PiwiLAbruti

Sans WireGuard (qui est une bonne solution), voici une méthodologie pour restreindre l'accès à un opérateur mobile (Bouygues Telecom dans l'exemple ci-dessous) : Relever les adresses IPv4 et IPv6 d'un appareil mobile (Wi-Fi désactivé) depuis une site comme https://ip.lafibre.info, Récupérer les réseaux correspondants depuis un annuaire BGP comme bgp.tools ou bgp.he.net (pour Bouygues Telecom : https://bgp.tools/as/5410#prefixes), Créer une règle d'autorisation dans le pare-feu du NAS pour chaque réseau identifié. Afin mieux identifier ces réseaux, on peut temporairement ouvrir les accès à la France entière et identifier les adresses IP mobiles dans les logs de connexion du NAS. Contrairement à IPv6, il y aura probablement plusieurs réseaux IPv4 à renseigner. On peut encore aller plus loin pour restreindre aux plages réellement utilisées, mais ça ferait plutôt l'objet d'un tutoriel.

Tu peux créer une règle dans le pare-feu par pays pour autoriser toutes les adresses IP Françaises. Les adresses IPv4 et IPv6 de ton mobile y sont incluses. Si tu veux restreindre à ton opérateur uniquement, il faut autoriser uniquement les réseaux IP de ce dernier. Quel est ton opérateur mobile ?

Je suppose que tu as compris que le préfixe IPv6 2a01:e0a:3:a350::/64 de ta Freebox n'est pas autorisé dans le pare-feu du NAS, ce qui explique le message d'avertissement de DSM. Comme tu n'accèdes pas au NAS avec une adresse IP autorisée dans les règles de pare-feu, tu n'auras plus d'accès au NAS si ces règles sont appliquées. Pour les connexions locales au NAS, je déconseille d'utiliser un domaine *.synology.me car tu rends l'accès local à ton NAS dépendant du service DDNS de Synology alors qu'il n'y aucune raison pour que cet accès soit dépendant d'internet. Utilise plutôt l'adresse IP locale du NAS (https://92.168.1.*:35001 en IPv4, ou https://[fe80::*]:35001 en IPv6) qui fonctionnera quelque soit l'état de la connexion internet. Si toutefois tu souhaites continuer d'utiliser le domaine *.synology.me, il faut alors autoriser le préfixe 2a01:e0a:3:a350::/64 dans les règles de pare-feu du NAS.

Merci de ne pas citer le message précédent à chaque fois. Est-ce que le préfixe 2a01:e0a:3:a350::/64 est autorisé dans le pare-feu du NAS ?

Quelle adresse IP de client est indiquée dans Moniteur de ressources > Connexions ?

Quelle adresse est utilisée dans la barre d'adresse du navigateur pour se connecter au NAS et en faire la configuration ?

Avant de changer de disque, il faut impérativement disposer d'une sauvegarde à jour des données importantes du NAS. En cas de problème majeur pendant la reconstruction (défaillance du disque de 1To restant), il sera toujours possible de restaurer les données. Le changement de disque à chaud est possible sur un DS220+. Je recommande cependant de procéder à la désactivation du premier disque avant son retrait du boitier. Une fois le premier disque de 2To inséré à la place du 1To, il faut attendre la réparation du groupe de stockage (opération longue) et ne procéder au changement du deuxième disque que lorsque le groupe de stockage est de nouveau signalé comme "Sain".

D'après certains forums, c'est possible. Quelqu'un a réussi à installer DSM 7 sur un Netgear ReadyNAS RN316 : https://xpenology.com/forum/topic/56934-converting-a-netgear-readynas-to-xpenology/#comment-440076

Je ne l'ai pas constaté, et ce n'est pas mentionné dans l'historique des incidents : https://www.synology.com/en-global/support/synology_service/incident_history

Il faut donc remplacer le disque 4 qui est à l'origine des lenteurs.

C'est le premier point à vérifier car le plus probable vu les symptômes décrits.

Les cas d'usage que j'ai cités sont des exemples qui nécessitent une segmentation, et en aucun cas l'utilisation que j'ai de NAS Synology en entreprise. Synology a tout de même la prétention de vendre du matériel professionnel mais reste complètement sourd aux lacunes de DSM que je leur ai pourtant signalées à maintes reprises. À partir de ce constat le "bashing" est plutôt facile. Le montage de plusieurs VLAN est tout de même possible sur un NAS Synology via des scripts, mais une solution native est vraiment nécessaire. Surtout que le pare-feu du NAS s'y adapterait automatiquement (règles par interface). Après une brève recherche, il s'avère que QNAP supporte jusqu'à 16 VLAN par interface : https://www.qnap.com/en/how-to/faq/article/how-to-set-vlan-id-in-nas-lan-adapter

Sauf que quand je parle de 2x10G, il s'agit d'un bond réparti sur deux switches stackés. C'est un montage très courant en entreprise pour assurer la continuité de service. Concernant la politique de sécurité, iSCSI se déploie sur un réseau isolé (sans passerelle donc), SMB pour du trafic LAN uniquement, Synology Drive accessible depuis Internet (et je vais omettre Hyper Backup). Dans ces conditions, un NAS Synology est complètement à la ramasse.

Pour accéder à un NAS Synology 2x10G via différents protocoles à sécuriser différemment (SMB, iSCSI, Hyper Backup, Synology Drive, …), tu procéderais comment ?

Les VLAN c'est tout de même plutôt réservé aux professionnels ou aux utilisateurs particuliers avertis. J'ai ouvert deux demandes d'améliorations à ce sujet par le passé, à quelques années d'intervalle. Synology n'a jamais rien fait. Si l'utilisation de plusieurs VLAN est vitale pour ton infrastructure, je pense qu'un NAS Synology n'est simplement pas envisageable et qu'il est préférable de voir ce que fait la concurrence.