PiwiLAbruti

Maintenant que le master/slave est opérationnel, je vais rajouter dnsmasq entre mes serveurs DNS et ceux de FDN (filtrage DNS).

J'ai signalé ce désagrément à Synology en leur suggérant de ne conserver qu'un seul champ pour définir les DNS avec des adresses IP séparées par des virgule : DNS servers : [ 192.168.0.121, 192.168.0.122, 192.168.0.123, ... ] Du coup dans /etc/resolv.conf ça donnerait : nameserver 192.168.0.121 nameserver 192.168.0.122 nameserver 192.168.0.123 nameserver ... En fait, je pars du principe que je peux modifier mon plan d'adressage en ayant le minimum de modifications à faire sur les NAS. Dans cette logique, je préfère laisser le serveur DHCP servir les adresses des serveurs DNS. Bien sûr c'est parfaitement inadapté au monde professionnel (un sysadmin vous lapidera à coups de PSU avant de vous pendre avec du CAT6a SSTP Mono). Pour le reste, j'ai supprimé la règle de notification par IP et mis à jour les enregistrements NS, les notifications fonctionnent très bien. Sinon j'ai commencé à chercher des complications inutiles. Heureusement que la RFC 1912 est explicite sur les questions stupides que je me pose :

Quand je parle de DHCP, je parle de mes 2 NAS en tant que clients. Seule l'adresse du premier serveur DNS distribué par DHCP est conservée par DSM. La modification de /etc/resolve.conf n'est conservée après redémarrage (normal, le client DHCP du NAS fair son œuvre). Merci pour les précisions sur les notifications. Je n'ai pas configuré le serveur secondaire dans les NS, je teste ça demain ;-)

Tu as l'habitude d'aller directement sur un site torrent pour faire tes recherches. Malheureusement, les fichiers torrent distribués par Torrent9 ne sont pas reconnus par le navigateur (Safari sur iOS). Avec le module que tu as ajouté, tu peux faire ta recherche depuis DS get, ne va plus sur le site de Torrent9. Ca me semble clair pourtant ?

Les détails qui fâchent : DSM ne sait pas configurer plusieurs serveurs DNS via DHCP. On peut certes en saisir deux manuellement, mais je trouve ça regrettable pour ceux qui ont créé des réservations DHCP pour leurs NAS sur leur box/routeur et qui peuvent personnaliser les serveurs DNS distribués par le serveur DHCP. De ce fait, lorsque le DNS primaire tombe (arrêt du paquet DNS), le NAS l'hébergeant ne peut plus rien résoudre puisqu'il n'a pas de DNS secondaire. Les options présentes dans le paquet DNS Server ne permettent pas la notification des esclaves basée sur les enregistrements NS du nom de domaine (ou alors c'est implicite alors que ça devrait être une option). Seule la notification d'un hôte identifié par son adresse IP est disponible. En comblant manuellement ce détail non-négligeable (1.) en ajoutant manuellement le DNS secondaire dans /etc/resolv.conf, je me suis aperçu que le timeout est de 1 seconde (sans retry) avant d'envoyer la requête au DNS secondaire : 17:05:39.416408 IP primary.local.36530 > primary.local.53: UDP 17:05:40.417224 IP primary.local.39885 > secondary.local.53: UDP Je vais m'arrêter là pour les tests de la zone secondaire. De mon point de vue, il manque des détails qui font que ce n'est pas pleinement utilisable tel qu'actuellement proposé par Synology.

Ça n'a rien de sale, c'est d'ailleurs comme ça qu'il faut faire. La connexion est chiffrée avec le client, le requête locale sur le NAS n'a pas besoin d'être chiffrée.

Je n'en sais rien @firlin. En tout cas il n'y a pas de nouveau programme bêta concernant DSM pour le moment : http://download.synology.com/download/DSM/beta/

Et aussi la dernière puisque DSM tourne sous nginx. 3. Fixed a security vulnerability regarding Nginx (CVE-2017-7529).

Pas besoin d'aller sur le site de Torrent9, le module que tu as installé fait directement la recherche sur Torrent9 depuis DS get (Recherche BT).

Tout est expliqué dans l'aide : https://www.synology.com/fr-fr/knowledgebase/DSM/help/HyperBackup/data_backup_create

Tu y étais presque, c'est dans "Recherche BT".

Le RAID serait le moyen le plus sûr de quoi ? Le seul moyen qui évite la perte de données est la sauvegarde.

Qu'est-ce que tu ne comprends pas exactement ? Je t'ai donné un lien pour télécharger le fichier torrent9.dlm. Ce fichier doit être ajouté dans la liste de modules de recherche torrent dans les paramètres de Download Station, un peu de la même manière que tu as fait pour le fichier host.

J'ai écrit un module de recherche pour Torrent9 : Il te suffit de l'ajouter à la liste des modules de recherche torrent dans les paramètres de Download Station.

Bonjour et bienvenu ! Peu importe, tu dois avoir une sauvegarde des données importantes sur un support externe (disques dur USB, deuxième NAS, stockage en ligne, ...). Tu verras sur ce forum qu'on insiste lourdement sur le fait que le RAID n'est pas une sauvegarde, ce sont deux choses totalement différentes qui ne jouent pas du tout le même rôle. Je suppose que ton choix d'extension de garantie est en lien avec tes précédents déboires ? Si c'est le cas, je ne peux que te conseiller d'investir dans une solution de sauvegarde qui te convienne (l'extension de garantie devenant facultative voire inutile).

Je ne comprends pas ta démarche. Si le but est de pourrir l'utilisation d'une application, autant ne pas la rendre utilisable.

Quelles limites de vitesses veux-tu configurer ? Quelle est l'unité des limites de vitesse ? Si c'est en octets par seconde, il est normal que DSM corrige 1 en 0.

Oui, j'ai constaté cette latence. Ça voudrait dire qu'à chaque requête DNS il interroge sa liste de serveurs DNS dans l'ordre avec un timeout de 2x1 seconde par serveur ? Pour la partie esclave, après la création il faut désactiver/activer la zone pour qu'elle soit prise en compte. Synology a oublié de faire un reload après la création ou c'est normal ?

On va essayer d'affiner un peu : http://www.nas-forum.com/forum/topic/55206-tuto-dns-server/?page=6#comment-1319330239

Essaye en filaire plutôt qu'en Wi-Fi. Ce ne sera pas la première fois qu'on verra une box ne pas propager un broadcast du Wi-Fi vers le filaire.

Oui. Une fois connecté au VPN, il faut utiliser l'adresse VPN du NAS (probablement 10.8.0.0) et non son adresse IP publique.

J'attends d'avoir fait le tour des fonctions de sécurité, et je simulerais la perte du master (blocage au niveau du pare-feu ou arrêt du paquet DNS) pour voir comment les clients réagissent avec le DNS secondaire.

D'après ce qu'on voit sur tes captures, il y a 3 disques dans to NAS : Disque 1 : 1To, Disque 3 : 6To, Disque 4 : 200Go. Ton disque de 6To a bien été ajouté comme un volume simple. Maintenant, il te faut créer un dossier partagé sur ce volume (Volume 2). Au passage, où est le disque "Disque 2" ?

Pourquoi ne pas simplement utiliser ta C1 uniquement en Wi-Fi ?

J'ai fait un retour à Synology depuis la page d'aide afin qu'ils ajoutent une note sur la sécurité (déjà que l'utilisation du port tcp/80 pour gérer des certificats est fort discutable...). Pour en revenir au sujet (DNS Server) , j'ai configuré une zone slave (esclave) sur un deuxième NAS. C'est plutôt simple à mettre en place et ça fonctionne. Maintenant je vais m'atteler à la partie sécurité avec des clés TSIG.