MilesTEG1

J’ai réclamé mon serveur via les paramètres et pas via le site Plex.tv/claim Ça a mouliné un peu et après c’est reparti comme en 40.

Pas de soucis particulier pour récupérer la MAJ 🙂

Probablement pour que les IP sources soient correctement vues, sinon ça risque d'être l'IP du réseau bridge... (j'ai pas le terme exact en tête pour parler de ça. Mais une IP comme ça : 172.26.0.1

Bonsoir, @.Shad. petit retour, la variable SSMTP_TLS=NO fonctionnait pour gmail c’est étrange… je l’ai passée à YES et ça fonctionne encore. pour ovh , j’ai laissé le port 587 et les deux variables à YES et c’est passé, ça fonctionne 😁 Merci 🙏🏻

Je suis avec iOS 😅 donc je crois que gotify c’est pas pour moi 😅 Ok merci pour les infos, je re testerais avec. J’ai jamais dis que c’était illisible mais que c’était pas pratique du tout…

Bonsoir à tous, Alors j’ai fait je ne sais pas combien de tests avec le fail2ban de crasymax et celui intégré à swag. Le fail2ban de crazy-max : Je peux envoyer des e-mails nativement (il y a ssmtp dans le conteneur et on lui passe des variables d’environnant pour le configurer) Il va bien chercher les différents fichiers dans jail.d. MAIS : tout ce que je mets dans la section DEFAULT de mon jail.local n’est absolument pas pris pour valeur par défaut pour les fichiers .local du jail.d ! Je suis donc obligé de faire du copier coller des paramètres pour l’e-mail, les durées de ban etc… Toutes les prisons que je définie dans le jail.local ne sont pas prises en compte… Pfff… Le fail2ban intégré à SWAG : Je ne peux pas envoyer de mail directement sans modifier la commande de send mail dans un fichier sendmail-common.local (copie du .conf). Tout ça parce que ce conteneur (swag) n’inclue pas ssmtp… Impossible de faire prendre en compte les fichiers .local dans le dossier jail.d… c’est comme s’ils n’existaient pas … MAIS : la section DEFAULT semble garder les valeurs pour toutes les prisons qui suivent… les prisons définies dans ce jail.local sont bien prise en compte. Purée que c’est lourd… Bref, verdict, le fail2ban inclus dans SWAG me semble pas du tout identique (pour ne pas dire moisi) à celui fourni par l'image de Crazy-Max... sans parler de l'absence de ssmtp pour envoyer les emails via quelques variables d'environnement... Quoiqu'il en soit, je suis preneur de configuration pour l’envoi d’émail via sendmail sur un serveur smtp ovh (le mail inclus avec le nom de domaine que j’ai acheté), et aussi de celle pour le smtp d’infomaniak. Car aucun des réglages que j’ai tenté n’a fonctionné, tout du moins avec le f2b de crazy-max. Les possibilités sont limitées à ces variables-là : services: fail2ban: image: ghcr.io/crazy-max/fail2ban:latest # https://github.com/fail2ban/fail2ban ... environment: ... - SSMTP_HOST=smtp.gmail.com - SSMTP_PORT=587 # Pour gmail : 587 - SSMTP_HOSTNAME=Docker-Fail2ban # Ce sera le nom qui sera affiché dans les emails - SSMTP_USER=mon-mail@gmail.com - SSMTP_PASSWORD=MDP-application # Pensez à générer un mot de passe application si la 2FA est activée - SSMTP_TLS=NO # Pour gmail : YES ou NO ?? Ça fonctionne avec NO ?! - SSMTP_STARTTLS=YES # Pour gmail : YES ... Les paramètres que j'ai eu de OVH pour le serveur SMTP sont : le serveur : ssl0.ovh.net le port de connexion 465 Ne cochez pas la case « Exiger l'authentification par mot de passe sécurisé (SPA) lors de la connexion ». Rien de plus... J'utilise ces infos avec succès avec Tautulli pour envoyer des mails de newsletter. J'utilise aussi mes clients mails (Spark) pour récupérer les mails avec succès. Mais je n'arrive pas à déterminer quelle combinaison de SSMTP_TLS et de SSMTP_STARTTLS utiliser... Je ne sais même pas si le serveur répondrait sur le port 587... Sur ce, ++

Pour le DNS Server, c'est bien ce que je t'avais dis dans un autre fil, avec Adguard Home, il n'est plus nécessaire si tu n'en faisais que la résilution locale. Mais Threat Prevention / Safe acces, ce sont deux applications dédiées sécurité et contrôle parental. C'est pas vraiment la même utilisation que le serveur DNS anti-pub qu'est AdGH.

Je pense que tu peux désinstaller le dns server du routeur , car adguard home peut réécrire les url (voir section filtre , réécriture url) et donc faire office de serveur dans local en plus de serveur dns tout court 😊

Je te conseille de regarde ce site : https://diskprices.com/?locale=fr&condition=new&disk_types=external_hdd,internal_hdd (Bon c’est pour les différents Amazon, mais ça peut aider à choisir ☺️) perso j’ai pris un Seagate expansion 14To dans lequel le disque s’est avéré être un EXOs 14 To. Pour le moment rien a redire ☺️

D'ailleurs, tu penses être protégé de quoi ? Je rappelle que le SHR (peut importe la tolérance) ce n'est pas une sauvegarde !

Oué, mais ces NAS là n'ont pas d'iGPU pour le transcode de Plex...

Il faut préciser que macvlan est le nom du réseau macvlan 🙂 Dans mon docker-compose; c'est macvlan-network : --- version: "2.4" services: adguardhome_macvlan: image: adguard/adguardhome:latest # https://github.com/AdguardTeam/AdGuardHome # https://github.com/AdguardTeam/AdGuardHome/wiki/Docker container_name: adguardhome_macvlan hostname: AdGuard-Home--DS920Plus # Permet d'avoir un nom pour le conteneur dans AdGuard lui même (sinon c'est une chaine aléatoire) environment: - PUID=1999 - PGID=100 - TZ=Europe/Paris - LANG=fr_FR.UTF8 - LANGUAGE=fr_FR.UTF8 # --------------------------------------------------------------------------------- # Le label ci-dessous permet à Watchtower de faire les mises à jour automatiquement # Cela peut-être supprimé si Watchtower n'est pas utilisé. labels: - "com.centurylinklabs.watchtower.enable=true" # --------------------------------------------------------------------------------- # Le label ci-dessous sert à AutoHeal pour redémarrer le conteneur s'il devient Unhealthy... # - "AUTOHEAL_CONTAINER_LABEL=autoheal" # --------------------------------------------------------------------------------- volumes: - "/volume1/docker/adguardhome_macvlan/work:/opt/adguardhome/work" - "/volume1/docker/adguardhome_macvlan/conf:/opt/adguardhome/conf" # ports: # - "953:53" # - "967:67/udp" # - "968:68" # - "8080:80/tcp" # - "9443:443/tcp" # - "9853:853/tcp" # - "3030:3000/tcp" networks: macvlan-network: ipv4_address: 192.168.2.210 # Mettre ici l'IP macvlan définie dans les scripts restart: unless-stopped healthcheck: test: "/bin/netstat -pant | /bin/grep 53" interval: 45s timeout: 30s retries: 3 networks: macvlan-network: # Ce réseau devra bien entendu être créé avant avec le script external: true Je t'avais dis de faire attention à ce que te donne les calculateurs. Ta plage n'est pas correcte, c'est une histoire d'octet je pense... https://www.cidr.eu/en/calculator/+/192.168.64.245/28 La plage que tu dois utiliser n'est pas 192.168.64.245/28 mais 192.168.64.240/28, j'avais eu un soucis similaire et j'avais du revoir le début de la plage et donc aussi la fin.

On te conseille donc d’opter pour du shr et pas pour le shr-2 😇

Salut, La plage que tu demandes n’est pas possible je pense. La plus proche que j’obtiens avec le calculateur c’est : .97 à.111 SubnetCIDR notation Network Range 192.168.64.96 – 192.168.64.111= 16 unique addresses Usable Range 192.168.64.97 – 192.168.64.110 https://www.cidr.eu/en/calculator/+/192.168.64.96/28

Bonjour, 1) il est à 716€ sur Amazon ce matin. C’est sur quel site à 800€ ? donc la je dirais un peu cher à 800€. La différence peut te permettre d’acheter de la ram supplémentaire. 2) le bruit c’est très subjectif et propre à la perception de chacun. Mais sache que plus tu mets de disques plus c’est bruyant et plus ça chauffe. j’ai un Seagate (ok pas la même marque donc pas trop comparable) 14To (voir ma signature) et il fait un peu de bruit quand même… 3) lent ?! Il a quand même des ports rj45 GB ! Ça fait en moyenne dans les 100Mo/s quand même… je ne qualifierais pas ça de lent. après si tu as un switch adapté ; tu peux faire de l’agrégation de lien , pour peu que le matos (ordi) aient aussi des cartes très hauts débit…

Bon et bien ça ne fonctionne pas XD Va falloir que je fasse une issue quand même je pense...

Je déconseille fortement de jouer avec les permissions des dossiers et dossiers partagés, c’est le risque que ça déconne fortement un de ces 4…

@.Shad. J'ai constaté un truc assez pénible avec le Fail2ban intégré à SWAG : les fichiers de prisons fail2ban/jail.d/*.local donc tous ceux que j'ai mis dans le dossier fail2ban/jail.d/ne sont pas chargé ! Pour réussir à avoir mes jails de pris en compte, il a fallu que je mette le contenu des fail2ban/jail.d/*.local dans le fichier fail2ban/jail.local après celles concernant nginx … sinon ça charge pas du tout… Savez vous pourquoi ? C’est quand même moins pratique d’aller chercher tout en bas du jail.local les infos à modifier que de prendre le fichier *.local dédié… edit : Ajour du jail.local (avant ajout des jails supplémentaires) ## Version 2020/05/10 - Changelog: https://github.com/linuxserver/docker-swag/commits/master/root/defaults/jail.local # This is the custom version of the jail.conf for fail2ban # Feel free to modify this and add additional filters # Then you can drop the new filter conf files into the fail2ban-filters # folder and restart the container ##============================================================================================== ## ## ## Sources utilisées pour personnaliser ce fichier et ceux dans les sous-dossiers ## ## https://www.linode.com/docs/guides/using-fail2ban-to-secure-your-server-a-tutorial/ ## ## ## ## https://www.linuxtricks.fr/wiki/print.php?id=40 ## ## ## ##============================================================================================== [DEFAULT] # "ignoreip" can be an IP address, a CIDR mask or a DNS host. Fail2ban will not # ban a host which matches an address in this list. Several addresses can be # defined using space separator. ignoreip = 127.0.0.1/8 ::1 10.0.0.0/8 192.168.0.0/16 172.16.0.0/12 # Changes the default ban action from "iptables-multiport", which causes issues on some platforms, to "iptables-allports". banaction = %(banaction_allports)s # "bantime.increment" allows to use database for searching of previously banned ip's to increase a # default ban time bantime.increment = true # "bantime.maxtime" is the max number of seconds using the ban time can reach (doesn't grow further) bantime.maxtime = 5w # "bantime.factor" is a coefficient to calculate exponent growing of the formula or common multiplier bantime.factor = 24 # "bantime" is the number of seconds that a host is banned. bantime = 1h # A host is banned if it has generated "maxretry" during the last "findtime" # seconds. findtime = 24h # "maxretry" is the number of failures before a host get banned. maxretry = 5 # ######################################## # eMail config destemail = mon-email@gmail.com dest = mon-email@gmail.com sender = mon-email@gmail.com sendername = Fail2Ban (SWAG) # ban & send an e-mail with whois report and relevant log lines # to the destemail. action = %(action_mwl)s # Notes.: command executed on demand at the first ban (or at the start of Fail2Ban if actionstart_on_demand is set to false). actionstart = printf %%b "Subject: [Fail2Ban (SWAG)] <name>: started on <fq-hostname> Date: `LC_ALL=C date +"%%a, %%d %%h %%Y %%T %%z"` From: <sendername> <<sender>> To: <dest>\n Hi,\n The jail <name> has been started successfully.\n Regards,\n Fail2Ban (SWAG)" | <mailcmd> # Notes.: command executed at the stop of jail (or at the end of Fail2Ban) actionstop = printf %%b "Subject: [Fail2Ban (SWAG)] <name>: stopped on <fq-hostname> Date: `LC_ALL=C date +"%%a, %%d %%h %%Y %%T %%z"` From: <sendername> <<sender>> To: <dest>\n Hi,\n The jail <name> has been stopped.\n Regards,\n Fail2Ban (SWAG)" | <mailcmd> # ######################################## backend = auto [ssh] enabled = true port = 99 # Valeur du port si changer, sinon ssh filter = sshd logpath = /log/host_ssh_auth.log [nginx-http-auth] enabled = true filter = nginx-http-auth port = http,https logpath = /config/log/nginx/error.log [nginx-badbots] enabled = true port = http,https filter = nginx-badbots logpath = /config/log/nginx/access.log maxretry = 2 [nginx-botsearch] enabled = true port = http,https filter = nginx-botsearch logpath = /config/log/nginx/access.log [nginx-deny] enabled = false port = http,https filter = nginx-deny logpath = /config/log/nginx/error.log [nginx-unauthorized] enabled = true port = http,https filter = nginx-unauthorized logpath = /config/log/nginx/unauthorized.log Et un fichier dans fail2ban/jail.d : ## /volume1/docker/swag_macvlan/fail2ban/jail.d/vaultwarden-auth.conf ## See : https://github.com/dani-garcia/vaultwarden/wiki/Fail2Ban-Setup#synology-dsm ## Version 2022/08/06 # Fail2Ban jail configuration for vaultwarden # Requires modification to Vaultwarden's settings # https://github.com/dani-garcia/vaultwarden/wiki/Logging#logging-to-a-file [vaultwarden-auth] enabled = true port = 882,443,3012 # Doit correspondre au nom du fichier .conf dans le dossier filter.d filter = vaultwarden-auth banaction = %(banaction_allports)s logpath = /var/log/vaultwarden.log maxretry = 3 bantime = 14400 findtime = 14400

Je pense que c'est la meilleure solution 🙂 Il me semble que tu peux partager à un utilisateur du NAS un sous-dossier (dans mon exemple ce sera un sous-sous-sous-dossier 😄 ) avec un utilisateur du NAS, ce qui nécessitera qu'il se connecte :

Je pensais avoir posté ma réponse : aucun soucis avec ça depuis pas mal de temps avec Portainer. Ok 🙂 Je comprends enfin ce qu'il me manquait ^^ Ce qui continue de me faire comprendre 🙂 ce qu'il me manquait ^^ Merci pour ces infos complémentaires 🙂

Je n’ai jamais eu de soucis avec ça pour les déploiements avec Portainer pour les conteneurs avec de capadd netadmin. C’est bien ce que j’avais compris, d’où mon interrogation concernant le nom de domaine synology… si tu l’attaques avec le port 443 qui passent par swag alors il faut le certificat dans swag 😅 a moins de passer par un autre port. mais peut être que @.Shad.a une redirection de ce ndd vers l’ip de son nas avant de faire la redirection vers swag pour les autres ndd.ovh.

C’est justement dans les paramètres de Plex que tu coches ce qu’il faut pour faire ça. Plus le reverse proxy sur le port 443 et hop que du chiffré de bout en bout. Tout à fait, je n’ai pas dis le contraire, la Shield est carrément mieux adaptée au transcodage que le nas (modèle + avec igpu). Mais si tu n’as pas le budget pour avoir à la fois un nas et une shield, il vaut peut être mieux tablet sur le nas, tu pourras faire bien plus de chose avec.

Il y an aussi moyen d’augmenter le sécurité en n’autorisant que les connexions chiffrées. Voir aussi de limite l’accès au port de ton Plex aux seules IP du pays où tu es (via le pare-feu du routeur). Pour moi le seul avantage d’avoir PMS sur le nas (un nas compatible transcode HW, sinon ça vaut pas le coup, et là Shields est bien mieux là dessu) c’est que le nas peut faire office de pare-feu si tu n’as pas de routeur où le pare-feu est configurable (Livebox, freebox par exemple). L’accès aux médias est plus simple (pas d’accès smb à donner). Je ne pense pas que ce genre de message fasse avancer le débat. C’est pour moi inapproprié ici.

Pourtant je pensais avoir compris 😅 la synchronisation fonctionne sur le port 6690 ça j’en suis sûr vu que ce port est nécessaire à ouvrir sur l’extérieur pour que ça fonctionne. les certificats sur le nas sont liés aux noms de domaines donc si tu utilises les noms de domaines tu utilises les certificats. Mais comme les noms de domaines .ovh pointent sur mon iP internet, depuis l’extérieur, je dois passer par le reverse proxy qui est maintenant swag, le tout passant uniquement par le port 443, port routé et dirigé vers swag. Donc même si j’utilise le nom de domaine synology, dsm.ndd.synology.me, il va arriver sur swag. Et swag n’a pas le certificat synology , donc ça va faire une erreur de sécurité. D’où ma question sur ton utilisation conjointe du ndd synology et ovh le tout passant par swag. A moins qu’il y ait un paramètre à mettre dans Swag pour permettre le transfert au nas du ndd tel quel, je ne comprend. pas. Je n’ai peut être pas des connaissances super développées en réseau mais je pense quand même saisir le minimum pour savoir comment on se sert d’un reverse proxy sur un unique port. Ce que je n’avais pas prévu car oublié, c’est le port de la synchronisation drive qui est 6690. Mais ça ne fonctionne pas en passant par le reverse proxy (ou alors j’ai mal fait mon fichier de configuration 😅). J’ai contourné le soucis pour le moment. Je pourriez essayer de mettre le nom de domaine synology sur drive, ou rentre de mettre drive.ndd.ovh pointant sur le nas directement via adguard (pour le lan). On peut tenter un vocal (discord je suppose 😁) faut que je vois tes dispos 😊 je te réponds là dessus en mp 😉

edit : ha bah truc bizarre, sans rien changer, le client drive de mon pc windows se connecte sans soucis avec drive.ndd.ovh... Mais pas le mac de ma femme... 🤣