MilesTEG1

Mon .ovh me coute dans les 3€ par an 😇

Oui tout à fait. Je procédais de la sorte il y a quelques mois. nas1.ndd.tld -> dynhost du nas1 nas2.ndd.tld -> dynhost du nas2 Tu peux même créer des blabla.nas1.ndd.tld

En fait j’utilise une autre méthode pour créer un certificat wildcard (voir tuto docker acme de ce forum ) pour mon nom de domaine ovh : ça passe par une validation dns donc pas besoin des ports 443 et 80. pour mon nom de domaine synology, même si je sais pas vraiment comment il fonctionne, le certificat est aussi renouvelé correctement dans erreurs. pour ton autre question sur le VPN : j’utilise le paquet VPN Plis Server de mon routeur synology. À l’époque où j’utilisais le paquet du nas je crois que je faisais passer par le reverse proxy mais pas sûr à 100%… +1

Peut-être parce que les tests se faisaient avec DoH et FDN n'a pas encore de DoH. Enfin il me semble ^^

Rien de tout ça. Rien n'arrive sur le port 80, donc je ne l'ouvre pas. Dans mon routeur je ne route que le port 443 (et le 6690 pour Drive Server). Je n'accède jamais à mes services en HTTP sur le port 80. Donc ce port n'est pas ouvert sur internet. Je l'ai cependant autorisé pour les IP de mon LAN et les IP FR dans le parefeu du NAS, mais normalement rien n'est censé y accéder. Sauf peut-être un script php que j'avais fait à une époque pour une application. Hmmm, je ne sais pas... ta demande de certificat LE est-elle faite depuis DSM ? Edit : à la reflexion, Free est en France, donc ça doit être normal ^^

Perso le port 80 n'est pas ouvert sur mon routeur. Je fais tout passer par le port 443 et le reverse proxy 🙂 Tu utilises un nom de domaine Synology ? Si oui c'est normal que ça fonctionne même si ton port 443 n'est pas ouvert au monde 🙂 Par contre, si tu utilises un nom de domaine tiers, ça ne devrait pas fonctionner, car LE a besoin d'accéder au port 443 depuis une IP étrangère...

Le port 6690 ce n'est que pour la partie synchronisation du Drive Serveur, donc utilisé avec les clients ordinateurs. Pour l'accès via les applications smartphone, c'est le port défini pour l'application dans DSM, et si tu passes par le reverse proxy, c'est le port externe défini dans le reverse proxy.

@oracle7 par habitude (depuis le DS212) j'ai changé systématiquement les ports des applications (sauf ceux qu'on ne peut pas changer et Plex) 🤪 À l'époque je ne savais pas tout ce que je sais maintenant, mais par la force de l'habitude je continue 😮 😅 Mais je suis d'accord que si tu n'ouvres rien sur le net, pas besoin de changer les ports... 😄

+1 avec @DaffY Il faut ouvrir le port 6690 sur ta box. Tu as bien un certificat LE valide pour ton nom de domaine ? Sur iOS tu as bien mis le nom de domaine et pas l'adresse IP LAN du NAS ?

Oui oui je sais bien 😉 Ce que je voulais dire c'est que depuis DSM 7, je n'avais pas vu ce paquet être mis à jour ^^

Sur mon DSM 7.0.1, j'ai eu ce matin la proposition de MAJ du paquet SMB. Je crois que c'est la première fois que je vois passer une MAJ pour SMB 🙂

Salut 🙂 La même pour moi 🤪

Ouah, tu gardes tous tes certificats 😄 Moi je laisse faire le NAS ou le routeur et ils se débrouillent 😛 Du coup je ne pourrais pas confirmer ou infirmer ce que tu dis précédemment...

Pour les certificats, peut-être que celui généré pour un nom de domaine Synology ne change pas alors que c'est le cas pour un nom de domaine autre ??

Mon certificat s’est renouvelé plusieurs fois depuis que j’ai mis en route OpenVPN sur le routeur et je n’ai pas eu besoin de récréer le fichier ovpn pour mon smartphone… comment ça se fait si le certificat change au renouvellement ?

En ce qui me concerne, c'est le certificat LE du routeur pour mon nom de domaine Synology.

Et pourtant, c'est vraiment léger ^^ 🤣 Économise un mois ou deux de plus ^^ C'est vrai qu'il impose en taille ce RT... j'ai du le mettre au mur, via une cale en bois car il ne pouvait pas rentrer dans mon petit caisson ikea ^^ (je crois que j'ai du mettre quelques photos ^^). Heureusement il est caché par mon canapé ^^

Je n'ai pas tout ça dans mon .ovpn pour iOS... J'ai exporté le fichier sur le RT2600AC et j'ai ajouté la dernière ligne. J'ai donc ceci : dev tun tls-client remote XXXXXXXXXX 1194 # The "float" tells OpenVPN to accept authenticated packets from any address, # not only the address which was specified in the --remote option. # This is useful when you are connecting to a peer which holds a dynamic address # such as a dial-in user or DHCP client. # (Please refer to the manual of OpenVPN for more information.) #float # If redirect-gateway is enabled, the client will redirect it's # default network gateway through the VPN. # It means the VPN connection will firstly connect to the VPN Server # and then to the internet. # (Please refer to the manual of OpenVPN for more information.) redirect-gateway def1 # dhcp-option DNS: To set primary domain name server address. # Repeat this option to set secondary DNS server addresses. #dhcp-option DNS DNS_IP_ADDRESS pull # If you want to connect by Server's IPv6 address, you should use # "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode proto udp script-security 2 reneg-sec 0 auth SHA512 cipher AES-256-CBC auth-user-pass key-direction 1 explicit-exit-notify <ca> -----BEGIN CERTIFICATE----- XXXXXXXXXX -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- XXXXXXXXXX -----END CERTIFICATE----- </ca> <tls-auth> # # 2048 bit OpenVPN static key # -----BEGIN OpenVPN Static key V1----- XXXXXXXXXX -----END OpenVPN Static key V1----- </tls-auth> setenv CLIENT_CERT 0 Est-ce que l'export via le NAS serait différent ? (hormis ta modif de taille de paquet avec mssfix 1472.

Perso, je ne regrette pas mon choix du RT2600AC 🙂 J'ai suivi le tuto d' @oracle7 pour le mettre en place en conservant l'accès au décodeur TV (voir le lien dans ma signature ^^) via des switchs gérants les VLAN. J'ai pu y placer mon serveur VPN qui peut maintenant bénéficier de mon serveur AdGuard Home (qui fait donc office de serveur DNS). Et j'ai aussi gagné Threat Prevention. Mais surtout j'ai gagné une indépendance vis-à-vis de la livebox pour mon réseau local (wifi compris). Après, le RT est peut-être un peu surdimensionné, mais j'aime bien avoir le meilleur matos 🙂 (en restant chez synology ^^)

C'est quoi ton "proxy" antpub ? Et où-est-il situé (Sur le NAS, Docker, autre machine réseau) ? Pour ton soucis de connexions simultanées au VPN à partir de deux iPhones, je ne sais pas, je n'ai jamais tenté la manoeuvre... Tu utilises deux comptes différents pour (ou tenter d') établir la connexion ?

bon et bien c'est un mystère... Après pour le certificat, il est automatiquement récupéré si tu te connectes au domaine, donc ça vient peut-être de là.

Hmmm, tu connectes ton iPhone sur ton mac et synchronise la musique ?

macOS et iOS utilisent le même trousseau si tu le synchronises avec iCloud. Donc pas de mystère pour moi ^^

Tu as quoi comme version de macOS ? Sur Big Sur, le flag -f existe bien. Tu peux aussi utiliser man ping Cela dit, j'ai comme toi, operation not permitted sauf si je lance la commande avec sudo. Mais j'ai ces messages :

Si je suis ne DSM7. Et pour les valeurs, je ne me rappelle plus exactement, mais j'ai du les prendre dans un PDF de synology sur les MIB...