MilesTEG1

Ça dépend du NAS 😉 Sur mon 920+, les optimisations ne l'ont pas fait souffrir 😛

@runcom21 Tu n'as pas commenté la ligne devices. Comme elle n'est pas suivie de ce qui est attendue (array), tu as une erreur. Commente la ligne, et tu ne devrais plus avoir d'erreur.

Merci beaucoup 🙂

@oracle7 Hello, Dit, est-ce que tu as garder le lien du tuto pour faire les tests de débits avec speedtest ? J'ai du mal à retrouver où c'est pour le mettre en place 😉 Merci d'avance.

Je confirme : pour accéder à mon coffre Bitwarden, je dois passer par le nom de domaine en https. Le reverse-proxy fait son boulot et redirige sur le port HTTP du conteneur bitwarden. De ce fait, si j'essaie de me connecter via le http://192.168.0.xxx:yyyy/ (yyyy étant le port http de connexion de bitwarden), j'ai ce message d'erreur : Du coup, il faut que ta box gère le loopback correctement sinon c'est mort... ou bien mettre en place un service de DNS...

@Einsteinium C'est-à-dire ? Peux-tu développer ? Et mettre quelques captures ? (pour voir si je patiente une sortie de DSM7 prochaine... lointaine peut-être 😅)

Ok, donc ça fonctionnera pour accéder à l'interface web de Drive, donc avec par exemple drive.mon-nas.mon-ndd.ovh. Sachant que SWAG me génère un certificat pour *.mon-nas.mon-ndd.ovh. (jusque là, je ne me trompe pas n'est-ce pas ?) Question : est-ce que si je génère un certificat pour drive.mon-nas.mon-ndd.ovh depuis le NAS (comme c'est le cas actuellement), est-ce que le service de synchronisation fonctionnera correctement ? Là j'ai compris ce que tu disais 😁 Je comprends vite, mais il faut m'expliquer à peine longuement 😅). Ok, donc nickel là dessus. Hmmm, j'ai pas encore cherché (je l'aurais fait hein, quand je me serais décider à continuer les procédures ^^). Ce qui est expliqué dans le lien que tu as donné, c'est que tout ce qui serait en photos.mon-nas.mon-ndd.ovh aboutirait sur photos.mon-nas.mon-ndd.ovh/photo mais sans changer l'URL qui resterait photos.mon-nas.mon-ndd.ovh. Ce n'est peut-être pas ce que je voulais... Mais bon, au pire, tant pis, peu de personne utilise PhotoStation, je peux filer le lien avec le /photo en fin. Pour ma culture, ça gênerait en quoi pour Authelia ? (ce service m'intéresse pas mal, pour stocker chez moi les codes 2FA 😉 en plus de mon gestionnaire de mot de passe). J'ai une autre question : j'ai quelques scripts php, ce n'est pas à proprement parler un site web, mais ils continueraient à fonctionner ? J'y accède uniquement en LAN mais sont accessible aussi depuis internet si on connait précisément l'adresse. J'ai aussi actuellement fait un nom de domaine de type routeur.mon-nas.mon-ndd.ovh pour accéder à mon routeur en passant par le reverse proxy. Ça continuera bien de fonctionner ainsi ?

@Jeff777 J'ai parlé de ma mise en place de fail2ban ici :

Oui c'est vrai, mais en même temps, les décodeurs TV sont quand même très moisi au niveau du multimédia... Donc ce n'est pas vraiment une grosse perte (enfin pour moi). Pour le reste du message, ben oui, mais là on parle d'une LiveBox 😉 Mais sinon on ne perd pas toutes les fonctions de la box (faut spécifier plus précisément si tu parles de la box (modem) ou du décodeur TV). Mais on se prive de certaines fonctionnalités pour en gagner d'autre via le routeur dédié. C'est un choix.

@Jeff777 Pour Bitwarden_RS, j'ai fait un tuto pour DOcker-compose (et Portainer) : [Tuto] Installer Bitwarden_rs avec une sauvegarde automatique de la base de données - Forum des NAS (forum-nas.fr) Je l'ai pas mis ici, mais c'est un tuto qui fonctionne 😉 Quand j'aurais un moment, je rédigerais la suite de ce tuto pour l'intégration de fail2ban que j'ai mis en place cette semaine.

Ha bah, moi qui pensait que les gros modèles version + avaient tous un iGPU...

Salut @.Shad. Non non je ne confond pas les deux ^^ Pour la synchronisation des données, il faut ouvrir un port, donc pas besoin d'un ndd dédié. Pour l'interface web Drive, là par contre il y a besoin d'un ndd, et je parlais bien de cela 😉 Du coup, est-ce que si j'accède à Drive via le ndd dont le certificat est un wildcards fait par swag, ça fonctionnera sans erreur ou avertissement ? Ok, pour le VPN (et l'accès au routeur directement) je passe par celui du routeur qui a son propre nom de domaine genre mon-routeur.ndd.ovh. Donc avec ta capture, le Drive Server, je sens que la réponse à ma question précédente sera négative... Qu'en est-il de Surveillance Station ? FileStation ? Moments ? et PhotoStation ? Par contre, perdre l'utilisation du .htaccess qui me redirige l'accès à Photostation ça m'embête beaucoup... Plus j'avance dans la compréhension de l'outils, et des diverses autres choses, et plus je me dis que ce n'est peut-être pas vraiment ce qu'il me faut... En tout cas, merci beaucoup pour tes réponses

L'idée était plus que ceux qui ont l'adresse d'un service ne puisse trouver facilement l'adresse d'un autre service 😉 Ok pour le wildcards, ça va bien faire ce que je souhaite 🙂 Hmmm, là ça commence à compromettre ce que je veux faire là ! Car j'ai le drive.mon-nas.ndd.ovh qui est partagé avec d'autres, tout comme mon serveur Plex (ils ont chacun leur certificat). Parce que du coup, si je passe tout sur le certificat généré par swag, faut que je me tape à la main l'importation de ce certificat dans DSM pour les quelques services qui y sont... (surveillance station, Drive, DSM). Et ça j'ai moyen envie de le faire... Est-ce que si je garde les certificats actuels de DSM (service1.mon-nas.ndd.ovh etc...), et que je mets en place swag pour les conteneurs avec *.mon-nas.ndd.ovh, ça va pas poser de soucis pour ceux déclarés en service1.mon-nas.ndd.ovh dans DSM ? Il n'y aurait pas une solution avec SWAG qui fait en sorte que tout soit automatique ? Le script acme.sh dont tu parles peut-il être utilisé en même temps ? Faut donc supprimer le .htaccess ? Car ce dernier me sert aussi à rediriger https://photos.mon-nas.ndd.ovh/ vers https://photos.mon-nas.ndd.ovh/photos/ Ce qui n'est pas possible autrement... Y a moyen de palier ceci avec Swag ? Après, Swag n'est peut-être pas la meilleure solution pour mon besoin... Je suis preneur de tout conseil 😄 En tout cas merci pour ces réponses, j'apprends encore des choses ^^ (Je n'ai pas cité et repris tout ce que tu m'as dit, car pour ceci j'ai rien à ajouter, tes explications sont claires 🙂 ) Bonne soirée 😉

@.Shad.Je compte bien utiliser swag en macvlan, pas de soucis. Mais j'utilise la redirection HTTP -> HTTPS via le fichier .htaccess dans le dossier web du nas. Faut que je fasse quelque chose en particulier ? Les ports à rediriger vers le conteneurs sont bien : 443 & 80 ? (ce qui remplacera la redirection de ces mêmes ports sur le NAS, n'est-ce pas ?)

Bon ben décidément, il me faut sans cesse apprendre de nouvelles choses ^^ en posant des questions... J'en ai une autre, qui vient au fil de ma lecture. @.Shad. Vu que je ne connais pas grand chose à ce niveau-là, et que je te fais confiance quand à la mise en place de la validation DNS, j'aimerais toutefois savoir s'il y a un avantage autre que de ne pas rediriger le port 80 vers le conteneur à passer par la validation DNS-01 ? Qu'apporterait celle HTTP-01 ? (est-ce celle utilisée par le NAS lorsqu'il fait les certificats LE ?) Je viens de voir dans le fichier docker-compose l'option d'environement : En cherchant coté doc de swag, j'ai vu que c'était déprécié : linuxserver/letsencrypt - LinuxServer.io Faut-il le laisser ? Y-a-t-il une alternative ?

@.Shad. Hmm, je joue la carte de la précaution, je laisse la temporisation 😉 Je suis pas à une minute près, enfin le NAS ne l'est pas ^^ puisque ce script est pour lui 😄 Sinon, peux-tu me confirmer que dès lors qu'une solution macvlan a déjà été mise en place, on peut passer les étapes n° (mince tu numérotes pas tes § 😅) : Création du réseau macvlan Création de l'interface virtuelle Et que du coup, on n'a plus qu'à passer à l'étape : Création du conteneur Et dernière question (pour le moment), un certificat wildcards permet de ne plus voir tous les domaines concernés par un certificat ? Car actuellement, sur les domaines que je partage à des tiers, j'ai créé un certificat dédié. Genre drive.mon-nas.mon-ndd.ovh. Pour d'autres, c'est service1.mon-nas.mon-ndd.ovh , service2.mon-nas.mon-ndd.ovh etc... ils apparaissent tous dans le détail du certificat. Avec un wildcards, on ne voit plus tout ça, et donc OSEF de faire des certifs sur un seul domaine ? Et sinon par rapport à ce que tu as dit dans l'introduction du sujet : Quelles sont les raisons qui te font utiliser un nom de domaine synology ? Y-a-t-il des avantages ? Faut-il que je change ma manière de faire pour utiliser un ndd synology ?

@.Shad. (après recréation du network macvlan) Je pense que ça fonctionne 😄 Bon avant j'ai fait les "anticommandes" pour supprimer le travail fait par le script au démarrage du NAS : J'espère que c'était suffisant 😉 Je vais rebooter le NAS pour en être sur, et je pourrais relancer AdGuardHome. Et continuer SWAG 🙂 Du coup, avec tes explications de la page 2, je me suis rendu compte que j'avais mal compris l'histoire d'IP virtuelle et d'interface virtuelle. Maintenant, c'est bien plus clair ^^ J'ai modifié mes scripts en tenant compte de ça 😉 TIens, @.Shad., petite question : est-ce toujours utile de retarder l'exécution du script bridge-macvlan.sh au démarrage du NAS ? Actuellement c'est 60s.

Oui ça ressemble à ce que j'avais. J'essayais avec 192.168.2.210/28, je pense comme tu le dis qu'il fallait faire avec 192.168.2.208/28 Je prendrais le .209 pour swag et le .210 pour adguardhome. Je vais essayer ça de ce pas.

@.Shad. Merci pour tes réponses. Je tente tout à l'heure la recréation du réseau macvlan, et aussi du coup le script bridge-macvlan avec les modifs de réseau. J'espère que les clients de Adguard migreront sur le DNS secondaire le temps des manips ^^

Hello @.Shad. Je suis en train de suivre le tuto, et je bloque sur l'étape de la création du réseau macvlan... TU te rappelles peut-être qu'il y a un mois (je crois) j'ai suivi ton tuto pi-hole @ macvlan en l'adaptant pour AdGuard Home (qui fonctionne très bien d'ailleurs), mais j'ai eu alors un soucis, après la création du réseau macvlan, lors de l'exécution du script bridge-macvlan : ça n'a jamais fonctionné avec une plages d'ip... 192.168.2.210/28 J'ai du créer un réseau macvlan avec une seule IP avec 192.168.2.210/32 et le script bridge-macvlan a pu alors fonctionner. Du coup je me dis que je vais procéder de la même manière : créer un nouveau réseau macvlan, puis faire la même modif dans le script bridge-macvlan de swag... Mais ça ne passe pas : Faut-il que je cherche vraiment à faire un réseau macvlan à plusieurs IP et donc chercher à faire un script bridge-macvlan qui fonctionne ? Ou bien existe-t-il une astuce pour créer un second réseau macvlan ? Merci par avance de ton aide 😇 Précisions : Je souhaite avoir 192.168.2.210 pour AdGuard, et 192.168.2.211 pour swag. Et pour les IP Virtuelles : 192.168.2.230 pour AdGuard, et 192.168.2.231 pour swag. Ces IP et celles qui les entourent ne sont pas dans la page d'IP du DHCP de mon routeur : PS : Les calculateurs d'IP/masques, me changent systématiquement mon IP de départ en 192.168.2.208/28 si je tente 192.168.2.210/28. Est-ce que ça fonctionnerait si je faisais ce réseau là ? (j'entends le script de bridge-macvlan) J'ai du mal à comprendre comment ça fonctionne... Pour 192.168.2.208/28 les adresses utilisables commencent à 192.168.2.209 ?? pourquoi pas 192.168.2.208 ? Et se finissent 192.168.2.222 et pas 192.168.2.223... Je sais pas trop ce qu'est une adresse de broadcast...

@pcdebut Merci pour ce post et le précédent 😉 Ils m'ont aidé à mettre les notifications emails dans fail2ban pour Bitwarden_RS 🙂 Voir ce post :

Bon après quelques tentatives et recherches j'ai réussi à configurer le perdevice_include : perdevice = false ## Specifies for which classes a per-device metric should be issued ## Possible values are 'cpu' (cpu0, cpu1, ...), 'blkio' (8:0, 8:1, ...) and 'network' (eth0, eth1, ...) ## Please note that this setting has no effect if 'perdevice' is set to 'true' perdevice_include = ["cpu", "blkio", "network"] Ce qui me génère maintenant ce message d'alerte : 2021-03-20T08:04:26Z W! [inputs.docker] 'total' setting is set to 'false' so 'blkio' and 'network' metrics will not be collected. Please set it to 'true' and use 'total_include' instead to control this behaviour as 'total' will be deprecated Du coup je mets ça : total = true ## Specifies for which classes a total metric should be issued. Total is an aggregated of the 'perdevice' values. ## Possible values are 'cpu', 'blkio' and 'network' ## Total 'cpu' is reported directly by Docker daemon, and 'network' and 'blkio' totals are aggregated by this plugin. ## Please note that this setting has no effect if 'total' is set to 'false' total_include = ["cpu", "blkio", "network"] Et plus de messages d'avertissement. Je remet tout le bloc de docker : # Source : https://github.com/influxdata/telegraf/blob/master/plugins/inputs/docker/README.md # Read metrics about docker containers [[inputs.docker]] ## Docker Endpoint ## To use TCP, set endpoint = "tcp://[ip]:[port]" ## To use environment variables (ie, docker-machine), set endpoint = "ENV" endpoint = "unix:///var/run/docker.sock" ## Set to true to collect Swarm metrics(desired_replicas, running_replicas) ## Note: configure this in one of the manager nodes in a Swarm cluster. ## configuring in multiple Swarm managers results in duplication of metrics. gather_services = false ## Only collect metrics for these containers. Values will be appended to ## container_name_include. ## Deprecated (1.4.0), use container_name_include # container_names = [] ## Set the source tag for the metrics to the container ID hostname, eg first 12 chars # source_tag = false ## Containers to include and exclude. Collect all if empty. Globs accepted. # container_name_include = [] # container_name_exclude = [] ## Container states to include and exclude. Globs accepted. ## When empty only containers in the "running" state will be captured. ## example: container_state_include = ["created", "restarting", "running", "removing", "paused", "exited", "dead"] ## example: container_state_exclude = ["created", "restarting", "running", "removing", "paused", "exited", "dead"] # container_state_include = [] # container_state_exclude = [] ## Timeout for docker list, info, and stats commands timeout = "5s" ## Whether to report for each container per-device blkio (8:0, 8:1...), ## network (eth0, eth1, ...) and cpu (cpu0, cpu1, ...) stats or not. ## Usage of this setting is discouraged since it will be deprecated in favor of 'perdevice_include'. ## Default value is 'true' for backwards compatibility, please set it to 'false' so that 'perdevice_include' setting ## is honored. perdevice = false ## Specifies for which classes a per-device metric should be issued ## Possible values are 'cpu' (cpu0, cpu1, ...), 'blkio' (8:0, 8:1, ...) and 'network' (eth0, eth1, ...) ## Please note that this setting has no effect if 'perdevice' is set to 'true' perdevice_include = ["cpu", "blkio", "network"] ## Whether to report for each container total blkio and network stats or not. ## Usage of this setting is discouraged since it will be deprecated in favor of 'total_include'. ## Default value is 'false' for backwards compatibility, please set it to 'true' so that 'total_include' setting ## is honored. total = true ## Specifies for which classes a total metric should be issued. Total is an aggregated of the 'perdevice' values. ## Possible values are 'cpu', 'blkio' and 'network' ## Total 'cpu' is reported directly by Docker daemon, and 'network' and 'blkio' totals are aggregated by this plugin. ## Please note that this setting has no effect if 'total' is set to 'false' total_include = ["cpu", "blkio", "network"] ## docker labels to include and exclude as tags. Globs accepted. ## Note that an empty array for both will include all labels as tags # docker_label_include = [] # docker_label_exclude = [] ## Which environment variables should we use as a tag # tag_env = ["JAVA_HOME", "HEAP_SIZE"] ## Optional TLS Config # tls_ca = "/etc/telegraf/ca.pem" # tls_cert = "/etc/telegraf/cert.pem" # tls_key = "/etc/telegraf/key.pem" ## Use TLS but skip chain & host verification # insecure_skip_verify = false

@oracle7 Je suis en train de regarder mes 3 instances de telegraf : La première (celle pour le NAS) ne me fait pas vraiment d'erreur, et grafana fonctionne correctement, j'ai juste ceci en log : 2021-03-18T05:01:40Z I! Starting Telegraf 1.18.0 2021-03-18T05:01:40Z I! Using config file: /etc/telegraf/telegraf.conf 2021-03-18T05:01:40Z I! Loaded inputs: cpu disk diskio docker kernel mem processes snmp swap system 2021-03-18T05:01:40Z I! Loaded aggregators: 2021-03-18T05:01:40Z I! Loaded processors: 2021-03-18T05:01:40Z I! Loaded outputs: influxdb 2021-03-18T05:01:40Z I! Tags enabled: host=monitoring_telegraf 2021-03-18T05:01:40Z I! [agent] Config: Interval:10s, Quiet:false, Hostname:"monitoring_telegraf", Flush Interval:10s 2021-03-18T05:01:40Z W! [inputs.docker] 'perdevice' setting is set to 'true' so 'blkio' and 'network' metrics willbe collected. Please set it to 'false' and use 'perdevice_include' instead to control this behaviour as 'perdevice' will be deprecated 2021-03-18T05:01:40Z W! [inputs.docker] 'total' setting is set to 'false' so 'blkio' and 'network' metrics will not be collected. Please set it to 'true' and use 'total_include' instead to control this behaviour as 'total' will be deprecated Il faudrait que j'aille voir le fichier de config pour voir où est ce setting perdevice et voir comment le transformer en perdevice_include. Pour mon telegraf de mon autre NAS éteint, j'ai ceci : (plus chiant à récupérer ce log, il est lourd, et j'ai du faire un copier coller d'un .csv exporté depuis l'interface de Docker DSM) 2021-03-18 05:02:10,stderr,2021-03-18T05:02:10Z E! [inputs.docker] Error in plugin: Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 2021-03-18 05:02:00,stderr,2021-03-18T05:02:00Z E! [inputs.docker] Error in plugin: Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 2021-03-18 05:02:00,stderr,2021-03-18T05:02:00Z E! [inputs.docker] Error in plugin: Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 2021-03-18 05:01:50,stderr,2021-03-18T05:01:50Z E! [inputs.docker] Error in plugin: Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 2021-03-18 05:01:50,stderr,2021-03-18T05:01:50Z E! [inputs.docker] Error in plugin: Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 2021-03-18 05:01:40,stderr,2021-03-18T05:01:40Z E! [inputs.docker] Error in plugin: Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 2021-03-18 05:01:40,stderr,2021-03-18T05:01:40Z E! [inputs.docker] Error in plugin: Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running? 2021-03-18 05:01:34,stderr,2021-03-18T05:01:34Z W! [inputs.docker] 'total' setting is set to 'false' so 'blkio' and 'network' metrics will not be collected. Please set it to 'true' and use 'total_include' instead to control this behaviour as 'total' will be deprecated 2021-03-18 05:01:34,stderr,2021-03-18T05:01:34Z W! [inputs.docker] 'perdevice' setting is set to 'true' so 'blkio' and 'network' metrics willbe collected. Please set it to 'false' and use 'perdevice_include' instead to control this behaviour as 'perdevice' will be deprecated 2021-03-18 05:01:34,stderr,"2021-03-18T05:01:34Z I! [agent] Config: Interval:10s, Quiet:false, Hostname:\"monitoring_telegraf_214play\", Flush Interval:10s Je viens de vérifier dans le fichier de config, et j'ai pas enlevé la partie docker pour le 214play... Je viens de le faire ^^ Faut que je relance les conteneurs. Pour le telegraf de la LB4 : je n'ai que ceci, avec des fois des ligne avec Wrote batch of 98 metrics in 590.559845ms 2021-03-20T06:51:30.254774528Z 2021-03-20T06:51:30Z D! [outputs.influxdb] Buffer fullness: 0 / 10000 metrics 2021-03-20T06:52:30.255858613Z 2021-03-20T06:52:30Z D! [outputs.influxdb] Buffer fullness: 0 / 10000 metrics 2021-03-20T06:53:30.256299966Z 2021-03-20T06:53:30Z D! [outputs.influxdb] Buffer fullness: 0 / 10000 metrics 2021-03-20T06:54:30.256410683Z 2021-03-20T06:54:30Z D! [outputs.influxdb] Buffer fullness: 0 / 10000 metrics 2021-03-20T06:55:30.257312947Z 2021-03-20T06:55:30Z D! [outputs.influxdb] Buffer fullness: 0 / 10000 metrics Mais du coup, pas d'erreurs particulière avec le 1.18 de telegraf. Je n'ai pas les erreurs que tu remontes...

En allant voir le tuto pour l'histoire du devices vide de @firlin, j'ai vu ce que je viens de citer. C'est dans quel sens que vous parler de plex passant par la 4G ? Genre modem 4G ? Si c'est le cas, je ne suis pas concerne. Sinon, si c'est pour avoir accès via un smartphone en 4G, je peux vous dire que ça fonctionne bien chez moi, sans passez par un PMS en macvlan, juste un PMS en host. 🙂😉

Pour ta dernière question, oui c'est normal de ne pas voir ici les conteneurs, car là c'est la partie Networks !