Classement

@church Bonjour, A toutes fins utiles voici comment activer NextDNS dans le Navigateur Web FireFox (c'est extrait de l'article "https://support.mozilla.org/fr/kb/dns-via-https-firefox"). Activation et désactivation manuelles du DNS via HTTPS Vous pouvez activer et désactiver le DoH dans les paramètres de connexion de Firefox : Cliquez sur le bouton de menu et sélectionnez Options Dans le panneau Général, descendez jusqu’à la section Paramètres réseau et cliquez sur le bouton Paramètres Dans la boîte de dialogue qui s’ouvre, descendez jusqu’à Activer le DNS via HTTPS. Activer : cocher la case à côté d’Activer le DNS via HTTPS pour l’activer. Choisissez un fournisseur ou ajoutez un fournisseur personnalisé. Désactiver : décocher la case à côté d’Activer le DNS via HTTPS pour le désactiver. Cliquez sur OK pour enregistrer vos modifications et fermer la fenêtre. Changer de fournisseur Cliquez sur le bouton de menu et sélectionnez Options Rendez-vous à la rubrique Paramètres réseau et cliquez sur le bouton Paramètres… Au bas de la fenêtre qui s’ouvre, cliquez dans le menu déroulant Utiliser le fournisseur sous Activer le DNS via HTTPS pour choisir un fournisseur. Cliquez sur le bouton OK pour valider vos modifications et fermer la fenêtre. Exclure des domaines spécifiques Vous pouvez configurer des exceptions de façon à ce que Firefox utilise le résolveur de votre système d’exploitation plutôt que le DoH : Dans la barre d’adresse de Firefox, saisissez about:config, puis appuyez sur Entrée Une page d’avertissement peut apparaître. Cliquez sur Accepter le risque et poursuivre pour accéder à la page « about:config ». Recherchez network.trr.excluded-domaines Cliquez sur le bouton Modifier à côté de la préférence. Ajoutez des domaines à la liste en les séparant par des virgules et cochez la case pour enregistrer la modification. Note : ne supprimez aucun domaine de la liste. Au sujet des sous-domaines : Firefox vérifie tous les domaines répertoriés dans la préférence network.trr.excluded-domains et leurs sous-domaines. Par exemple, si vous saisissez example.com, Firefox va aussi exclure www.example.com. Cordialement oracle7😉

Bonsoir. Pour gérer les VLAN, oui il dispose du « 802.1Q VLAN »

@church En tout cas ce qui est séduisant avec cette solution NextDNS, c'est que l'on s’affranchit aisément d'une solution du type par exemple Pi-Hole ou autre sur un RPI ou en docker sur le NAS où, il faut bien le dire, pour laquelle il est nécessaire de mettre les mains dans le cambouis ce qui n'est pas la tasse de thé d'un grand nombre. ET surtout l'interface Web d'admin de NextDNS est on ne peut plus simple et facile à mettre en œuvre. Tout cela couplé avec l'application YogaDNS et la boucle est bouclée. Encore MERCI à toi de nous avoir fait découvrir cette solution NextDNS. Cordialement oracle7😉

@MilesTEG1 Bonjour, Ma configuration est très proche de la tienne. Je suis donc avec un RT2600ac en DMZ de la LiveBox4 comme décrit dans mon TUTO. Sauf erreur de ma part, cette configuration me parait répondre à tous tes besoins impératifs énoncés ci-avant. Tu n'auras a priori juste à reconfigurer sur le routeur la liste des réservations DHCP de tous tes clients. Pour le WiFI, c'est le jour et la nuit par rapport à la LiveBox4 (qui est déactivé). J'ai même exteriorisées les antennes du routeurs avec un pigtail et une antenne plus performante en gain (pour moins de 20€ sur aliexpress). Cela dit comme j'ai aussi pas mal de béton dans ma maison, j'ai ajouté un autre routeur Synology (un RT2200) en réseau Mesh pour prolonger la porté du Wifi. En plus il peut me servir de secours au RT2600ac pour le cas où. Pour le décodeur TV Orange comme je n'avais qu'une seule liaison filaire Ethernet depuis ma baie (dans le garage) vers le salon, j'ai donc, avec deux switchs administrables (Netgear GS108Ev3), mis en place une liaison VLAN voir ici le post avec les schémas à l'appui. Enfin, pas de problème de loopback avec la Livebox4 car j'ai implémenté DNS Serveur sur le RT pour ma zone locale. C'est nickel. Seul truc de différent par rapport à toi, je n'ai pas encore l'alarme mais cela ne va pas tarder ainsi que la domotique. Certes, on trouve et on te conseillera des routeurs double Wan moins chers, mais l'environnement SRM quasi identique à DSM est un plus formidable dans la gestion de tous les jours qui fait pencher la balance vers le RT2600. Par exemple, le routeur utilise aussi le même certificat LE juste exporté du NAS. Je ne regrette donc surtout pas mon investissement. Comme je sais que tu fais aussi du monitoring, saches que le RT est aussi "monitorable" même si on ne peut pas afficher autant de paramètres que pour le NAS. Ce sont en tous cas les mêmes MIBs et cela le fait. Donc à toi de voir ... Cordialement oracle7😉

Hello, Je n'ai pas tout compris (essentiellement parce que j'ai suivi de loin) vos derniers échanges, mais si vous avez une LiveBox4, méfiez vous de la dernière MAJ de firmware : Le loopback de la LB4 semble ne fonctionne plus depuis la MAJ 3.103.16 (post sur HFR) Infos sur les forums Orange aussi. Y a probablement aucun lien avec votre soucis, mais sait-on jamais 🙂

Bonjour, (à propos du script, pas de nginx) j'utilise ce script depuis déjà un bon moment (pour le docker PiHole). Il est lancé au démarrage du NAS, moyennant un timer du 60secondes (sleep 60) pour être sûr que les interfaces réseau sont montées au moment de l’exécution du script. Or j'ai eu depuis quelques jour des déboires avec justement la résolution DNS, jusqu'à m’apercevoir que ce réseau n'était plus opérationel (link down et route absente). Il a suffit de le remettre up et recréer la route pour que cela reparte. => je ne sais pas pourquoi il était passer down, mais cela est concomitant dans le temps avec un reboot du NAS. J'ai donc passé le timer à 90sec, et rajouter via grafana une surveillance de l'accessibilité du docker Pihole (sinon tout le monde bascule sur le DNS secondaire et on ne se rend pas compte du problème tout de suite). => je vérifie cela au prochain reboot. Bruno78

Hello ! Les logs peuvent être désactivés, s'ils sont activés, la localisation du stockage peut etre modifiée (RGPD, Big Brother, toussa) . Tout est effectivement une question de confiance. Le service est de plus en plus plébiscité par des utilisateurs soucieux des questions de sécurité et de confidentialité mais ne souhaitant pas envisager les solutions techniques plus lourdes évoquées plus haut. Si je me suis lancé dans l'usage du service et ai pris la peine de partager mon expérience c'est avant tout car je me suis renseigné avant de leur confier mon trafic Internet. Et pour ceux qui resteraient sceptiques, la fondation Mozilla a choisi NextDNS afin de les intégrer aux acteurs de confiance pour la gestion sécurisée des DNS...juste après Cloudflare. Firefox propose bien leur architecture pour la résolution DNS via DoH. On peut raisonnablement accorder un peu de crédit à cette solution, à mon avis... https://cutt.ly/ChPKVVB Envoyé de mon SM-T595 en utilisant Tapatalk

Je pense que tu n'as pas bien perçu le principe de fonctionnement DoH pour ecrire cela. Il s'agit bien de confier tes requetes à un serveur de confiance pour leur cryptage. NextDNS assurera ce service comme tant d'autres. L'autre intérêt majeur est egalement, comme je le soulignais, la remontée de stats/logs centralisée dans une interface claire et lisible. C'est une lacune qui a très souvent été pointée au niveau de SRM. Des infos sont disponibles mais disséminées partout dans des journaux, menus, paquets différents : c'est assez pénible et permet peu, au final, d'avoir cette vision d'ensemble qu'offre NextDNS. Enfin, quand on ajoute à cela les filtres antipub et antitracking déjà implémentés, facilement activables, performants et avec une bonne ergonomie, je ne pense pas que cette soultion soit à dénigrer. Alors c'est sûr que ca plaît moins à tous ceux qui hébergent tout cela en local, les fanas du tuto DNS, de PiHole, PfSense et consort...Sauf que dans la pratique cette interface permet bien d'assurer une bonne partie de ces services de manière simple et ergonomique, gratuitement. De mon côté, c'est bien ce que je recherchais pour mieux gérer mon reseau local, sans trop avoir à me prendre la tête... Bref, c'est partagé via ce topic : ceux qui auront eu un minimum d'ouverture d'esprit, un peu de temps et de curiosité seront allés jeter un coup d'oeil. [emoji6] Envoyé de mon SM-T595 en utilisant Tapatalk

@Anthotho Bonjour, Cà c'est normal car @IP du NAS est une @IP locale donc depuis l'extérieur elle n'est pas accessible. Bah Oui, réfléchi puisque tu dis que "Avec l'URL http://(nom de domaine.synology.me):5001 ça fonctionne.". Donc c'est bon. Donc si c'est clair pour la sécurisation du NAS, on peut passer à la seconde étape : Tu vas commencer par bien lire, et relire et enfin appliquer le "TUTO : Reverse Proxy" durant le quel (points 2 à 7 ci-après) : Comme tu as dans ta box redirigé le port 5000 vers l'@IP de ton NAS, tu vas rediriger les ports 80 (http) et 443(https) vers l'@IP de ton NAS. Tu vas ouvrir/autoriser les ports 80 et 443 dans le pare-feu du NAS. Tu vas configurer les applications internes du NAS que tu utiliseras selon tes besoins (Audio, Video, Fichiers, Surv, etc...) et mettre en place pour chacune les redirections HTTPS:443 de ces applications vers localhost:port_application. Le reverse proxy "écoute" en permanence le port 443 et il aiguille ensuite selon le domaine vers la bonne application en local. Dans DSM, tu vas créer un certificat SSL Let'sEncript pour ton DDNS (i.e. NomDeDomaine.synology.me) auquel tu donneras en "Autre nom de l'objet" la valeur : "*.NomDeDomaine.synology.me" (appelée aussi "wilcard" qui elle couvrira tous les domaines de niveau inférieur que tu utiliseras par la suite. Toutefois, à ce stade, je ne peux que t'inviter à lire le "TUTO : Pourquoi et comment utiliser un nom de domaine". Tu verras après cette lecture qu'il est judicieux de prendre ton propre nom de domaine (à peine 10€/an chez OVH par exemple) afin de te faciliter la vie car au final tu ne maitriseras jamais le domaine synology.me vu que tu n'en es pas le propriétaire. Donc à toi de voir ce qui est le mieux pour toi... Enfin, tu vas installer le package Synology WebStation et créer un fichier ".htaccess" afin de rediriger automatiquement toutes les requêtes HTTP vers HTTPS. Voilà le programme pour l'instant. La sécurisation des connexions extérieures vers le NAS viendra ensuite à l'aide d'un VPN mais on y est pas encore. Il n'y a rien de très compliqué en soit pour le reverse proxy. Cela demande simplement beaucoup de rigueur et d'attention pour ce faire. Arrêtes-toi et poses des questions si tu ne comprend pas un point mais n'avance surtout pas à l'aveugle ... Bon courage. Cordialement oracle7😉