Kramlech

Vous êtes certain de cela ? Je viens de faire le test, une photo mise dans le répertoire photo du NAS se retrouve immédiatement visible dans Photo Mobile ...

Remarque 6 : "Pour obtenir ou renouveler le certificat de votre domaine personnalisé, assurez-vous que le port 80 a été transmis à votre NAS. Cette limitation ne s'applique pas à Synology DDNS." Cela signifie que si on utilise un nom de domaine issu du DDNS Synology, on n'a pas besoin d'ouvrir le port 80. Par contre si on utilise un domaine "standard" (fourni par OVH par exemple), il faut bien ouvrir le port 80 ... Remarque 7 : "Synology DDNS prend en charge DNS-01 (à partir de DSM 6.0) et la validation HTTP-01 avec Let's Encrypt. Le domaine personnalisé ne prend en charge que la validation HTTP-01 avec Let's Encrypt. Reportez-vous à cet article pour plus d'informations sur les méthodes de validation. " Ceci explique pourquoi on n'a pas besoin d'ouvrir le port 80 en cas de DDNS Synology (validation DNS-01). C'est ce que fait l'utilisation de la méthode acme.sh (qui permet entre autre de générer des certificat wilcard), ce qui permet de s'affranchir de l'ouverture du port 80. Mais cette méthode est un peu plus lourde à mettre en oeuvre (voir les tutos associés ...)

Est-ce que tu parles de Synology Photos ?

C'est précisément le coeur de ma question (même si je ne l'avais peut être pas très bien posé !). Ce serait intéressant que d'autres personnes fasse le test pour vérifier s'il s'agit d'un arctefact lié à la mise en place de la configuration, ou si c'est une fonctionnalité perenne. Dès que je le pourrai, je vais redémarrer le NAS et essayer de faire un rafraichissement du certificat pour voir si cela fonctionne toujours ... On peut très bien avoir à ouvrir un petit nombre de services (non évolutif) et vouloir passer par le Reverse Proxy en précisant de manière explicite les NDD autorisés dans le certificat, et sans vouloir mettre en place la mécanique du wildcard ...

Bonjour Je suis en train de paramétrer une NAS (pour une petite entreprise), et je voudrais avoir une maintenance la plus simple et légère possible, tout en ayant la sécurité maximum. La question que je voudrais poser concerne l'obtention d'un certificat Let's Encrypt (information pour la suite, je n'ai pas particulièrement besoin d'un certificat wilcard). J'ai un nom de domaine chez OVH, qui pointe bien sur la box derrière le NAS. Je vais passer par un reverse proxy, et donc n'ouvrir que le port 483. Pour le certificat, je voudrais que le renouvellement se fasse de manière la plus automatique possible. J'ai deux solutions : passer par le renouvellement standard du certificat, mais cela demande à laisser ouvert le port 80 continuellement (je ne veux pas à avoir à ouvrir ce port manuellement tous les trois mois), soit passer par la solution avec acme.sh en docker. C'est cette dernière solution que j'ai mis en œuvre sur mon NAS perso, qui marche assez bien, mais il arrive quelquefois que cela plante, et qu'il faille faire quelques évolutions (ce n'est pas grave pour un NAS perso, mais plus gênant pour le NAS d'une entreprise). J'ai donc fait le test tout simple suivant : Rediriger le port 80 vers le NAS Au niveau du pare feu, avoir une règle qui bloque tous les appels au port 80 Demander via le DSM le renouvellement du certificat ... Et ça marche !!! Que pensez vous de cette solution ? Est-ce que cela expose particulièrement le NAS ? Est-ce que cela peut être une solution perenne ?

Est-ce que tu voudrais, ce ne serait pas une HomePage (page web qui donne les liens vers toutes les applications accessibles)? Dans ce cas, tu peux regarder du cote de Dashy (https://dashy.to/)

Si je comprend bien tu souhaites avoir une HomePage qui te permet d'accéder à toutes applications ? Il y a Dashy qui existe et qui peut s'installer dans un docker (https://dashy.to/)

Si je comprend bien, tu avais un seul disque d'installé, et tu viens d'en ajouter un deuxième ? Si c'est bien cela, ce que tu as fait, c'est de faire passer ton groupe de stockage de "SHR sans protection de données" à "SHR avec protection de donnée". Au final tu auras donc l'équivalent d'un Raid1, mais tu n'auras pas agrandi la taille de ton groupe. Pour avoir plus de place, il aurait fallu, qu'avec ton nouveau disque, tu crées un nouveau groupe de stockage en SHR sans protection de données... Grillé par @Eric Plontz !!!!

Maintenant, entre un DS723+ et un DS713+, il y a ... dix ans d'écart ! Les deux ne concourent donc pas dans la même catégorie. Tout dépend de ce que tu veux faire tourner sur ton NAS...

Tu veux accéder à ton NAS depuis l'extérieur ? Est-ce que tu as suivi le tuto [TUTO] [Pas-à-pas] Sécurisation du NAS - pour DSM 7 ?

Pour les ordinateurs, je ne sais pas, mais pour les iPhone ( pour l’avoir fait récemment), c’est on ne peut plus simple. Pour basculer la configuration complète d’un iPhone sur un autre, il suffit de la se mettre côte à côte, d’appuyer sur un bouton, et le transfert se fait tout seul et automatiquement (parametrage système, applications, etc ..). Il ne reste plus qu’à ressaisir les identifiants dans certaines applis, et le tour est joué. C’est sûr que comparé à Windows ….

Ce n’est pas un peu contradictoire ?

Tu as forcément changé quelque chose … ta box !!! Et tu n’as pas répondu aux questions de Lelolo… Il faut reprendre les chose à la base : Tu essaies de te connecter depuis l’extérieur avec l’IP de ta box. Et si ça marche, Tu fais un ping <ton nom de domaine> et tu vérifies que l’IP retournée est bien celle ta ta box.

Tu n’as pas de code ou de message d’erreur ?

Je suis désolé mais ce n’est pas ce que je comprend dans ton premier message : Et c’est parce que l’erreur me paraissait tellement énorme que j’ai utilisé un mode un peu ironique. Désolé si je t’ai vexé…

En fait, j’avais mis un point d’interrogation pour le fun, tellement cela me paraissait évident. C’était une affirmation. La syntaxe de base est : ssh <user>@IP Remarque : sous Linux, c’est root et pas rooth. Ton problème ne viendrait pas de la ?

« xxx » ne devrait pas être un nom de user au lieu d’un nom de machine ?

Pour pouvoir te conseiller les bons outils, il faudrait mieux connaître tes besoins… Est ce que tu nous expliquer pourquoi tu veux synchroniser des dossiers entres les deux disques de ton NAS ? ( si c’est bien ce que tu veux faire).

Et bien, il faut que tu te connectes avec ton user administrateur, et que tu donne les droits à ton nouvel user d'utiliser File Station ...

D'après ce que tu dis, tu n'as pas fait que installer le DSM, tu as aussi du jouer avec les droits et créer un nouvel user non administrateur ? Et c'est ce user que tu utilises ? C'est bien cela ?

Pour pouvoir te répondre, il faudrait d'abord bien bien comprendre ta question : quel rapport entre le fait que tout le flux réseau du client passe par le serveur VPN (donc par ton NAS), la sécurisation des connexions sur le réseau public et la compromission du NAS ?

C'est la colonne "Nom" qui est réduite à sa plus simple expression (1 caractère) : on ne vois que la première lettre du nom de la colonne (N) .. Tu élargis la colonne et le nom réapparaitra en entier !!! 😄 Tu n'est pas le premier à qui ça arrive, mais on ne sais pas vraiment ce qui provoque cela.

Pour qu'on puisse te répondre, il faudrait que tu nous montres comment tu as configuré la console d'administration Synology Drive, et comment tu as configuré les clients sur les PC ... Parce que là, j'avoue que ma boule de cristal s'est mise en grève 😄 Attention, une sauvegarde n'a rien à voir avec une synchronisation ...

Une IP, ce n'est qu'une série de chiffres, tu ne peux pas la cacher. Si je tape au hasard l'IP 123.132.145.21, une recherche sur Whois me donne des informations sur cette IP. C'est comme des coordonnées GPS : personne ne peut m'interdire d'aller voir à quel point du globe correspond des coordonnées GPS. A partir du moment où tu es connecté à Internet, tu as une adresse IP, et il est impossible d'interdire a quelqu'un de venir "frapper à la porte" de cette IP. Ce que tu veux, c'est que depuis ton smartphone, seule l'application Drive se connecte au VPN, et que le reste du flux internet passe par le chemin normal ? Alors là, il va falloir que d'autres intervenants plus compétant que moi passent par ici ... Désolé ...

Si ton fournisseur d'accès ne te propose pas d'avoir une IP fixe, le DynDNS est la solution la plus simple (il existe d'autres solution en passant par un serveur relai, mais bien plus complexes). Aucune idée, personnellement j'utilise WireGuard Le serveur VPN peut être actif continuellement (c'est d’ailleurs son rôle), la connexion est initiée à la demande du client. Tu as donc la main sur ton smartphone pour lancer ou non cette connexion ...