PiwiLAbruti

Non, IPv6 et bridge sont deux choses distinctes. Quel souci ? On peut très bien activer IPv6 est n'utiliser que IPv4 sur les MX (ce que je fais).

Peux-tu tester la résolution DNS vers des serveurs DNS tiers ? > nslookup google.fr 94.140.14.14 Quel résultat donne une résolution DNS exécutée depuis le NAS ? (SSH + nslookup)

Ça dépend des options IPv6 du switch, mais la plupart construisent leur adresse IPv6 en EUI-64. Pour que les équipements soient joignables en IPv6 depuis internet, il faut aussi que le pare-feu IPv6 de la Freebox soit désactivé. Et c'est surtout là le drame, Freebox OS (toutes box Free confondues donc) ne propose pas d'options de filtrage IPv6 pour ne rendre accessible en IPv6 que certains équipements.

Je ne sais pas comment se comporte l'adressage des équipements réseau lors de la bascule de la fibre à la 4G chez Free. Elle est plus simple à identifier car l'adresse IPv6 contient l'adresse MAC qui contient elle-même le nom du constructeur (00:11:32:: = Synology) suivi l'identifiant unique de l'appareil (::xx:xx:xx). Une fois le constructeur identifié, il est possible de lancer des attaques sur les vulnérabilités publiées par le constructeur lui-même (Synology dans le cas présent) : https://www.synology.com/en-us/security/advisory Ensuite il y a pléthore de sites qui donnent plus de détails pour choisir le type de vulnérabilité qu'on souhaite exploiter : https://www.cvedetails.com/vendor/11138/Synology.html D'où la nécessité de maintenir son NAS à jour et d'appliquer le tutoriel sur la sécurité si on veut qu'il survive sur internet.

Mais pas que. La construction UEI-64 peut se faire avec n'importe quel préfixe n'ayant aucune spécificité au-delà du /64, et est propre à la configuration de l'appareil par le constructeur (certains l'utiliseront, d'autres non). Cependant, c'est fortement déconseillé sur les préfixes publiques GUA (2000::/3) car ça permet d'identifier de manière unique une machine sur internet (ce qui n'est pas possible en IPv4). Et sans surprise, Synology adresse nos NAS de cette manière… 🤦‍♂️

Ce n'est que l'une des différentes méthodes d'assignation de la partie hôte d'une adresse IPv6 (EUI-64). Cette partie hôte peut également être assignée par un serveur DHCPv6, ou générée aléatoirement par le client lui-même. Regarde sur tes différents équipements, certains ont même plusieurs adresses IPv6 assignées sous un même préfixe selon la façon dont sera utilisée l'adresse.

Donc la destination locale pour HA est l'adresse IP privée de la VM suivi du port HA ? (format 192.168.x.y:zzzz)

@Hesediel : Au lieu de masquer l'adresse IP/nom local de la VM HA, tu aurais mieux fait de masquer les domaines *.domain.tld de la colonne Source. Ceci dit, ça m'a permis de constater que ton reverse proxy fonctionne maintenant avec HA. Donc le problème est résolu. @Audio : On est d'accord que le routeur ne redirige le port tcp/443 que vers le NAS n°1 ?

Pourquoi ?

Quel est l'état du pare-feu IPv6 de la Freebox ?

D'après le log de FileZilla (où ton adresse IP apparaît en clair), la connexion de donnée sur le port tcp/55700 (216*256+148) n'a pas pu être établie même si ce port appartient bien à la plage ouverte (55536 à 55899). Est-ce que la connexion FTP s'établit bien en local ? (sans passer par la box donc)

Synology répond toujours, même si le produit n'est plus suivi. Je les embête encore avec des reliques de 2009 et 2012 😅 On ne voit pas le message de Suggestion en entier sur la capture d'écran.

On s'en fout que ça me convienne, l'important est que ça résolve le problème de @Eric Cattelin.

Si ce n'est déjà fait, j'aurais tendance à suivre les recommandations indiquées dans le message d'erreur.

Est-ce que le nom utilisé en externe (imap.domain.tld) se résout uniquement en IPv4 ? Est-ce que le port tcp/993 est accessible de l'extérieur en IPv6 ?

Dans le pare-feu du NAS, quelles sont les sources externes autorisées à accéder au port tcp/993 ?

À un moment on est en 2025 @CMDC, il faudrait arrêter de conseiller aux novices de désactiver IPv6. Les réseaux des FAI sont IPv6 natif et IPv4 y est encapsulé (legacy). Donc si on souhaite avoir un réseau qui fonctionne de manière optimale, il faut utiliser au maximum IPv6. Certes, c'est loin d'être parfait car des fonctionnalités parfois vitales pour autohéberger certains services (comme un serveur mail) ne sont pas toutes disponibles, comme la délégation de préfixes et de zones DNS inverses, le support de NPTv6 (ou NAT66) pour la translation de préfixes locaux, et j'en passe… Mais si tout le monde s'amuse à désactiver IPv6, ça ne fera que repousser l'échéance de l'ajout de ces fonctionnalités manquantes. Ça fera bientôt 12 ans (depuis juillet 2013) que la délégation des zones DNS IPv6 inverses est demandée chez Free. Si vous voulez vraiment disposer d'un reverse IPv6, faites-le savoir sur ce ticket : https://dev.freebox.fr/bugs/task/12749 Vous verrez que vous ne serez pas les seuls à le demander : https://dev.freebox.fr/bugs/task/12749#comment187477 (message du 17/02/2025 09:32)

Les FAI devraient fournir une délégation de zone pour que ce soit possible. Aucun d'entre eux ne le propose actuellement. L'enregistrements MX utilisé pour le serveur de messagerie doit donc pointer vers des enregistrements de type A (IPv4) uniquement pour que la vérification du DNS inverse soit valide.

J'ai testé via un navigateur sur iOS, le mail est bien envoyé. Que se passe-t-il si tu ouvres le brouillon et que tu cliques sur le bouton [Envoyer] ?

Le modèle du NAS (DS415+) me fait surtout penser à ça :

Dans ce cas HTTP est suffisant, et il faut utiliser l'adresse IP du NAS virtuel (ce qui était certainement déjà le cas).

Si le reverse proxy et la destination sont sur le même NAS, la destination devrait plutôt être configurée ainsi : Protocole : HTTP Nom d'hôte : localhost Port : 10020

Ce n'est pas évitable avec la Livebox, car elle vérifie la valeur de l'en-tête Host (sécurité bidon appliquée par Sagem). L'intérêt du reverse proxy est de faire croire à la Livebox qu'on a utilisé l'hôte 192.168.1.1 pour se connecter. Le reverse proxy est fait pour tout type d'accès, intérieur ou extérieur. Maintenant, le cas présent (accès interne uniquement) ne présente pas beaucoup d'intérêt vu que http://192.168.1.1 est bien suffisant.

Si ton serveur DNS est correctement configuré, la commande nslookup xxx.synology.me doit se résoudre en l'adresse IP privée du NAS (192.168.1.x avec x≠1). Est-ce le cas ?

Si j'ai bien compris, tu veux que http://box.maison.local affiche l'interface de la Livebox en passant par le reverse proxy du NAS ? Pour cela, la résolution DNS de box.maison.local pointe vers 192.168.142.1 (adresse IP du NAS ) de façon à ce que les requêtes HTTP arrivent sur le reverse proxy du NAS. Ensuite, le reverse proxy du NAS se charge d'envoyer le traffic HTTP à destination de la Livebox dont l'adresse IP est 192.168.1.1. Dis-moi si ça te semble clair ou pas ?