PiwiLAbruti

Les paramètres que j'utilise sont propres à mes besoins et ne peuvent en aucun cas être généralisés. Quelle est ta question ?

As-tu recherché les réseaux Free Pro à autoriser dans le pare-feu du NAS ? Ce n'est pas un problème, ça demande juste un peu d'organisation.

Tu as utilisé quels réseaux pour Free Pro ?

Et pour le problème initial, tu ne dois plus avoir de tentatives d'intrusion.

Non, uniquement vers d'autres réseaux qui nécessiteraient d'être routés pour y accéder.

Supprime la passerelle de l'interface réseau du NAS, ça empêchera toute communication depuis ou vers l'extérieur.

Aucune idée, essaye de redémarrer le paquet Web Station. Sinon, ouvre un ticket auprès du support Synology.

Installe toutes les versions de PHP disponibles dans le Centre de paquets, il y en aura bien une qui fonctionnera.

Le DS214play, comme sa dénomination l'indique, est un modèle de 2014. Synology ne fournit plus de mises à jour d'évolution pour ce modèle : https://www.synology.com/fr-fr/support/download/DS214play?version=7.1#system https://www.synology.com/fr-fr/products/status?model=DS214play DSM 7.1 dispose toujours des mises à jour de sécurité, ce qui ne rend pas le DS214play obsolète. À moins qu'il y ait une fonctionnalité bloquante pour tes besoins, il n'est pas nécessaire de le changer.

Sur bgpview.io par exemple (il y en a certainement d'autres), il te suffit de rechercher l'adresse IPv4 et/ou IPv6 de ton appareil pour trouver les réseaux correspondants. Dans le cas de Free Mobile (grand public), j'ai pu identifier les réseaux suivants : 37.160/12 78.240/13 2a0d:e480::/29 ⚠️ Free Pro utilise très probablement d'autres réseaux parmi ceux listés sur cette page (il y a un deuxième onglet pour les préfixes IPv6) : https://bgpview.io/search/freepro ---- Au passage, pour les modérateurs et membres très actifs de ce forum, cette méthode fera parti du tutoriel avancé sur la sécurité. 😉

Donc tu pourrais restreindre l'accès externe à tes mails aux réseaux IP de ton opérateur mobile, c'est ce que je fais avec Free Mobile (deux réseaux IPv4 et un réseau IPv6, plus aucune tentative d'intrusion).

Est-ce l'accès aux ports 465, 587, et 995 sont restreints dans le pare-feu du NAS ? (ces ports ne sont utilisés que par les clients) Dans MailPlus Server, seuls les protocoles que j'utilise sont activés : 25, obligatoire pour communiquer avec les autres serveurs SMTP, 993 (IMAP) et 587 (SMTP) pour les clients mail. Tous les autres sont désactivés.

Oublie l'idée de bloquer des pays via le pare-feu, c'est inutile. Est-ce que les ports tcp/993 et/ou tcp/995 sont ouverts sans aucune restriction ? Car d'après les logs, les tentatives d'authentification se feraient sur ces ports. Poste une capture d'acran de MailPlus Server > Distribution.

Ce comportement est normal et assure que les sauvegardes sont cohérentes. J'utilise également Veeam pour sauvegarder un environnement de virtualisation. Mais Veeam sert aussi à copier la sauvegarde de niveau 1 vers d'autres destinations (Backup Copy). Ainsi la source n'est sollicitée qu'une seule fois, et les copies des sauvegarde (niveau 2+) ne sollicitent que la destination de sauvegarde de niveau 1.

Concernant la détection de mouvement, je conserve un enregistrement commençant 5 secondes avant le début et terminant 5 secondes après la fin de détection. DS cam reçoit une notification, et une succession de quelques images de l'événement prises à intervalle régulier est envoyée par mail. Attention à la configuration de la détection de mouvement, elle nécessite un réglage précis (zone, sensibilité, ...) pour ne pas recevoir de notifications intempestives.

Dans la même tâche de sauvegarde que les photos, il faut ajouter l'application Synology Photos qui contient notamment toutes les données de l'application.

J'utilise deux Annke C800 (équivalent Hikvision car firmware quasi-identique). Elles étaient déjà parfaitement supportées par Surveillance Station via ONVIF (à activer au préalable sur la caméra), depuis quelques mois elles sont officiellement supportées. J'en suis très content car elles n'ont jamais présenté le moindre bug ou redémarrage intempestif depuis que je les utilise, c'est-à-dire depuis mars 2021. Maintenant, ça dépend de l'utilisation qui en sera faite (enregistrement, détection de mouvement, identification, …).

Il ne me semble pas que SHR soit un frein à l'utilisation de VMM. Par contre, il faut que le volume soit au format btrfs.

Effectivement, Orange ne relaie plus les domaines autres que orange.fr ou wanadoo.fr : https://communaute.orange.fr/t5/mon-mail-Orange/Utilisation-SMTP-Orange-avec-une-adresse-non-Orange/m-p/3157003#M310570

Peut-être que le relai SMTP Orange n'autorise plus le port tcp/25 (non chiffré) au profit des ports tcp/587 (TLS) et/ou tcp/465 (SSL) ?

C'est donc complètement subjectif. De mon point de vue, les règles d'accès LAN (ou Bond) et VPN n'ont rien en commun car les effets de bord d'un VPN sont assez critiques. Il vaut donc mieux définir les règles directement sur les interfaces. Dans la section Toutes les interfaces, je n'ai que des règles de blocage spécifiques à certaines sources et aucune règle d'autorisation.

C'est dommage de ne pas vérifier le stockage de la partition système, ça pourrait rapidement résoudre le problème : https://www.nas-forum.com/forum/topic/77086-version-72-64570-disponible/#comment-1319490986 https://www.nas-forum.com/forum/topic/77086-version-72-64570-disponible/page/2/#comment-1319491043

Il y a la réponse dans les deux premières pages de ce sujet :

Ce sont 3 versions différentes car les NAS concernés fonctionnent sous DSM 6.2.4, 7.1.1, et 7.2.1.

Le NAS distant est celui qui réplique la zone principale distante (du NAS local) vers sa zone secondaire locale. Je réplique également des zones DNS entre 3 NAS avec des clés TSIG sans souci, je ne vois pas ce qui peut coincer dans ta configuration.