MilesTEG1

Juste une petite appartée concernant l'ouverture de DSM via le reverse-proxy : il y a pas mal d'attaque en ce moment via les ports 80 et 443 (j'ai pu le constater avec mon routeur synology et son paquet Threat Prevention), donc faut bien blinder le parefeu du NAS, voir ne pas ouvrir DSM au net via le reverse proxy, mais plutôt mettre en place le serveur VPN du NAS pour se connecter à distance à DSM. C'est ce qui m'a été fortement conseillé, et que j'ai finalement accepter de faire (pas pour le VPN qui était déjà mis en place), mais renoncer à l'accès facile à DSM via le net. Après chacun voit ce qu'il veut faire, doit impérativement avoir et quels compromis peuvent être fait ^^

Ok, merci pour ta réponse, j'aurais d'autres questions là dessus, mais du coup, je ferais un nouveau sujet pour ça ^^ (où le mettre par contre... ?) Nickel pour le fichier de conf. Et cool, je peux faire un dossier certf_a_exporter dans le dossier .../docker/Acme/ pour récupérer ces fichiers. Et tu peux me confirmer qu'une fois ces fichiers exportés là, donc les .pem et .key, je les récupère sur mon ordi, et je les envoi là : Merci bien pour tes réponse 🙂

Nouvelle question @Einsteinium vu que je suis en train de planifier le déploiement 😉 Le fichier de configuration account.conf, peut-il contenir dès le début les éléments que tu fais ajouter au point 3B ? SAVED_SYNO_Scheme='http' SAVED_SYNO_Hostname='172.17.0.1' SAVED_SYNO_Port='5000' SAVED_SYNO_Username='nom utilisateur' SAVED_SYNO_Password='le password' SAVED_SYNO_DID='' SAVED_SYNO_Certificate='description du certificat mise dans le DSM' C'est histoire de rendre plus pratique l'exécution des scripts que je crée. Dans le §3.A je ne comprends pas par quoi remplacer DOSSIEREXPORT : Il y a une valeur particulière à déterminer ?? pourquoi ne pas laisser dans le dossier docker ?

Ton PC pourrait largement faire tourner plusieurs conteneur avec l'image officielle. Donc tu peux très très largement suivre mon tuto Vaultwarden 😉 Ce n'est pas parce que Vaultwarden est tagué "image allégée" que ce n'est réservé qu'aux petites machines 😉 Par contre, faut que ton PC soit tout le temps allumé pour garder le bénéfice du serveur 🙂

Et question subsidiaire (oui encore une 😛 ) : J'ai testé le domaine blabla.miles.tld (blabla n'étant pas une redirection que j'ai créé coté OVH), j'abouti à cette page après un message concernant la sécurité car pas de certificat encore créé... Y a moyen de faire en sorte que tout ce qui n'est pas mis dans le reverse-proxy aboutisse à une erreur 404 ou autre ? Voir sur une page comme ça :

J'ai testé le DynHost avec rien devant le point. Il a fallu que je modifie le sous-domaine de l'identifiant aussi : Et ça semble fonctionner 😉 Autre question du coup : j'ai un nom de domaine chez Synology aussi. Lorsque j'aurais créé le certificat wildcard avec le script pour mon domaine *.miles.tld, ce certificat remplacera-t-il celui pour le synology.me partout ? Et si c'est le cas, je devrais pouvoir remettre celui de synology là où il faut, mais lors du renouvellement automatique, faudra-t-il que je le refasse manuellement de remettre celui de synology ? N'y aurait-il pas moyen de dire au script sur quels services je veux le wildcard pour *.miles.tld ? C'est pour vérifier les certificats ça ? J'ai tendance à faire pareil 😉 Oh purée, y a tout l'historique de mes certificats (existants, passés...) ! 😱 Donc de tous les domaines qui aboutissent chez moi 😰 Ça conforte ma volonté de tout changer et de ne faire que du wildcards !!

Donc je peux laisser le champ de saisi vide dans la fenêtre en capture sans soucis ? Le point qui est présent ensuite n'est pas gênant ? Le soucis c'est que je ne sais pas où sont ces enregistrements txt chez ovh... Ils sont peut-être sur le NAS ? 😅 Ça marche 🙂 Pour les ports, c'est bien pour ça que je vais suivre ce tuto 😄 Pour les notifications, je n'utilise pas ifttt, ni gotify ou autre. Je compte passer par l'email. C'est faisable sans trop galérer ? Ouf 😄 ça me rassure, je vais pouvoir mettre ça en place pendant le badblocks ^^ Ok, je vais tenter avec ce que tu m'as dit précédemment. Mais si je ne faisais pas comme ça, mais plutôt comme j'ai l'habitude de faire actuellement c'est-à-dire créer des redirections à la main, le script fonctionnera quand même ?

Je crois que je lançais Firefox. Ou que je sortais de veille l'ordi. J'ai tenté le redémarrage du navigateur, mais ça n'a pas générer d'autres alertes... À voir sur les prochains jours 🙂

Hello @Einsteinium Bon j'ai fini me créer mon nouveau nom de domaine (un peu plus simple pour la gestion), appelons-le : miles.tld Comme je n'ai pas d'IP fixe, j'ai créé un DynHost (avec ID de connexion) pour : nas.miles.tld Car je ne sais pas comment faire pour que ce soit directement sur miles.tld car lors de la création du DynHost, il y a obligatoirement le point avant le ndd. J'ai créer ensuite mes redirection CNAME de mes "sous-domaines" sur le domaine nas.miles.tld : service1.miles.tld service2.miles.tld service3.miles.tld ... En parcourant les premières page (me suis arrêté à la p.5 et la dernière 😅), j'ai pu voir ce message : Est-ce que ce genre de redirection est obligatoire pour que le script ACME fonctionne ? Si oui, est-ce que je peux faire le même genre de redirection sachant que mon DynHost est nas.miles.tld ? Cette variable est-elle encore à exporter ? Ou bien celle présente dans le fichier de config suffie ? Ça arrive souvent ce genre d'erreurs ? Car je ne saurais pas résoudre ça... C'est quand même possible d'utiliser le label de watchtower ? Et corolaire : peut-on utiliser un fichier docker-compose.yml pour créer le conteneur ? (dans lequel je pourrais mettre le label de watchtower). Sinon, tu me confirmes que le renouvellement du certificat wildcard se fera automatiquement à la date prévue pour ? Est-il possible d'avoir une alerte email en cas de soucis de renouvellement ? Ou bien LE m'en avertira comme il le fait déjà pour mes certificats actuels quand la date approche et que le certificat n'a pas pu se renouveler automatiquement à cause de la restriction des ports sur les pare-feu du NAS et du routeur 😉 Autre question : est-ce qu'il faut redémarrer le NAS à un moment donné de la procédure ? Je n'ai pas vu de mention là dessus, donc je suppose que non, mais je préfère être sûr ^^ là il ne peut pas redémarrer pour encore plusieurs jours 🙂 Dernière question (je pense pour le moment 😛 car tu as dû voir que je pouvais être un moulin à questions 🤣) : on ne peut pas via ce script et l'API OVH générer de sous-domaines avec les redirections adéquates vers le nom de domaine principal ? (ce serait un bonus, mais pas indispensable pour moi ^^) Voilà voilà Merci d'avance 😇

C'était pas une critique envers ta réponse hein 😉

Merci 🙂 Ça répond pas vraiment à la question de si c'est OK ou pas 😅 Du coup je laisse comme ça sans bloquer...

Effectivement j'ai moi aussi vraiment beaucoup moins d'alertes depuis que j'ai mis une restriction forte sur les IP externes autorisées. Sinon, j'ai eu cette alerte tout à l'heure, et comme ça venait de mon mac sur lequel j'ai LittleSnitch, j'ai pu identifier d'où ça venait : Il s'avère que c'est firefox qui fait cette requête qui a été neutralisée : Mais du coup, faux positif ? ou vrai positif ?

Salut 😉 J'ai une nouvelle question 😄 Le Threat Prevention se situe où par rapport au parefeu ? En gros, il agit avant ou après le parefeu ? C'est pour savoir comment is se comporte ^^

Ok 🙂 j'ai rien sur la clé de 16Go, donc je peux aussi mettre davantage. Mais est-ce que ça a un intérêt particulier d'avoir autant ?

@Einsteinium @Diabolomagic Vous mettez combien de Mo pour les journaux de Threats Prevention ?

Je suis bien d'accord 🙂 Pour le splitter, je n'y ai pas pensé quand j'ai câblé mon garage pour tirer deux câbles ethernet vers l'emplacement de mes deux caméras de jardin et de terrasse. Ça aurait été plus simple avec 😄 par contre, QUID du PoE avec un splitter ?

Yes 😄

Il me faut préciser ce que j'ai dit. Je suis retourner voir la conversation avec la personne avec qui j'avais discuter des reolink, et il s'avère que les caméras sur batterie ne peuvent pas fonctionner avec un NVR tiers, donc avec nos synology (surveillance station). La personne a pris une Argus Pro, et donc pas compatible avec SS, et pas de fonction d'envoi sur un FTP non plus. Donc il faut privilégier les caméras PoE ou alimentées avec un fil électrique, car celles sur batterie c'est pas possible avec SS.

@Kramlech et à tous les autres : j'ai mis à jour mon tuto Vaultwarden 🙂 à propos de la variable SIGNUP_ALLOWED.

J'ai 4 caméras Reolink oui ^^ Deux RLC-520, un RLC-420-5MP, et une RLC-510A. Toutes PoE. Et toutes configurée avec ONVIF 🙂 En conseillant quelqu'un récemment, j'ai pu constater que les caméras wifi avec chargeur solaire, la compatibilité avec un NAS n'est plus présente...

@.Shad. @Einsteinium Merci pour vos précisions. Je pense que quand mon badblocks sera temriné, je mettrais en place le tuto de @Einsteinium pour les certificats. en espérant ne pas avoir besoin de tout refaire quand DSM 7 fera son apparition en version finale... Je viens de supprimer la règle concernant les IP 10.0.0.0 car effectivement je pense que en n'en ai pas besoin. Pour le parefeu, étrangement je trouve celui du routeur mieux pensé, alors que SRM est basé sur un vieux DSM... Il manque par contre des deux cotés, un moyen d'exporter et d'importer des règles. Et donc tu ne mets de règles que pour les IP de ton LAN et aucune autres ? Donc au-delà des IP LAN peut-être un peu large, je pense que mon parefeu est maintenant plutôt bien configuré ^^ Bonne journée à tous 🙂

Salut @Synchrology On va partir du principe que ta sauvegarde est versionnée. Si ton nas est cryptolocké, et que Hyperbackup lance un backup, tu auras la dernière version faite qui sera cryptolockée... Mais comme tu as des versions antérieures, elles, ne seront pas touchées. Par contre, si tu n'as pas de versionning, là c'est mort si Hyperbackup fait une sauvegarde après le cryptolocking...

Ok, c'est déjà le cas : Ok, j'ai compris 🙂 Faudra que je creuse ça un jour. Tu ferais pas un petit tuto ?? 😄 Ça ajoute quoi par rapport à AdGuard Home (qui est un équivalent de PiHole, en peut-être un peu mieux ^^) Oué, je vais peut-être faire ça, le supprimer, et le remettre 😉 Mais depuis hier, et les modifications sur les pare-feu, j'ai quasi plus rien qui apparait dans les évènements. C'est peut-être aussi grace aux différentes règles que j'ai faites... Je vais voir déjà pour passer en "Joker" toutes celles qui ont une IP. Si c'est trop long/chiant je supprimerai le paquet pour le réinstaller. Merci pour les conseils en tout cas 👍🏻😇

Non je déteste personne, enfin presque 😛 J'ai juste suivi les recommendations du tuto : Et c'est aussi quand même plus pratique à gérer ainsi. Déjà que c'est pas super ergonomique d'accès... Voir réponse de @.Shad. Oui, je crois, mais surtout elle est présente dans le tuto (cf. citation précédente). Là comme ça, effectivement, ça ne sert pas à grand chose... Mais c'est une règles présente dans le tuto. Mais ça ne craint pas vraiment ça, ce ne sont que des IP locales, non ? OK j'irais voir en détail plus tard (j'ai un test badblocks en cours, je voudrais pas que ça le stoppe...). Mais j'ai vu que ta méthode utilisait l'API OVH, comme SWAG, et ça permet de ne pas avoir besoin de valider via les ports HTTP & S, c'est bien ça ? Par contre, y a moyen de garder un nom de domaine synology et donc un certificat LE pour certains services ? En plus de mon nom de domaine OVH pour d'autres services ? Quand j'aurais fini le test badblocks, et que j'aurais créé un nouveau nom de domaine (je veux changer l'actuel), je verrais avec ton tuto qui me semble quand même plus simple que celui sur SWAG 😉 Petite question toutefois, sans avoir lu très attentivement ton tuto, comment ça se passe quand on veut ajouter un nom de domaine ? Il est wildcard le certificat avec ta méthode ? Haa oui, je ne me rappelle plus vraiment pourquoi j'avais ouvert ça... Peut-être un misclic... (le support Synology peut-il demander à ouvrir Synology Assistant ?) Mais la suite était pour Drive Server... J'ai donc laissé que ce dernier dans la règle... Par contre, c'est quoi ce sauvegarde réseau qui est avec Synology Assistant ? Merci pour vos conseils 😉

Bien vu ! J'y ai pensé tout à l'heure en me disant que ce serait chouette de pouvoir choisir que les IP Françaises en autorisées, mais avec les règles créées automatiquement, c'est pas possible... Là j'ai eu l'idée de les supprimer et de les refaire moi-même 😄 Effectivement, toutes mes URLs sont en HTTPS sur le port 443. Je désactive le port 80 donc. Du coup voilà la dernière version 🙂 Heu, j'ai pas tout compris (ça doit être l'heure...) Comment je fais pour n'avoir des alertes que pour les menaces hautes ? Si je fais ça, je ne verrais plus du tout les menaces moyennes et faibles dans les évènements, non ? "pas mettre de jocker sur une règle entière pour une ip par exemple" ?? C'est pas du contrôle parental ça ? J'ai AdGuard Home déjà qui filtre les DNS, et qui élimine plein de cochoneries (Pub et bien davantage) et filtre plein de requêtes de tracking. Le Safe Access fait-il déjà cela ? Mieux ? Ai-je intérêt à avoir ça en plus ? Pfiou, la journée à été riche en nouveautés/découvertes/enseignements pour moi, Merci bien pour tous vos conseils, et pour tous ceux à venir 😉 @Einsteinium Et pour ça (dessous) ? Tu ferais quoi ? Je commence à avoir pas mal de lignes maintenant : Mais j'ai un peu moins de bazar qui arrive dans les évènements 🙂