PiwiLAbruti

Je n’utilise pas de client VPN sur mes NAS et je ne connais pas HMA. L’accès à ton routeur via VPN SSL et un client VPN L2TP/IPSec (ou OpenVPN) sont deux choses complètement différentes. Je ne sais pas si tu veux faire fonctionner les deux en même temps mais ça va être compliqué car il faudra ajouter des règles de routage.

À part le processeur qui gagne en fréquence (1,5>2GHz de base et 2,3>2,7GHz en turbo), il n’y a pas vraiment d’amélioration par rapport au DS918+. Synology est toujours dans une stratégie de maintient des prix. Il faut surtout espérer que la RAM ne soit pas soudée à la carte-mère comme sur le DS720+, sinon ça va encore faire des déçus.

J’ai des doutes sur la configuration de ton USG, elle laisse forcément passer des ports vers ton NAS pour que tu aies constaté des tentatives d’intrusion sur le port tcp/22.

Le port tcp/22 est ouvert si SFTP est activé même si SSH est désactivé. Je ne sais pas si la règle de blocage fonctionne pour "Toutes les interfaces" (sélectionné en haut à droite). Je préfère créer les règles de pare-feu directement sur l'interface concernée ("LAN 1") et ne rien mettre dans "Toutes les interfaces".

Et tu l'as testé @mightor ? Ça n'a pas révolutionné ma façon d'écouter de la musique pendant mes trajets. J'utilise des playlist en aléatoire. L'icône "À l'écoute" (de base dans CarPlay) est suffisante pour afficher les informations du titre en cours et les contrôles de base (lecture/pause, suivant, précédent, ...).

Sans les adresses IP, on ne peut pas savoir si tes règles de pare-feu sont bonnes ou non. Il este inutile de masquer le adresses IP privées, masque seulement les adresse IP publiques personnelles (s'il y en a).

Tu passes également par l'assistant via le navigateur ? As-tu essayé via l'application Synology Assistant ? https://www.synology.com/fr-fr/support/download/DS216+II#utilities

Ok, donc c’est une belle régression par rapport à la série '18 pour ceux qui ont besoin de plus de RAM.

C’est une blague la RAM soudée ?! J’espère qu’on peut toujours mettre plus de 4Go dans le seul slot restant. Du coup je suis très satisfait de mon DS718+ sur lequel j’ai pu remplacer la barrette de 2Go par 2x8Go (oui la virtualisation ça consomme).

Le mien est sur un site distant depuis 2 ans maintenant. Le débit est limité par ma connexion VDSL à 8Mo/s. En local, je suis déjà monté sans problème à 70Mo/s, mais en règle générale ça tourne plutôt autour de 40Mo/s.

Ça m’étonnerait que ça vienne du hack, je n’ai pas de problèmes de débit sur le mien. Quels paquets sont installés sur ton DS112j ?

DSM 6 étant un gouffre pour les ressources sur ce modèle, as-tu testé les débit sans être connecté à DSM ?

Je ne vois pas pourquoi ça ne marche pas puisque c’est la configuration que j’aie donnée fonctionne chez moi et chez d’autres sans aucun souci. Tu postes un enregistrement SPF qui va exactement à l’encontre des bonnes pratiques que j’ai présentées. À partir de là je ne peux plus t’aider. C’est comme si, après avoir lu le tutoriel sur la sécurité, tu me disais que l’accès externe à ton NAS ne fonctionne que lorsque ce dernier est en DMZ et que le pare-feu est désactivé. Alors oui ça fonctionne, est-ce que c’est une bonne pratique ? À toi de voir. Je crois que je vais faire comme d’autres membres qui ont beaucoup apporté à ce forum, comme ça vous n’aurez plus à supporter mon arrogance si insupportable et déplacée.

J’ai déjà expliqué les bonnes pratiques donc je ne vais pas me répéter. Si tu ne veux pas les appliquer ça ne regarde que toi, et ça ne me gêne aucunement que tu préfères conserver ta configuration en carton mouillé.

Vérifie les redirections de ports sur ta box/routeur. Il doit nécessairement y en avoir une qui laisse passer du SSH (quelque soit le port).

Des tentatives depuis quelles adresses IP ?

Non. Sur le mien j’ai eu à changer la pile de la carte-mère mais les symptômes n’étaient pas les mêmes (ce NAS me sert également de sauvegarde distante). Vérifie l’activité du NAS avec la commande "top" via SSH, l’interface DSM étant trop peu réactive. Absolument pas. Il suffit de bien sécuriser les accès pour ne pas exposer inutilement ce NAS sur internet (pare-feu).

Et visiblement ça continue 😅

Tu n’es pas obligé d’utiliser postmaster. N’importe quelle adresse fonctionnera.

Le problème est que la réputation de ton domaine et de ton adresse IP est devenue mauvaise à cause de l’absence des enregistrements DNS requis. Il faut être patient et attendre que Google améliore cette réputation.

@Vasyjeannot : Donc seul l’accès à l’interface de DSM ne fonctionne plus ? Quelles modifications as-tu faites récemment sur ton NAS ? Peux-tu ouvrir une session SSH et exécuter le commande "top" pour voir l’état de consommation des ressources ?

Le SPF sert à indiquer les adresses des hôtes autorisées à envoyer des emails pour vos domaines. C'est l'un des mécanismes le plus important lorsqu'on met en place un serveur mail. Comme la configuration sur un NAS Synology est souvent faite avec un seul domaine et un seul serveur principal, l'adresse à définir correspond à l'enregistrement MX du domaine. L'intérêt de choisir cet enregistrement est que le SPF suivra implicitement les modifications des MX : v=spf1 mx -all ou v=spf1 +mx -all (l'opérateur "+" est implicite devant les directives qui en sont dépourvues) J'en ai vu qui utilisaient des SPF un peu exotiques comme "v=spf1 mx a 1.2.3.4 -all" où "a" est l'enregistrement racine A du domaine et "1.2.3.4" l'adresse IP publique. Lorsque tous pointent vers la même adresse IP, c'est évidemment redondant et totalement inutile (voire dangereux). Attention à l'opérateur devant la directive "all", si vous êtes en phase de configuration ou de test de votre serveur, utilisez l'opérateur "~" (tilde) qui vous évitera des blocages intempestifs : v=spf1 mx ~all Bien sûr il est possible d'ajouter d'autres serveurs que vous voulez autoriser à envoyer des mails pour vos domaines, il existe alors différentes façon des les déclarer. Dans le cas d'un serveur MX de secours chez OVH, ce dont il est question dans ce sujet, on inclut l'enregistrement SPF d'OVH et rien de plus : v=spf1 mx include:mx.ovh.com -all Si vous utilisez plusieurs domaines et que l'enregistrement SPF est identique pour tous ces domaines, la directive "redirect" permet de faire pointer l'enregistrement d'un domaine vers celui d'un autre domaine. Ainsi, en cas de modification du SPF, la modification sera appliquée à tous les autres domaines : v=spf1 redirect=spf.domain.tld D'où la bonne pratique de le faire même si vous ne possédez qu'un seul domaine pour anticiper l'acquisition d'autres domaines ultérieurement : spf.domainA.tld TXT "v=spf1 mx -all" domainA.tld TXT "v=spf1 redirect=spf.domainA.tld" domainB.tld TXT "v=spf1 redirect=spf.domainA.tld" domainC.tld TXT "v=spf1 redirect=spf.domainA.tld" domainD.tld TXT "v=spf1 redirect=spf.domainA.tld" ... Pour terminer, vous pouvez résoudre récursivement les enregistrements SPF (TXT) pour vérifier les hôtes autorisés. Un exemple avec mx.ovh.com : > nslookup -type=TXT mx.ovh.com mx.ovh.com text = "v=spf1 ptr:mail-out.ovh.net ptr:mail.ovh.net ip4:8.33.137.105/32 ip4:192.99.77.81/32 ?all" > nslookup mail-out.ovh.net Name: mail-out.ovh.net Address: 87.98.222.13 > nslookup mail.ovh.net Name: mail.ovh.net Address: 193.70.18.148 Concernant l'enregistrement DMARC, il sert à indiquer la politique de filtrage à appliquer aux messages et à définir les destinataires des rapports. Là chacun configure selon ses besoins. Pour ma part, j'applique une politique stricte : _dmarc.domain.tld TXT "v=DMARC1; aspf=s; adkim=s; p=quarantine; pct=100; ruf=mailto:posmaster@domain.tld; rua=mailto:posmaster@domain.tld!100M;" Si vous voulez des détails, je ne vais pas paraphraser Wikipedia.

Dommage que ce ne soit pas mentionné dans les tutoriels, c’est la partie la plus importante dans la configuration d’un serveur mail. Je ferai un bref résumé de ce qu’il faut configurer ce soir si j’ai le temps. N’hésitez pas à abuser de Wikipedia sur ce sujet, le plus important étant de comprendre à quoi ça sert.

Ce qui fait ramer la VM est l’interface graphique de Windows 10. Si la VM n’a pas de session ouverte, les services seront beaucoup plus performants.

Il y a un tutoriel (un pour Mail Server et un autre pour MailPlus Server) sur le forum qui explique l’importance des enregistrements SPF, DKIM, et DMARC. Google applique une politique de sécurité assez restrictive concernant la présence de ces enregistrements (et c’est une bonne chose). Donc le problème que tu as rencontré provenait d’une mauvaise configuration de ton serveur mail (qui permet entre autre l’usurpation d’identité 😱). Ce qui me gêne le plus c’est que visiblement tu n’aies eu le problème qu’avec Google. Il y a encore du travail chez les autres fournisseur de messagerie...