateurs du forum me disent si je me trompe)

Si tu veux que ton NAS soit accessible depuis d'autres VLAN, c'est bien à toi de configurer le pare-feu en conséquence...Vouloir qu'un NAS soit d'emblée accessible depuis tous les VLAN qui seraient taggés sur le port du switch utilisé n'est pas un usage "normal" et/ou secure, selon moi...et va à l'encontre de la logique des VLAN.

Je segmente mon réseau et si des périphériques doivent être accessibles depuis d'autres VLAN et sur la même interface reseau, je crée des règles spécifiques pour cela.

Modifié il y a 22 heures22 h par church

Pour accéder à un NAS Synology 2x10G via différents protocoles à sécuriser différemment (SMB, iSCSI, Hyper Backup, Synology Drive, …), tu procéderais comment ?

Il y a 7 heures, PiwiLAbruti a dit :

Pour accéder à un NAS Synology 2x10G via différents protocoles à sécuriser différemment (SMB, iSCSI, Hyper Backup, Synology Drive, …), tu procéderais comment ?

Difficile de donner une réponse tranchée sans précisions sur la stratégie de sécurité et l'architecture réseau.

Mais comme dit plus haut, ça pourrait consister à affecter chaque interface à un VLAN et à autoriser l'accès à chaque interface en fonction des usages et des ports associés.

Par exemple un VLAN sur le port 1 "Stockage" dédié à la stratégie de stockage en réseau et tous les ports associés (445 et 139 pour SMB, 6690 pour Synology Drive, etc) et un autre sur le port 2 " App & Services" dédié aux app et services fournis par le NAS aux clients du réseau avec ouverture exclusive des ports de communication affectés à ces app et services.

Sauf que quand je parle de 2x10G, il s'agit d'un bond réparti sur deux switches stackés. C'est un montage très courant en entreprise pour assurer la continuité de service.

Concernant la politique de sécurité, iSCSI se déploie sur un réseau isolé (sans passerelle donc), SMB pour du trafic LAN uniquement, Synology Drive accessible depuis Internet (et je vais omettre Hyper Backup).

Dans ces conditions, un NAS Synology est complètement à la ramasse.

il y a 8 minutes, PiwiLAbruti a dit :

Sauf que quand je parle de 2x10G, il s'agit d'un bond réparti sur deux switches stackés. C'est un montage très courant en entreprise pour assurer la continuité de service.

C'est bien ce que je disais, sans précisions, je ne pouvais que te faire une réponse à l'aveugle. Mais merci pour les explications au simple profane que je suis sur les schémas d'archi réseau garantissant l'agrégation ou la redondance de lien en entreprise.😉

il y a 9 minutes, PiwiLAbruti a dit :

Dans ces conditions, un NAS Synology est complètement à la ramasse.

La question est donc de savoir pourquoi avoir investi dans un NAS Synology avec une architecture réseau d'entreprise pourtant déjà définie et compte tenu des limitations sur la gestion des VLAN, objet de ce fil de discussion ?🙂

2e point, si on pousse ton raisonnement sur la nécessité d'avoir de la redondance et continuité de service, on admettra que des entreprises auront rarement un seul NAS/serveur et auront plutot recours à l'utilisation de grappes de serveurs (clusters) affectés à des usages dédiés (stockage pur avec tolérance de panne, serveur d'applications, de virtualisation, etc) et donc avec une segmentation réseau adaptée.

Note 1 : on s'est déjà bien éloigné du cadre dans lequel l'auteur du fil exploite son NAS...

Note 2 : je réitère mon invitation à d'autres membres de nous indiquer si l'herbe est plus verte ailleurs sur la gestion des VLAN (chez Qnap, Asustor, par exemple) puisque le topic est tout de même un peu dans le Synology bashing, très à la mode depuis quelques mois (je ne m'exclus pas du lot).

Note 3 : il faut quand même se rappeler que l'on parle quand même de gammes de produits certes destinées à des utilisateurs avancés mais quand même prévues pour le "grand public".

Pour moi, en terme de solution à la problématique initiale, l'auteur du topic a déjà mis le doigt sur l'issue la plus évidente : les limitations rencontrées ne sont pas insurmontables et peuvent trouver des contournements avec un cœur de réseau plus avancé en terme de règles de routage et firewall

Unifi évoqué par @whacks fait ça très bien pour un environnement SoHo.