PiwiLAbruti

DLZ permet de stocker une zone DNS dans une base de données. Les avantages : réduction du temps de démarrage du service, diminution de l'empreinte mémoire, prise en compte instantanée des modifications apportées à la zone DNS (pas de redémarrage du service). L'inconvénient est qu'une base de données supportera beaucoup moins bien la montée en charge (QPS : nombre de requêtes par seconde.) What is DLZ? DLZ (Dynamically Loadable Zones) is a patch for BIND version 9 that simplifies BIND administration and reduces memory usage and startup time. DLZ allows you to store your zone data in a database. Unlike using scripts, the changes in your database are immediately reflected in BIND's response to DNS queries, so there is no need to reload or restart BIND. You see, BIND "dynamically loads" the "zone" data it needs to answer a query from the database. Sources : http://bind-dlz.sourceforge.net/ http://bind-dlz.sourceforge.net/perf_tests.html PS : La mise à jour automatique du paquet DNS Server en version 2.2.1-5023 est proposée sous DSM 6.2.2. Reste à savoir si la paquet reste fonctionnel sans passer en 6.2.3, il est vrai que c'est contradictoire avec les notes de version.

Ce n’est justement pas bon pour ton IP locale. Si tu veux que les résolutions locales se fassent par le serveur DNS du NAS, il faut que l’adresse IP ce dernier soit configurée comme serveur DNS dans les paramètres de la carte réseau de ton PC. Ton PC utilise par défaut 212.224.255.152 pour les résolutions DNS au lieu du NAS. C’est affiché dans les résultats que tu as donnés un peu plus haut. Tout est très clairement expliqué dans le tutoriel concernant DNS Server. Recopier ce qui est affiché sur les captures d'écran ne sert à rien. Il faut prendre le temps de tout lire pour comprendre, sans quoi tu vas perdre beaucoup de temps et tu n’arriveras pas au résultat souhaité.

Bien, maintenant tu sais d'où vient le problème.

En local, il faut paramétrer le NAS comme serveur DNS sur les clients, soit manuellement, soit automatiquement via DHCP (si possible). Les commandes suivantes doivent retourner le même résultat (192.168.x.y est l'adresse IP locale du NAS) : > nslookup nas.ndd.net > nslookup nas.ndd.net 192.168.x.y Pour tester une résolution externe depuis le réseau local, il suffit d'utiliser la même commande avec l'adresse IP d'un serveur DNS public : > nslookup nas.ndd.net 80.67.169.12 Si les résolutions sont bonnes, le problème viendrait soit des règles NAT, soit du reverse proxy.

Pour commencer, je te recommande vivement d'appliquer les conseils de ce tutoriel : Qu'as-tu modifié dans la configuration de nginx ? Peux-tu poster la/les configuration(s) en question ?

Si tu veux que nas.ndd.net pointe vers 192.168.x.y en local, ça n'a rien à voir avec la zone DNS configurée chez OVH (qui est la partie publique). Il faudrait suivre la partie de ce tutoriel concernant la zone DNS locale : Par contre ça implique pas mal de changements sur ton réseau (distribution du serveur DNS local par DHCP, ou configuration manuelle, ...). De mon point de vue, je n'a pas assez de précisions sur ton besoin exact pour pouvoir t'aider plus.

En fait ça ne simplifie pas les accès, c’est même plutôt tout le contraire. L’avantage du NAT en IPv4 est justement que l’ont sait exactement ce qui est ouvert sur internet, mais ça a tout de même des limitations par rapport à IPv6 (un seul équipement derrière chaque port, ...). En IPv6 chaque équipement du réseau doit disposer d’un pare-feu pour bloquer le trafic entrant indésirable. C’est d’ailleurs ce qui pose problème d’entrée de jeu avec les objets connectés mal sécurisés qui deviennent alors des points d’entrée sur tout le réseau local. Dans l’ideal, il faut un pare-feu en amont des équipements locaux sur lequel on peut définir des règles de filtrage (ce qui rejoint la complexité qui tu voyais en IPv4). Mais ce n’est pas toujours possible, le cas le plus lamentable étant celui de la Freebox sur laquelle il n’est pas possible de définir des règles de filtrage en IPv6, il y a juste un gros switch on/off du filtrage des connexions entrantes. Donc attention, il y a beaucoup de choses à considérer avant de passer à IPv6. Ce n’est pas insurmontable mais il faut bien comprendre les enjeux de sécurité que ça implique sans quoi votre réseau local peut rapidement est compromis.

Tu peux sauvegarder et restaurer le paquet Mail Server avec HyperBackup. Je ne sais pas si cette sauvegarde inclut les données mail des utilisateurs stockées dans le dossier .MailDir de leurs /home respectifs est également sauvegardée. C’est pourquoi il vaut mieux également sauvegarder le dossier /homes. Le passage à MailPlus Server dépend du nombre de comptes car au delà d’un certain nombre (2 ou 5, je ne sais plus), il faut acheter des licenses supplémentaires.

La méthodologie est la même en IPv6 que ce qui est expliqué en IPv4 en remplaçant les IPv4 privées par les adresses locales IPv6. Qu’attends-tu d’IPv6 par rapport à IPv4 ?

Donc si j’ai bien tout suivi, tu voudrais pouvoir te connecter en local à ton NAS avec ton nom de domaine au lieu de l’adresse 192.168.x.y ?

Ça n’est pas une question d’être aventureux ou non, c’est juste que le contenu de la mise à jour est inintéressant pour 99,99% des particuliers (et encore, j’ai dû oublier une demie-douzaine de 9). @beepbeep5372 : Il suffit d’aller les lire dans la partie Assistance du site officiel : https://www.synology.com/fr-fr/releaseNote/DS218+

Vu les modifications apportées, il n’y a aucune urgence à appliquer l’update 6. Il vaut mieux attendre patiemment son arrivée via les mises à jour automatiques.

Article original (en Anglais) : https://www.synology.com/en-global/company/news/article/PR_VPNPlus

Je ne peux que te recommander vivement de mettre en pratique ce tutoriel :

Les ports qui ne fonctionnent pas sont bien ouverts sur le routeur et dans le pare-feu du NAS (si actif) ? Quel est le résultat attendu à l'adresse https://nas.ndd.net/ ? (port 443 implicite)

Je ne vois pas l'enregistrement nas.ndd.net dans tes captures d'écran.

Le réseau est un sujet très vaste. Sur quel sujet veux-tu en savoir plus exactement ? L’adressage IP ? Certains protocoles ? Autre chose ? En quoi consisteraient les exercices ? Il y a pléthore de cours et d’exercices en ligne qui seront, de mon point de vue, plus efficaces qu’un livre (OpenClassroom, WayToLearnX, ...) Pour un particulier, je doute que des sujets comme le routage ou les protocoles de niveau 2 (802.3) soient vraiment pertinents. Avant de chercher à en savoir plus sur les réseaux IP, il faut déjà savoir ce qu’est une adresse IP (et son masque). Beaucoup pensent le savoir, mais après s’être un peu renseignés sur le sujet... https://fr.m.wikipedia.org/wiki/Adresse_IP Enfin bref, précise ton besoin et tes objectifs sinon tu vas te noyer avant même d’avoir sauté dans la piscine.

Pour que certains web-marchands se mettent à liquider les stocks d’un modèle précis, il est fort probable qu’un remplaçant arrive prochainement.

J’utilise du Stormshield (fusion Netasq/Arkoon) depuis quelques années en milieu professionnel. Ça devrait couvrir tes besoins. Je te laisse découvrir les produits : https://www.stormshield.com/products-services/products/network-security/

Essaye spksrc, l’outil de cross-compilation de SynoCommunity. https://github.com/SynoCommunity/spksrc

La validation par DNS a l'avantage de ne pas avoir besoin d'ouvrir de port pour créer et renouveler les certificats. Il y a des scripts qui vont jusqu'à automatiser l'installation du certificat dans DSM, mais ça ne me semble pas être une solution pérenne (surtout avec DSM 7). Le mieux est de faire ce que tu as fait : générer le certificat et l'ajouter manuellement. Je n'ai pas utilisé l'API OVH pour le renouvellement automatique car j'utilise mes propres serveurs DNS.

As-tu essayé d'utiliser un certificat wildcard pour domain.tld et *.domain.tld ? Ainsi ton domaine et tous ses sous-domaines directs sont couverts par le certificat. J'en ai mis en place récemment sur mes NAS, ça fonctionne très bien.

Tu peux utiliser tcpdump directement en SSH sur le NAS. # tcpdump -nq "not tcp port 22" Sinon, si ce n’est pas assez user-friendly, il faut suggérer l'idée à Synology (comme je l’ai déjà dit).

Si tu as de la chance, ce sera peut-être disponible avec DSM 7.

Même avec cette correction, ce n’est toujours pas bon : m : milli M : mega Promis, je m'arrête là 😇