dd5992

Bonjour, J'ai déjà rencontré un problème qui ressemble au tien. Mon reverse proxy est porté par mon DS413 et le problème (avec la même page "Synology - Désolé ...") apparait parfois quand je me connecte par le reverse proxy à mon DS411J de l’extérieur de mon réseau. Je pense que ça peut être lié à un timeout du fait de la faible puissance du proc du DS411J. En fait, quand ça se produit et que j'obtiens la page "Synology - Désolé ..." je fais une actualisation de la page (j'utilise firefox) et la plupart du temps, ça décoince, sinon je recommence et j'arrive à me connecter au bout de quelques fois. Est-ce la même chose pour toi?

Si tes deux équipements (Syno et caméra) sont sur ton réseau local il n'y a pas besoin de redirection à implanter dans ton routeur. Les redirections du routeur ne s'appliquent que pour des connexions d'internet vers des équipements de ton réseau local. Si ton SS ne voit pas ta caméra, il doit y avoir un autre problème (non compatibilité, pare-feu, ...).

Non, j'ai aussi cette configuration (avec un routeur RT2600ac et une Freebox). si tu vides complètement l'onglet Accès externe / configuration du routeur du panneau de configuration, il n'y a pas d'interférence entre le syno, le routeur et la box de ce point de vue. C'est le routeur qui a la main.

Sur ce forum, nous sommes plutôt méfiant concernant la configuration du routeur à partir de DSM et l'utilisation de UPnP. Pour maitriser complètement la configuration, nous préférons configurer directement les équipements par leur propre interface de gestion. Celà dit, il me semble possible que lors de la config du routeur par DSM, le syno voie tes deux routeurs (le Xiaomi Mi router 3 et la livebox play) et soit perdu de ce fait. Comme tu as mis ton routeur Xiaomi dans la DMZ de la livebox, la configuration peut se concentrer sur le Xiaomi, car la livebox se comporte de manière transparente (exception faite peut-être de l'activation ou non de IPV6).

C'est bien la redirection de port qui va régler le problème. Il faudra aussi appliquer les recommandations pour sécuriser l'accès au NAS distant. Quel est l'opérateur et le modèle de la Box distante?

Oui, c'est ça.

Je crois que j'ai une piste. Dans mes tests, j'ai regardé le log des accès à mon syno et j'ai trouvé une indication de l'IP utilisée pour la connexion avec QuickConnect. Il s'agit de la 92.184.96.45, c'est à dire du même bloc que celle que tu mentionnes dans ton premier post (je me suis connecté de mon portable avec un abonnement Orange). Mon interprétation : QuickConnect t'indique les changement d'adresse IP de l'émetteur de la connexion vers ton syno et non l'adresse de ton syno. Tu peux dormir tranquille.

Je ne sais pas car je n'utilise pas QuickConnect. Pour tester, j'ai configuré un de mes Syno avec QuickConnect. Ça fonctionne mais je n'ai pas le genre de notif que tu as et je ne vois pas comment voir l'IP qu'utilise QuickConnect. D'un autre côté, si tout fonctionne normalement est-ce la peine de s’inquiéter ? 😉

Il doit y avoir eu un glitch au niveau de la mise à jour de ton IP dans DSM car si la première adresse (la plus ancienne que l'on voit dans ta capture) est bien une adresse de Free (testé avec www.iplocation.net), la dernière est une adresse d'Orange. Si tu relances la mise à jour de ton adresse dans DSM, est-ce que ça redonne l'IP initiale?

Depuis Mai dernier, Free a généralisé IPV6 qui n'est plus désactivable. En fait les messages IPV4 sont encapsulés dans des messages IPV6. Tu as donc à la fois une IPV4 et une IPV6. Ce qui est étonnant c'est que ton IPV4 ait changé. Les cas que je connais qui conduisent à un changement d'IP chez Free (il y en a peut-être d'autres) : passage de l'ADSL à la fibre. Tu récupères une nouvelle IPV4 à cette occasion. demande d'une IPV4 "full-stack" pour disposer de tous les ports. Ils te fournissent alors une IP provenant d'un pool spécial prévu à cet effet. S'est-il passé quelque chose comme ça pour toi? Autre point bizarre : l'adresse IPV6 que tu as postée dans ton message n'est pas une adresse de Freebox. En fait, Free t'alloue un "bloc" d'adresses IPV6 avec un masque de 61bits qui sont du type 2a01:e0a:xxxx:yyyy::/61 . Tu disposes de 8 sous-réseaux possibles de "largeur" de 64 bits. Par défaut, seul le premier est utilisé. L'adresse IPV6 de ta Freebox est la première de ce bloc, donc du type 2a01:e0a:xxxx:yyyy:0000:0000:0000:0001 ou en abbrégé2a01:e0a:xxxx:yyyy::1. Ce n'est pas non plus une adresse IPV6 de Syno, car celles-ci sont construites à partir du préfixe fourni par Free (2a01:e0a:xxxx:yyyy) suivi par une partie construite à partir de l'adresse MAC du Syno en intercalant ff:fe , ce qui donnerait une adresse du type 2a01:e0a:xxxx:yyyy:zzzz:ttff:feuu:vvvv , ce qui n'est pas le cas. Je ne vois pas d'où peut venir ton adresse IPV6.

C'est vrai. Je ne pense pas que ce soit gênant, mais peut être nos amis auront-ils un autre avis. A voir.

Pour le renouvellement (et aussi pour la création initiale), il faut que le port 80 soit ouvert pour chacun des domaines choisis. Pour augmenter la sécurité, j'ai mis une règle dans mon pare-feu qui n'ouvre ce port que pour les deux IP sources utilisées par Let's Encrypt pour le renouvellement (64.78.149.164 et 66.133.109.36), ce qui me permet d'éviter toute manip pour le renouvellement (2 mois, ça passe vite!).

D'autant plus que ta manip, @Triphon769, a dû modifier les liens partagés que tu voulais conserver !

Tu peux l'éviter par cette méthode si tu connais la liste exhaustive des domaines dont tu as besoin. Mais si tu en ajoutes un (ou supprime un) il faut redemander un certificat tout neuf avec tous les noms de domaine. L'intérêt est tout de même le renouvellement automatique qui fonctionne dans ce cas.

Pour le certificat Let's Encrypt, un seul certificat peut servir pour plusieurs domaines. Il suffit d'en préciser la liste lors de la demande de certificat en mettant comme nom de domaine www.ndd.tld par exemple, et en listant les autres noms demandés ("files.ndd.tld,audio.ndd.tld,video.ndd.tld par exemple) en les séparant par une virgule dans le champ "Autre nom de l'objet". Si tu as déjà demandé un certificat avec un seul nom, il faut en redemander un avec tous les noms et supprimer le précédent.

Un grand merci à @maxou56, sa solution fonctionne parfaitement. J'en connais d'autres qui vont en profiter ...

Merci @maxou56, j'essaie ça dès que possible.

Si j'avais à faire ça (j'ai aussi un DS413 configuré aussi avec 4 disques en RAID5 SHR) je passerai par la 6.0 (la dernière 6.0 doit être celle que tu indiques) car elle introduit pas mal de changements, puis j'activerais le téléchargement automatique de mise à jour pour voir quelle version suivante in propose, et j'appliquerais successivement celles qu'il propose. Note que la dernière version est DSM 6.2.2-24922 Update 2, qui tourne actuellement sur mon DS413.

Bonjour à tous, Est-ce que quelqu'un a réussi à trouver comment créer un second compte admin sur un routeur Syno si on a pas eu la présence d'esprit de le faire lors de l'install ? Sinon j’essaierais bien l'idée d'@Einsteinium d'analyser le script d'installation, mais il me faudra prendre mon courage à deux mains...

Tu veux dire pour l'IP source? si oui, ça vient peut-etre du fait que tu utilises le DDNS de synology et que tu passes par une indirection chez eux. C'est quand même bizarre car j'ai testé avec avec la mienne qui est en XXX.diskstation.me qui se résout directement en mon adresse IPV4, donc en France. Tu confirmes que tu n'utilise pas quickconnect? Peux tu tester ton adresse host.synology.me avec un DNS lookup (par exemple ici https://dnschecker.org/all-dns-records-of-domain.php) et nous dire si l'adresse renvoyée est bien la tienne? Tu peux aussi vérifier si l'adresse IP source utilisée pour tes tests est bien reconnue par les bases de données de géolocalisation comme française en testant ici : https://fr.geoipview.com/ En ayant ton propre nom de domaine, tes requêtes sont envoyées directement de l'émetteur vers ton adresse IP sans redirection. Tu peux donc filtrer dans ton pare feu les IP que tu acceptes, par exemple celles d'un pays donné. Le DDNS sert en général quand tu as une adresse IP qui varie dans le temps. Avec la Freebox en dégroupé, tu as une adresse fixe. Donc pas besoin de DDNS.

Bonjour, Il faut comprendre que les choses fonctionnent différemment en IPV4 et IPV6 et il semble que tu ais les deux (les DDNS de chez Synology fournissent les deux adresses si ton syno a la connectivité IPV6). En IPV4 tu as besoin d'une redirection de chacun des ports utilisés par tes requêtes, comme indiqué dans le tuto de Fenrir. En IPV6, la Freebox, comme toutes les box, se comporte comme un simple routeur et envoie toutes les requêtes directement vers la machine dont l'adresse est spécifiée, sans filtrage, sauf si le firewall est actif auquel cas la Freebox ne laisse rien passer. Si les deux protocoles sont actifs (les deux adresses renvoyées par un nslookup), la première qui marche est utilisée, ce qui explique qu'avec IPV6 activé et sans redirection dans la freebox, ça passait alors que non si tu désactivais IPV6. Tu peux résoudre ce problème en ayant ton propre nom de domaine. Alors, les requêtes arriveront directement de l'émetteur vers ta box, sans passer par un intermédiaire.

Il faut comprendre que lorsque tu émets une requête sur un site, ta machine a une IP et envoie le message au destinataire par un port donné (port source), étant entendu que la réponse devra être renvoyée à cette adresse IP et à ce port. Ton message est envoyé à l'adresse IP du destinataire à un port donné (destination), fonction du service que tu veux atteindre. En pratique, il est rare de spécifier un filtrage d'après le port source. Il est beaucoup plus courant de filtrer par le port de destination. L'utilisation de la liste d'applications intégrées est une facilité qui te facilitera le choix du ou des ports à bloquer.

Désolé. 😕 Je devrais pourtant le savoir.

Si tu entres l'url sans protocole, le protocole par défaut est http sur le port 80. Pour que ça fonctionne tu dois rediriger en entrée de ton routeur le port 80 vers ton syno sur le port 80. Ensuite deux possibilités : Si tu veux rester en mode non crypté, et donc sous http, tu peux utiliser une règle reverse-proxy du type http://xxx.ndd.tld:80 => le service de ton syno. Si tu veux forcer le mode https (donc crypté), tu peux forcer une redirection vers le https en utilisant un fichier .htaccess - voir ici (recherche la chaine ".htaccess" dans le tuto) :

D'après Wikipedia : "Par défaut deux ports sont attribués (well known ports) pour les connexions FTP : le port 21 pour les commandes et le port 20 pour les données". Je pense qu'il faut faire la connexion avec le port 20 et bien sûr modifier côté du client FTP le numéro des ports utilisés. Plus simple, tu peux demander dans ton interface de gestion Free une adresse IP fixe V4 full-stack (Menu Ma Freebox).