PiwiLAbruti

Sans rien configurer de plus ? Même les requêtes vers les serveurs Synology (mise à jour des paquets, de DSM, des listes GeoIP, ...) ne passent pas par le VPN ? Est-ce que la case "Utilisez la passerelle par défaut sur le réseau distant" est cochée dans la configuration VPN ?

J'ai eu la meme chance que toi lors du passage à la fibre, ce qui n'est pas le cas de tout le monde malheureusement.

Comme seul le trafic de Download Station doit passer par le VPN, comment procèdes-tu pour faire passer tout le reste hors VPN ?

Ça va être compliqué de définir des règles de routage statiques pour Download Station 😅

Les NAS n'ayant pas besoin de cette mise à jour ne la proposeront pas en automatique (comportement voulu par Synology, et c'est très bien ainsi). Pourtant, CMS me la propose pour les NAS gérés 🤪🤦‍♂️

Il n'y a rien de prévu dans DSM pour ce type de fonctionnement. Sinon c'est possible, mais c'est trop barbu pour l'écrasante majorité des utilisateurs.

Les liens vers ce que j'y ai trouvé pertinent pour les particuliers : SMB multichannel : https://youtu.be/KLuMrUdtypc?t=725 WRX560 : https://youtu.be/KLuMrUdtypc?t=2918 Synology Drive : https://youtu.be/KLuMrUdtypc?t=777 Caméras IP Synology : https://youtu.be/KLuMrUdtypc?t=2297

HEVC est arrivé dans Google Chrome : https://chromestatus.com/feature/5186511939567616 Il en est probablement de même pour les navigateurs à base de Chromium (Edge, Opera, Vivaldi, ...).

C'est étrange. Le client VPN étant défini comme passerelle par défaut, tout le trafic à destination d'internet passe par cette connexion. Ça doit d'ailleurs se voir dans la table de routage par défaut.

Surtout que c'est possible depuis longtemps chez QNAP 😇 Ça touche bien tous les services du NAS, @cadkey a contourné le problème pour Plex avec des routes statiques. Par contre, ça impose de connaître l'adresse du serveur ou du réseau distant. Ce n'est donc pas applicable pour tous les services/applications.

Les enregistrements de type SRV sont utilisés par les logiciels compatibles pour configurer automatiquement des services. Dans le cas présent, à moins que tu n'utilises un client mail qui se configure automatiquement en utilisant ces enregistrements, tu peux les supprimer. Les enregistrements imap.domain.tld et smtp.domain.tld n'ont pas à être couverts par le certificat, à moins que ces enregistrements soient également utilisés pour une interface web.

Et c'est parti... 😆

Il s'agit d'un abonnement Pro (Orange Connect), les téléphones sont des téléphones IP. Aucune des deux solutions que tu as données ne s'appliquent dans ce cas. D'où ma question sur l'utilisation qui est faite des routeurs Synology.

Quelle est/sera l'utilité des RT2600ac et RT6600ac ? (mise en place d'un tunnel VPN, mais encore ?)

Si tu sais pourquoi tu utilises un VPN, tu sais où il est le plus judicieux de le configurer.

Ces serveurs DNS doivent être ceux qui hébergent la zone de ton domaine, c'est pour ça que ça ne fonctionne pas. Le reste est très confus et mélange plusieurs notions qui n'ont pas grand chose à voir entre elles. Je n'ai rien compris à ce que tu essayes de faire.

Il n'y a pas beaucoup de monde qui va être concerné par cette mise à jour, mais j'en connais qui vont la forcer manuellement sans savoir pourquoi 😄 Source : https://www.synology.com/fr-fr/releaseNote/DSM#7_1

fc00::/7 est l'équivalent IPv6 de 10/8, 172.16/12 et 192.168/16, donc dédié aux réseaux privés non-routables sur internet. C'est un préfixe que tu ne rencontreras probablement jamais étant donné qu'il est utilisé dans des configurations professionnelles/spécifiques. Tu peux donc retirer la règle qui l'utilise. Pour information fe80::/10 est l'équivalent de 169.254/16 (adresses automatiques non routable).

Les trois réseaux utilisés dans les règles de pare-feu sont des réseaux privés pouvant correspondre aux usages indiqués par @Jeff777. https://fr.wikipedia.org/wiki/Réseau_privé En France, l'écrasante majorité des réseaux locaux configurés par défaut sur les box des opérateurs sont 192.168.0.0/24 ou 192.168.1.0/24, ils appartiennent donc à 192.168.0.0/16 (qu'on pourrait même réduire à 192.168.0.0/23). Tu pourrais finalement désactiver les deux autres règles comportant les réseaux 10.0.0.0/8 et 172.16.0.0/12. Si tu veux approfondir le sujet des adresse IPv4 : https://fr.wikipedia.org/wiki/Adresse_IP Ce tutoriel commence à dater et ne tient pas compte d'IPv6 alors qu'il est utilisé chez tous les opérateurs et est bien moins prise de tête qu'IPv4. Tu pourrais ajouter une règle autorisant le réseau fe80::/10 (réseau privé IPv6).

Même avec un compte ayant les droits administrateur ? Au pire tu dois pouvoir en modifier les droits d'accès dans Panneau de configuration > Dossier partagé. https://kb.synology.com/fr-fr/DSM/tutorial/Why_are_there_sysvol_netlogn_folders ---- Edit Avec les droits administrateur ça fonctionne : https://community.synology.com/enu/forum/1/post/144184

De quel SMTP parles-tu ? Le port SMTP tcp/587 doit être restreints aux clients. Le port SMTP tcp/25 doit être ouvert aux MTA.

Du moment que tu as conscience que ton NAS est trop exposé sur internet et des risques encourus, c'est le principal.

La version indiquée est inférieure à celle du .pat que tu veux installer ?

Synology ne propose pas de solution pour ce cas d'usage, et c'est bien dommage. Mais ce n'est pas forcément un problème si le pare-feu est correctement configuré (secondé par un profil d'accès si nécessité de restreindre encore plus certains services). Quelle est la surface d'exposition du proxy inversé sur internet ?

Au risque de me répéter :