Mic13710

N'est ce pas ce que j'ai dit ? Vous devez avoir en fin de fichier : </tls-auth> Et bien c'est là. Pour le reste, avez-vous suivi les pistes de recherches proposées dans le Tuto ?

Rien de choquant à priori. 3 petites choses à corriger : # instruction cipher supprimée et remplacée par data-ciphers-fallback AES-256-CBC # pour supprimer le warning à l'ouverture de la connexion # cipher AES-256-CBC data-ciphers-fallback AES-256-CBC et : auth-user-pass # la ligne suivante a été rajoutée pour supprimer l'alerte sur le client # this configuration may cache passwords in memory auth-nocache <ca> et en fin de fichier : </tls-auth> #verify-x509-name '<votre e-mail>' name #ligne ci-dessus générée par le fichier de configuration #remplacée par verify-x509-name 'certificat.vpn' name Mais ce sont des modifs mineures qui ne devraient pas changer fondamentalement les choses. L'IP 10.5.0.1 n'est elle pas bloquée dans le module sécurité ? Il faudrait rajouter la plage du VPN dans les IP autorisées pour éviter les blocages. A quoi sert le port 32400 ? Est-ce que le certificat a bien été associé au serveur VPN avant l'activation et la création de la partie Open VPN ?

Est-ce que la plage d'IP privée 10.0.0.0/255.0.0.0 est autorisée dans le parefeu , ou au minimum la plage de votre VPN, pour vous 10.5.0.0/24 ou encore plus restrictif 10.5.0.1 à 10.5.0.6 ? Si oui, essayez en désactivant temporairement le parefeu. Il faudrait aussi donner une copie du fichier de conf en masquant les données personnelles.

Si vous ne donnez pas accès au LAN, vous ne pouvez pas accéder au NAS par son IP LAN et votre serveur DNS local ne peut pas non plus être utilisé puisqu'il n'est pas accessible. Le seul accès disponible est via l'IP du VPN soit 10.5.0.1:5000

Si ça concerne le tuto DNS serveur, vous poursuivez la discussion sur le tuto. Sinon, vous ouvrez un nouveau sujet dans la section qui concerne le serveur DNS.

@Wilfred Merci de ne pas citer l'intégralité des messages auxquels vous répondez. Ca n'apporte rien et surcharge inutilement le fil de discussion. Uniquement l'IP de votre serveur DNS, donc celui du NAS. Vous ne renseignez pas un autre serveur si vous n'en avez pas. C'est le serveur DNS qui se chargera de rediriger les requêtes externes.

Il faut indiquer le ou les serveurs DNS dans le fichier de configuration : # dhcp-option DNS: To set primary domain name server address. # Repeat this option to set secondary DNS server addresses. dhcp-option DNS <IP DNS serveur 1> dhcp-option DNS <IP DNS serveur 2>

@Lelolo tu m'étonnes ! La liste de la série 14 et à moins qu'elle soit incomplète :

@arsenelupin44 c'est votre phrase qui laissait penser que le ext4 ne permettait pas d'utiliser Drive alors que ce n'est pas le cas. Sinon, on est d'accord sur la différence de fonctionnement entre EXT4 et BTRFS.

Il faudrait tout de même préciser si vous compter garder les disque du 214 ou si vous envisagez d'en mettre des neufs (ce n'est pas dit dans votre message) Non. Vous pouvez très bien importer des données sauvegardées plus classiquement. Simplement, hyperbackup permet de migrer aussi les applications et leurs paramétrages ce qui simplifie la reconstruction. Le BTRFS est le système de fichier par défaut sur le 723. C'est aussi indispensable pour utiliser certaines applications comme snapshot replication par exemple ou bien Active Backup for Business et bien d'autres. Le système de fichier concerne la gestion des fichiers sur le disque, pas les données elles mêmes. Je ne pense pas non. Le besoin de double capacité c'est lorsque vous faites une restauration via hyperbackup puisque vous importez le fichier de sauvegarde et vous le restaurez sur le NAS. Mais on peut aisément contourner le problème en faisant de petits fichiers hyperbackup (un pas dossier partagé par exemple) plutôt qu'un seul sur la totalité. Tout à fait, et c'est même très bien d'avoir 2 sauvegardes distinctes de vos données car il peut arriver qu'une restauration ne fonctionne pas et il est plus rassurant de pouvoir compter sur une autre source. Ce qui est encore mieux c'est de séparer physiquement les deux supports, le tout sous le même toit n'étant pas recommandé. A titre perso, j'ai deux sauvegardes, une locale et une distante. Les deux sont décalées avec une le mercredi et une autre le dimanche. En cas de problème chez moi (incendie, inondation ou autre, je peux compter sur la deuxième sauvegarde pour retrouver mes données. Puisque la sauvegarde est cruciale pour vous (et vous avez entièrement raison d'y attacher de l'importance), le 214 pourrait vous servir de second support de sauvegarde 😉

Bonjour @arsenelupin44, soyez le bienvenu sur le forum. Je ne comprends pas bien ce que vous voulez dire. Drive fonctionne en ext4 et btrfs. C'est seulement la gestion du dossier caché qui impose d'avoir de l'espace de stockage. Mais bon, là n'est pas le propos. 😉

Le 5Gb est dans la norme et on trouve des switchs multigig qui font 1, 2.5, 5 et 10G. Néanmoins, je ne connais pas de switch limité à 5Gb Pour du 10Gb, vous pouvez utiliser du cat6 sur 55m, du cat6a jusqu'à 100m. A mon avis, la différence avec la fibre sera marginale et je pense que vu votre réseau, vous ne verrez aucune différence entre les deux même avec des flux importants. Ca ne vaut pas le coup d'investir dans du SFP+, mais si vous voulez vous faire plaisir ....

Ce n'est pas aussi simple. Vous ne pouvez pas casser un groupe. Le seul moyen c'est de le supprimer (et donc perdre les données) et reconstruire deux groupes, un par disque sur lesquels vous restaurez vos sauvegardes. Visiblement vous n'avez pas une connaissance poussée du SHR. Le SHR a deux status : sans protection des données et dans ce cas le groupe est constitué d'un seul disque, ou avec protection des données et dans ce cas le groupe est constitué d'au moins 2 disques. Avec deux disques c'est un équivalent RAID1, avec 3 disques ou plus c'est un équivalent RAID5 si les disques sont de même capacité ou un mix entre RAID1 et RAID5 si les capacités sont différentes. Quoi que vous vouliez faire, il va falloir sauvegarder vos données et reconstruire votre ou vos groupes.

Vous êtes probablement en CGNAT (IP partagée). Il faudrait regarder la plage de ports attribuée à votre connexion pour confirmer. Ca devrait être indiqué dans les caractéristiques de connexion internet du routeur du FAI. Pour obtenir une IP full stack, certains FAI font de la résistance et il faut parfois insister LOURDEMENT pour en obtenir une.

le TRENDnet TEG-S750 (5 ports 10Gb) à ~230€ ou encore le TEG-S708 (8 ports 10Gb) à ~350€ peut-être ? Ca reste du matériel assez cher. Il n'y a pas encore de matériel 10Gb abordable. Il faudra encore quelques années pour que ça se généralise et que les prix baissent. En attendant, vous pouvez viser moins haut et regarder vers du 2.5Gb voire du 5Gb. Ce sera toujours plus économique.

Je ne peux guère vous aider. Les seules sauvegardes distantes que je fais sont sur un NAS auquel je suis connecté en permanence en site à site via Wireguard. Pas de stockage externe.

Quand on parle de DD de réserve, ce sont en général des DD de capacité au moins équivalente à ceux en fonctionnement. Sinon ce ne sont pas des DD de réserve puisqu'il ne servent à rien dans un NAS en production.😉 La migration des disques fonctionnera, pas de problème avec ça. Je vous ai donné les limitations qui en découlent et les problèmes que vous pourrez rencontrer. Si vous avez sauvegardé vos données, je vous conseille de faire une installation de zéro. Je vous propose la méthode suivante : vous sortez un des disques du 716 que vous formatez sur un PC autre (formatage rapide peu importe, le but étant de casser les partitions existantes). L'autre disque est gardé au chaud pour pouvoir revenir en arrière le cas échéant. L'autre avantage c'est aussi de pouvoir transférer des dossiers et fichiers en cas de besoin. Vous montez le disque formaté sur le 723, vous installez DSM créez un groupe SHR (facile, c'est par défaut) et un volume unique. Vous importez votre fichier .dss du 716 et vous restaurez vos sauvegardes. Une fois que tout fonctionne, vous supprimez le groupe sur le 716, vous sortez le disque pour le montrer dans le 723 et augmenter le groupe pour créer un SHR avec protection des données.

C'est au contraire tout à fait cohérent. Vous avez créé un groupe de deux disques de capacités différentes. Le groupe est un RAID1 et ne peut dépasser la capacité du disque le plus petit. La capacité du disque plus gros ne peut pas être utilisée et est seulement en attente du remplacement du disque plus petit par un disque de capacité au moins équivalente au disque le plus gros. Ensuite, et je n'en vois pas l'intérêt, vous avez créé 2 volumes sur le disque de départ. C'est ces deux volumes qu'on voit dans votre gestionnaire. Il faut savoir qu'un groupe est constitué de 1 à plusieurs disques montés ensemble dans un système RAID. C'est sur ce groupe que vous créez des volumes. Dans votre cas, même si vous remplacez le 2To par un 4To pour augmenter le stockage, vous ne pourrez pas augmenter la capacité du volume 1. En effet, les volumes sont jointifs et donc la capacité supplémentaire ne pourra être ajoutée qu'au volume 2. En comparant avec ce qu'on trouve sur windows par exemple, le groupe c'est le disque dur physique, le volume c'est une partition du disque physique. Le montage en multivolume sur un même groupe, même s'il est possible, ne présente que très peu d'intérêt et c'est pour des applications particulières. Sauf erreur, je ne pense pas que vous soyez dans ce cas. Bref, vous pouvez remplacer le disque de 2To par un 4To et garder les deux volumes. Cependant, il serait plus logique de sauvegarder vos données, supprimer le volume 2, étendre le volume 1 sur toute la capacité dispo et restaurer vos données.

D'abord je ne comprends pas pourquoi vous installez les disques neufs dans le NAS neuf si au final vous y mettez les disques de l'ancien NAS. Ce n'est pas bien logique. Ensuite, il faut savoir que Synology a changé la taille de la partition système qui est passée de 2.3G à 7.9G. Pour pouvoir passer sur la nouvelle taille de partition, il faut tout réinstaller. Et c'est important car il est fort probable que les prochaines moutures de DSM exigeront une partition système à 7.9G ce qui obligera à faire d'importantes opérations sur les NAS encore en 2.3G. Or, en migrant les disques, vous migrez aussi les partitions existantes, dont la partition en 2.3G Enfin, la migration des disques est envisageable si elle se fait entre modèles de NAS relativement proches et dans la même gamme de produits. Ce qui se passe avec cette manip c'est que vous migrez aussi toutes les limitations du NAS d'origine. Même si c'est faisable sur le papier, il n'est pas recommandé de migrer les disques et il est préférable, surtout lorsque c'est facilement réalisable ce qui est votre cas où vous avez un NAS neuf et des disques neufs, de partir sur une installation neuve. Et puis la méthode via hyperbackup vous permet de retrouver facilement les données et les applis sans avoir à tout paramétrer. Vous avez demandé qu'elle était la bonne méthode, je vous l'ai donnée selon mon expérience. Libre à vous ensuite de suivre mon conseil, ou pas.

IP bloquée par DSM ?

Aucune des deux. Mieux vaut partir sur une installation neuve en migrant les données via hyperbakup. Vous avez une kb synology qui explique le processus : https://kb.synology.com/fr-fr/DSM/tutorial/How_to_migrate_between_Synology_NAS_DSM_6_0_Hyper_Backup

Parano on On peut toujours tout bloquer et la meilleure des défenses c'est de ne pas connecter le NAS vers l'extérieur. Ca limite pas mal les risques d'intrusion. Parano off Comme l'a dit @StéphanH, rares sont les ip publiques fixes. Seuls Free à ma connaissance donne des IP fixes à ses clients. Les autres les accordent parfois, moyennant quelques Euros et ce n'est pas valable pour tous les contrats. Par ailleurs, il est rare que des clients se connectent à partir d'un point unique. Les smart et tablettes, appareils nomades par excellence, peuvent aussi se connecter et ils auront forcément des ip différentes. Si vous voulez vous amuser à donner des droits à chaque ip à partir de laquelle vos clients se connectent, libre à vous, mais vous allez vite vous rendre compte que c'est ingérable. Il est bien sûr important de filtrer les IP et bloquer les zones géographiques est déjà une bonne approche, mais vous ne pouvez pas bloquer toutes les ip de la terre sans que vous ne vous retrouviez pas bloqué un jour ou l'autre. Ce qui est infiniment plus important c'est de mettre en place des règles de blocage qui interdiront automatiquement les IP dont les tentatives de connexion ont échoué. Certes, il y en aura qui voudront se connecter, mais il seront bloqués au bout de x tentatives. Tout ceci est expliqué et commenté dans le tuto sur la sécurisation. En clair, il faut être conscient que si vous ouvrez des accès au NAS, vous donnez des opportunités pour des tentatives d'intrusions. Le tout est de bloquer ces tentatives pour qu'elles n'aillent pas plus loin en bloquant les IP concernées. Et comme je l'ai dit plus haut, ça n'a rien à voir avec le mode de connexion (quickconnect ou Ip ou ndd). C'est à vous de soigner votre protection avec tout d'abord des mots de passe forts (c'est la première protection), un parefeu bien paramétré mais pas trop restrictif, et des règles de blocage plus ou moins sévères selon ce que vous souhaitez en terme de contrôle d'accès. Je ne vous conseille pas toutefois d'établir des règles qui bloquent à la première tentative échouée sinon vos clients se feront jeter à la moindre erreur de saisie.

Lien vers le tuto : C'est un peu le but de pouvoir se connecter avec les bon identifiants non ? Je ne vois pas le problème. Une connexion via quickconnect n'est pas plus restrictive. Ce n'est qu'une question de mode de connexion qui diffère, pas la limitation d'accès. Si vous voulez des restrictions, c'est au niveau du parefeu et du blocage des accès qu'il faut agir. Mais à vouloir trop bloquer, on peut se retrouver coincé et il ne faudrait pas vous bloquer vous même 😉 Tout est affaire de compromis. Pour vous connecter avec un ndd sans passer par le port des applications (nas.ndd, audio.ndd, photo.ndd, domo.ndd, etc...), c'est effectivement avec le reverse proxy qu'il faut le faire.

Oui bien sûr ! Pour cela il faut passer par le serveur DNS pour créer un serveur local qui sera en mesure de résoudre vos ndd qui seront bien entendu les mêmes que ceux que vous utilisez à partir du WAN. Si toutefois votre FAI autorise le loopback (à ma connaissance il n'y a que free), vous pourriez vous en passer mais ce n'est pas du tout la bonne option car elle sollicite le CPU du routeur qui doit rediriger les flux sortants vers le LAN. Vous trouverez un tuto sur le serveur DNS dans la section des tutoriels.

Ca n'a pas de rapport. Le test badblocks permet de vérifier la surfacer du disque. Il est toujours préférable d'effectuer un test des disques, quelles que soient leurs marques, avant de les mettre en production.