PiwiLAbruti

C'est étrange. Le client VPN étant défini comme passerelle par défaut, tout le trafic à destination d'internet passe par cette connexion. Ça doit d'ailleurs se voir dans la table de routage par défaut.

Surtout que c'est possible depuis longtemps chez QNAP 😇 Ça touche bien tous les services du NAS, @cadkey a contourné le problème pour Plex avec des routes statiques. Par contre, ça impose de connaître l'adresse du serveur ou du réseau distant. Ce n'est donc pas applicable pour tous les services/applications.

Les enregistrements de type SRV sont utilisés par les logiciels compatibles pour configurer automatiquement des services. Dans le cas présent, à moins que tu n'utilises un client mail qui se configure automatiquement en utilisant ces enregistrements, tu peux les supprimer. Les enregistrements imap.domain.tld et smtp.domain.tld n'ont pas à être couverts par le certificat, à moins que ces enregistrements soient également utilisés pour une interface web.

Et c'est parti... 😆

Il s'agit d'un abonnement Pro (Orange Connect), les téléphones sont des téléphones IP. Aucune des deux solutions que tu as données ne s'appliquent dans ce cas. D'où ma question sur l'utilisation qui est faite des routeurs Synology.

Quelle est/sera l'utilité des RT2600ac et RT6600ac ? (mise en place d'un tunnel VPN, mais encore ?)

Si tu sais pourquoi tu utilises un VPN, tu sais où il est le plus judicieux de le configurer.

Ces serveurs DNS doivent être ceux qui hébergent la zone de ton domaine, c'est pour ça que ça ne fonctionne pas. Le reste est très confus et mélange plusieurs notions qui n'ont pas grand chose à voir entre elles. Je n'ai rien compris à ce que tu essayes de faire.

Il n'y a pas beaucoup de monde qui va être concerné par cette mise à jour, mais j'en connais qui vont la forcer manuellement sans savoir pourquoi 😄 Source : https://www.synology.com/fr-fr/releaseNote/DSM#7_1

fc00::/7 est l'équivalent IPv6 de 10/8, 172.16/12 et 192.168/16, donc dédié aux réseaux privés non-routables sur internet. C'est un préfixe que tu ne rencontreras probablement jamais étant donné qu'il est utilisé dans des configurations professionnelles/spécifiques. Tu peux donc retirer la règle qui l'utilise. Pour information fe80::/10 est l'équivalent de 169.254/16 (adresses automatiques non routable).

Les trois réseaux utilisés dans les règles de pare-feu sont des réseaux privés pouvant correspondre aux usages indiqués par @Jeff777. https://fr.wikipedia.org/wiki/Réseau_privé En France, l'écrasante majorité des réseaux locaux configurés par défaut sur les box des opérateurs sont 192.168.0.0/24 ou 192.168.1.0/24, ils appartiennent donc à 192.168.0.0/16 (qu'on pourrait même réduire à 192.168.0.0/23). Tu pourrais finalement désactiver les deux autres règles comportant les réseaux 10.0.0.0/8 et 172.16.0.0/12. Si tu veux approfondir le sujet des adresse IPv4 : https://fr.wikipedia.org/wiki/Adresse_IP Ce tutoriel commence à dater et ne tient pas compte d'IPv6 alors qu'il est utilisé chez tous les opérateurs et est bien moins prise de tête qu'IPv4. Tu pourrais ajouter une règle autorisant le réseau fe80::/10 (réseau privé IPv6).

Même avec un compte ayant les droits administrateur ? Au pire tu dois pouvoir en modifier les droits d'accès dans Panneau de configuration > Dossier partagé. https://kb.synology.com/fr-fr/DSM/tutorial/Why_are_there_sysvol_netlogn_folders ---- Edit Avec les droits administrateur ça fonctionne : https://community.synology.com/enu/forum/1/post/144184

De quel SMTP parles-tu ? Le port SMTP tcp/587 doit être restreints aux clients. Le port SMTP tcp/25 doit être ouvert aux MTA.

Du moment que tu as conscience que ton NAS est trop exposé sur internet et des risques encourus, c'est le principal.

La version indiquée est inférieure à celle du .pat que tu veux installer ?

Synology ne propose pas de solution pour ce cas d'usage, et c'est bien dommage. Mais ce n'est pas forcément un problème si le pare-feu est correctement configuré (secondé par un profil d'accès si nécessité de restreindre encore plus certains services). Quelle est la surface d'exposition du proxy inversé sur internet ?

Au risque de me répéter :

Que dit Synology Assistant sur l'état du NAS ?

@Brunchto, est-ce que seul le port tcp/25 est ouvert sans limitation ? Les ports client (tcp/587 et tcp/993) doivent être restreints dans le pare-feu.

Seul Synology a la réponse, tu peux leur demander ici : https://www.synology.com/fr-fr/form/inquiry/feature

C'est vraiment n'importe quoi leurs box chez Orange. Je comprends pourquoi un collègue les a laissées dans leur carton 😄

Il faut utiliser localhost comme hôte local dans la configuration du reverse proxy, et définir une liste blanche dans le blocage automatique des IP.

Pour ceux qui ont à disposition un switch capable de faire du miroir de port, il est possible de capturer la requête DHCP du boitier TV et la réponse DHCP de la Livebox. On pourrait facilement y voir les options spécifiques qu'il faudrait ajouter à un serveur DHCP tiers pour que ça fonctionne.

Pour être exact, les attaques existent toujours. C'est juste que le pare-feu les bloque avant qu'elles puissent atteindre le moindre service du NAS.