MilesTEG1

@Einsteinium Et beh, je ne pensais pas que mon plex fonctionnerais à distance sans configurer cette partie... J'avais mis le port 443 comme port publique (vu que ça passe par le reverse-proxy), et tout fonctionnait bien 😉 En lisant ton message là-dessus, je me suis dit qu'il faudrait tenter de désactiver cette accès à distance : et bien ça continue. de fonctionner comme avant 😉 Bref, avec ou sans, aucune différence. Du coup, elle sert à quoi cette fonctionnalité ? Pourquoi il ne faut pas activer cela ? Dernière question, concernant le reverse proxy : comment tu as trouver les variables à mettre dans la partie "En-tête personnalisé" ?

Du coup, je reste sur ma manière d'installer/configurer mes conteneurs ^^ Par contre, est-ce d'une utilité particulière que je fasse la manip du certificat et du nom de domaine pour adguard ?

Salut @oracle7 Tu es sûr de ton lien ? il point sur la page 6 du topic... Tu voulais pointer sur un post en particulier ? Salut @Einsteinium également, Yep, j'évite toujours les mots classiques pour les sous-domaines : files, camera, plex... soit je fais des abréviations maison, soit j'utilise un mot francisé 🙂 Et tout à fait, il y a quelques mois, certains m'avaient convaincu de cesser d'exposer mon DSM via son nom de domaine (je passais quand même par le reverse proxy mais open pour y accéder depuis internet). Maintenant, je n'ai que le port 443 et 6690 d'ouvert, et j'ai mis un profil de contrôle d'accès restreint aux IP LAN et VPN pour l'accès à DSM. Je crois que c'était au début des attaques sur les QNap. Ok, je vais aller voir plus en détail ton tuto express 🙂 Je te tiens au courant. merci 🙂

Ok, c'est ce que je me disais en voyant les réglages dans les navigateurs 🙂

C'est pourtant ce qui est conseillé par plein de marques et de personnes bossant dans la cybersécurité. Je veux bien reconnaitre que la commande que tu cites permet de savoir rapidement quels ports sont ouverts, mais je pense que les hackers utilisent des scripts où ils codent en durs les ports à tester. Et là, si tu n'as pas changé tes ports, tu risques l'attaque via une faille. C'est sacrément vrai pour les ports exposés sur internet. Beaucoup moins pour ceux qui ne le sont que sur le LAN... Mais là aussi, les virus et compagnie, peuvent attaquer depuis un PC vérolé/zombie... Je pense que changer les ports par défaut est une mesure de sécurité en plus qui ne peut pas faire de mal. Après, pour revenir au sujet du reverse proxy, je n'expose que le port 443 et 6690. Et je n'ai pas une seule tentative de connexion. Merci aussi au pare-feu très restrictif qui n'autorise que les IP françaises sur le 6690, et le 443. (enfin sur ce dernier, j'ai du mettre le monde entier car je n'arrive pas à déterminer si les renouvellements de certificats (Synology et OVH via ACME) nécessitent ce port là... et aussi si les serveurs de Plex ont besoin de ce port pour communiquer avec le mien (j'ai déclaré ce port avec l'adresse de mon serveur https://monplex.mon-ndd.ovh )... une idée ?)

Oh ! Top, merci 🙂 Vu ce qui va suivre, je pense que c'est tout bon pour le DoH 😄 Mais pas pour le DoT. Y a moyen d'avoir ça aussi ? Ou bien c'est l'un ou l'autre ?

Hello 🙂 @Einsteinium Ton tuto m'intéresse pour certains réglages au niveau du DoT/DoH. J'ai actuellement une installation fonctionnelle de Adguard-Home en macvlan, mais sans utiliser de nom de domaine ni de https pour ADGH. J'ai ça comme réglages dans l'onglet DNS : (clic pour zoomer) Lien vers l'image : https://i.imgur.com/3JgyTrQ.png Mais du coup, je ne sais pas si les requêtes DNS partent bien en DoH... Faut que je tente avec tes réglages pour voir ^^ et donc que je monte le certificat ACME. Mais du coup, question, pourquoi tu fais créer le conteneur avec un script que tu lances tous les jours ? C'est pour en faire une MAJ tous les jours s'il y en a une de dispo ? Perso, je passe par Portainer pour créer mes conteneurs, et j'utilise watchtower pour faire les MAJ.

Si c'est pas indiscret, quels sont les paquets de la communauté que tu remplaces par des conteneurs docker ? Pour les MAJ des images de conteneurs, tu n'auras pas le choix que de donner l'accès au docker.sock... que ce soit avec Diun ou avec Watchtower. C'est ce dernier que j'utilise.

Là où tu as ton serveur VPN, c'est quoi qui fait office de serveur DNS ? Un truc perso style pi-hile/adguard-home ? ou bien les DNS 1.1.1.1 ou autre que tu as mis dans le serveur DHCP ? Ou bien encore les DNS de ta box ? Ok, j'avais pas vu. Et donc c'est toi qui les as mis manuellement dans le NAS ?

Avant de tenter le downgrade (toujours risqué pour les données), faudrait peut-être chercher pourquoi les vidéos ne sont plus vues sur ta TV... et essayer de corriger ça.

Avec OneDrive, les documents enregistrés dessus, on peut faire du travail collaboratif.

Ha c'est bon hein 😆🤣 C'est vautre faute aussi, avec tous ces chiffres 😜 (et avec mon disque de 14To, je me suis mélangé les pinceaux 🤪) Bon j'ai édité ^^ Ça fait 12 Go 😅

Pour information, le 920+ possède de base 4Go de ram avec sa barrette soudée... J'ai ajouté une de 8Go pour avoir 12Go.

Salut, as-tu configuré ton parefeu du nas en fonction de cette utilisation ? autoriser les ports jeu et les ip du réseau VPN à accéder au LAN.

Salut, VLC peut-être ? avec une connexion sur un partage SMB. Mais pas sûr...

Oh ! punaise, j'avais oublié ce passage du tuto : Hmm, je viens de vérifier sur mon RT, j'avais ouvert ce port... Putain... 😅 Du coup, j'ai décocher la case... J'espère que je n'aurais pas de soucis pour toutes les connexions initiées avec macOS...

Je ne suis pas sûr que désactiver le parefeu IPv6 de la freebox soit une bonne idée... Il est activé sur la mienne.

Attention, il n'est pas nécessaire d'avoir un LAN en IPv6 pour que tout fonctionne correctement...

Précision, il faut désactiver le relais privé iOS (Préférences / ID Apple / iCloud ) Tu as bien ouvert les 3 ports pour le L2TP ? (dans le parefeu du nas, mais aussi dans la box/routeur où il faut les transférer) Voir dans ce tuto :

Je viens de vérifier, le nom de domaine que j'utilise sur le routeur RT2600AC pour le serveur VPN, c'est un ndd fourni par synology. Ce dernier possède l'adresse IPv4 (full-stack) et l'adresse IPv6 de ma freebox. Donc normalement c'est bon. Dans mon cas, le serveur VPN est à l'entrée du réseau local puisque situé sur le routeur synology. @StéphanH C'est comment dans ton cas ? Ça devrait fonctionner...

Tu dois avoir un soucis ailleurs, car sur mon iPhone, ça fonctionne : Je suis chez free en fibre, j'ai donc aussi une ipv6 coté box. Mais mon ndd est configuré en dynhost sur le syno et récupère l'ipv4. Peut-être que ton ndd récupère aussi l'ipv6 qui prends le dessus ?

Heu je suis avec Sosh (donc réseau orange) sur mon iPhone, et j'arrive bien à me connecter à mon serveur VPN (sur le routeur syno) avec L2TP. Je viens de vérifier, j'ai bien une IPv6 avec la connexion sosh.

Salut, Si tu ne veux pas installer d'application supplémentaire : L2TP. Sinon, OpenVPN (avec OpenVPN Connect sur l'iPhone).

l n'est pas présent dans DSM7 non plus : -sh: oathtool: command not found Ha j'ai aussi un utilisateur dédié à ACME, mais il n'a pas les droits d'administration.

Oh purée 😆 Pourquoi je ne suis pas allé voir dans ce dossier XD Du coup à priori il date du 9 janvier. (je ne sais pas pourquoi le .key n'a pas une date plus récente... le 17/05 c'est quand j'ai mis en place le script.) Du coup, dans le log j'ai parcouru à la date du 09/01 et j'ai repéré ceci qui me semble indiqué un renouvellement de certificat : [Sun Jan 9 00:47:02 UTC 2022] Cert success. [Sun Jan 9 00:47:02 UTC 2022] Your cert is in: /acme.sh/mon-ndd.ovh/mon-ndd.ovh.cer [Sun Jan 9 00:47:02 UTC 2022] Your cert key is in: /acme.sh/mon-ndd.ovh/mon-ndd.ovh.key [Sun Jan 9 00:47:02 UTC 2022] The intermediate CA cert is in: /acme.sh/mon-ndd.ovh/ca.cer [Sun Jan 9 00:47:02 UTC 2022] And the full chain certs is there: /acme.sh/mon-ndd.ovh/fullchain.cer [Sun Jan 9 00:47:02 UTC 2022] _on_issue_success