PiwiLAbruti

Je ne comprends pas. Tu demandes où mettre le script alors que tu le mets au bon endroit. Le script se nomme ip-up et est placé dans /etc/ppp. Le script ip-down est inutile car, l'interface n'existant plus à la déconnexion, la règle de routage est supprimée automatiquement. Si tu souhaites faire passer tout le trafic par le VPN, il n'y a pas besoin de ce script. Bref, pour vérifier ce qui cloche il faut vérifier les métriques de la table de routage une fois connecté au VPN (netstat -rn).

C'est écrit sur ta capture d'écran : "Ajouter des arguments" 🤓

Pour faire court : https://github.com/piwi82/VPN-route

Le routage n'est pas une obligation et ne s'applique que dans le cas où on décoche la case à cocher qui fait passer tout le trafic par le VPN (cochée par défaut). Tu parles du script pour Mac/Linux (/etc/ppp) ou pour Windows (aucune importance) ?

LAPD : Los Angeles Police Department 🚔 LACP : Link Aggregation Control Protocol 🤓 (Désolé, j'avais une envie irrésistible de justifier mon pseudonyme)

C'est ton injecteur PoE qui bride le débit filaire à 100Mbit/s ?

Alors que le processeur a un contrôleur 2x10GbE...

En attendant l'annonce officielle dans nos contrées reculées : https://www.synology.com/zh-tw/products/DS1621+#specs C'est le premier NAS Synology avec un processeur AMD (AMD Ryzen V1500B).

Tu as 200Mbit/s en réception. En émission tu as 10Mbit/s, d'où le 1Mo/s que tu constates. Fibre et xDSL, même combat : les débits sont asymétriques.

Tu espères obtenir de l'aide sans donner les règles que tu as configurées ?

C'est quand même étrange. Que le partage soit monté ou non, la vitesse de transfert reste la même. Mais bon, si ça fonctionne dans un des deux cas, tant mieux.

Concernant YouTube : https://www.youtube.com/kids/

Non, ce programme ne fonctionne que sous Microsoft Windows.

Tu auras beaucoup plus de chances de trouver de l'aide sur le forum dédié.

Le point d'entrée d'une intrusion n'est pas nécessairement DSM, il peut très bien s'agir d'une vulnérabilité de n'importe quel programme, surtout les services, fonctionnant sur le NAS. C'est d'ailleurs le cas le plus courant. Ainsi une intrusion peut se retrouver limitée par le programme pris pour cible, d'où l'importance de ne pas donner accès à tous les services et/ou données du NAS à un même compte (qu'il ait le rôle d'administrateur ou non). Chaque utilisateur doit disposer des droits dont il a besoin, pas plus.

Le pare-feu vérifie la correspondance des règles dans l'ordre où ces dernières sont définies, et il va uniquement appliquer la première règle qui correspond au paquet reçu. Dès lors qu'une règle correspond, les règles suivantes sont ignorées. Dans la capture d'écran des règles que tu as mises en place, la première accessible depuis une adresse IP Russe est celle d'OpenVPN (udp/1194) puisque la règle indique "Tous" comme origine et que la règle de blocage se situe bien après (idem pour DSM en tcp/5001 et File Station en tcp/[7000,7001]). Si tu veux bloquer totalement certaines origines, il faut donc placer les règles correspondantes en premier.

Fais auditer ton NAS par un expert en sécurité, puis un autre, puis ... C'est comme si tu demandais comment être certain que ta voiture n'aura jamais d'accident. Dans le cas présent, si tu as compris ce qui est expliqué dans le tutoriel et que tu l'as rigoureusement appliqué, ton NAS ne craint plus grand chose.

Si tu ne le suis pas tu ne vas rien comprendre, faire n'importe quoi, et revenir poser des questions déjà répondues dans le tutoriel.

Bonjour, Lorsqu'on s'identifie sur le forum depuis un navigateur sur mobile, le bouton de profil n'apparaît pas en haut à droite comme avant, avec notamment les pastilles de notifications. J'utilise Firefox à jour sur iOS 13.6.1.

Surtout pas l'antivirus. C'est lourd et ça ralentit le NAS inutilement. Un antivirus n'est nécessaire (et obligatoire) que sur les postes clients.

Je ne peux que te recommander d'installer uniquement les paquets dont tu as besoin. Ça facilitera la prise en main du NAS dans un premier temps.

Les ports 500, 1194, et 4500 fonctionnent en UDP (à voir pour OpenVPN en TCP). À ma connaissance, Telnet ne permet pas de communiquer en UDP. Pour tester des ports, il est plus efficace d'utiliser nmap.

Décoche la case "Autoriser ce périphérique à créer des redirections de port", ainsi que le service UPnP (aussi bien sur le routeur que sur le NAS). Laisse la case que tu as entourée décochée, ce n'est pas utile (de ce que j'en comprends c'est de la publication ARP). Quelles sont les autres colonnes du tableau "Autorisations d'accès" ?

Oui, mais c'est hors de ta portée (configuration de ton propre serveur DNS avec la zone publique pour ton domaine + règles de pare-feu). Ce n'est pas une sécurité en soi. Le plus important est de restreindre les accès au niveau du pare-feu du NAS.

S'il n'y a aucun port d'ouvert dans les règles NAT/PAT, je ne vois que deux possibilités : S'il y a une option UPnP sur la box SFR, désactive-la. Ce service permet à n'importe quelle application (programmes malveillants inclus) d'ouvrir automatiquement les ports dont elle a besoin sur le routeur. Les ports éventuellement ouverts par DSM apparaissent dans Panneau de configuration > Accès externe > Configuration du routeur (que tu sembles déjà avoir désactivé dans DSM, c'est une bonne chose). S'il y a une option DMZ sur la box SFR, vérifie qu'elle est bien désactivée (aucune destination). Si l'adresse IP du NAS y est renseignée, tous les ports (de 1 à 65535) sont redirigés vers lui.