Jeff777

Oui c'est possible en IPV6 et tu n'as pas besoin de deux domaines différents. Maintenant démontrer qu'en IPV4 ce n'est pas possible je n'en suis pas capable 😐 En tout cas je n'y suis pas arrivé. En IPV4, en cas de panne du syno1, le monde ne connait que l'adresse du domaine via le DNS secondaire, . Donc une requête avec ton nom de domaine amène sur la box. Ce qui doit manquer c'est que la box redirige vers le syno2. Pour cela il faudrait un reverse proxy sur la box. Cet article semble dire que c'est possible...mais pas (encore?) à ma portée : http://cvoisin-domo.blogspot.com/2015/11/box-et-reverse-proxy.html J'ai aussi trouvé ce site pour rasberry : https://www.abyssproject.net/2017/02/enfin-un-reverse-proxy-nginx-pour-la-maison/ Mais là on s'éloigne du sujet de ce forum 😁. Et que ce passe-t-il en cas de panne du rasberry ?

Bien joué !

Pas trop le temps de faire un retour détaillé. Du bon et du moins bon mais en tout cas le but est bien atteint: Syno 1 et 2 connectés : tout est accessible Syno 1 seul connecté tout est accessible Syno 2 connecté, lui seul est accessible (j"espérais atteindre des équipements déclarés avec leur IPV6). Mais j'ai une piste.. Ceci sur PC Win 10 par contre problèmes sur Android Bonne soirée

Oui mais ça c'est encore plus galère. Il faut saisir toutes les entrées CNAME dans les zones et tous ces domaines dans le certificat. A moins que tu connaisses une astuce 😊 Pour les 3 questions j'essaie de vérifier cet am

Ils ont essayé....ce qui me conforte dans le sens d'une erreur de prix. Maintenant ils sont coincés...ils vont peut-être tenter la rupture de stock 😫

Les adresses sont identiques. Je peux utiliser http, https ou rien en préfixe et ça redirige vers du https. Bon je vais peut être me fendre d'un petit tuto. Mais avant cela j'aimerais bien vérifier tout cela depuis l'extérieur de façon plus exhaustive. Cet AM je pourrais. Je vais tester les adresses avec les deux synos puis je vais couper le syno1 et les re-tester. Ce matin panique, je n'y arrivais plus en local....en fait mon certificat wildcard avait expiré (3 mois ça fait court).

Non les seuls enregistrements A que j'ai dans la zone publique sont ceux du ndd et ns.ndd tous les autres sont en AAAA. Par contre le .htaccess et le reverse proxy (qui redirige en IPV4) font leur boulot dans le cas où le syno1 est fonctionnel.Le syno2 n'intervient pas. Dans le cas ou le syno1 n'est pas fonctionnel l'adresse est résolue avec les enregistrements propagés donc pour le syno2 l'adresse IPV6. Pourquoi la box permet la redirection vers le syno2 alors que la redirection est vers syno1 (qui n'est plus là)? Je ne sais pas mais ça fonctionne. Peut-être parce que l'adresse IPV6 pointe directement sur le syno2. oui il faut effectivement une connexion IPV6 pour que ça marche 😉

C"était une erreur. Ils ont corrigé 😒 https://www.cdiscount.com/informatique/disques-durs-internes/pack-x2-disque-dur-interne-nas-wd-red-4to-5/f-10768-bunwd40efrx22.html#mpos=32|cd

Bon @Dimebag Darrell et @dd5992 j'ai une idée toute bête qui mérite d'être exploitée sur l'affaire des deux synos : Lorsque le syno1 est hors circuit il reste le DNS secondaire et la propagation des enregistrements et une requête internet est résolue à ce niveau. Conclusion dans la zone publique il faut : mettre l'adresse IPV6 du syno2 par un enregistrement AAAA celle ci est répliquée dans le DNS secondaire (Hurricane electrique for me) puis communiquée au monde (on vérifie la propagation avec un test AAAA sur syno2.ndd à l'aide de www.whatsmydns.net) On débranche le syno1 la propagation reste en place tant que le DNS secondaire est vivant ( j'ai vérifié en forçant la mise à jour de la zone esclave que les enregistrements restaient en place mais je ne sais pas ce qui se passe à l'expiration des TTL) Les ports ?...........j'ai laissé les ports par défaut 80,443,5000,5501 sur les deux syno et pas de redirection vers le syno2. J'ai gardé le .htaccess et le reverse proxy identiques sur les deux syno. En local je me connecte au syno2 en https avec l'adresse syno2.ndd que le syno1 soit présent ou non. Maintenant pour le test en externe j'ai quelques difficultés. Je n'ai pas la 4G et je n'ai pas trouvé de proxy qui fasse IPV6. Alors j'ai fait du loopback sans être certain que la démonstration soit béton pour cela j'ai interdit dans le pare-feu du syno2 les adresses locales en IPV4 et en IPV6. Je me connecte au syno2 ! L'adresse syno2.ndd est bien résolue en https et dans le journal je vois l'adresse IPV6 temporaire de mon PC. Bon ça parait beaucoup trop simple pour que ce soit la solution ??. Mais c'est peut-être une piste à exploiter...... J'ai eu un doute et j'ai demandé à un copain de se connecter depuis son PC et .....ça marche !

Ah OK c'est un troisième cas que je n'avais pas envisagé. C'est donc une application sur le NAS qui permet via un serveur VPN externe de se connecter à un site depuis ton NAS. VPN serveur ne sert qu'à se connecter à son NAS depuis l'extérieur par un tunnel sécurisé. Il n'est donc d'aucun secours pour ce que tu veux faire. Et moi je ne suis d'aucun secours également 😞

Mais le VPN payant c'est un serveur externe ou bien une application serveur installée sur le NAS ??? Dans le premier cas il n'y a pas de raison que cela ne fonctionne pas (atteindre son NAS depuis l'extérieur via un serveur VPN) Cela voudrait plutôt dire que c'est le deuxième cas : une application qui est installée sur le NAS. Dans ce cas pourquoi ne pas utiliser VPN serveur qui marche très bien ? Sauf à essayer le VPN payant pour le fun 😁. En tout cas je n'ai pas essayé.

Bonjour, Pas essayé. Mais pourquoi utiliser un VPN payant alors que VPN serveur est gratuit et fonctionne?

L'IPV6, comme l'avait vu @dd5992 permet de trouver des solutions à certains sujets :

Ce que je te conseille c'est de noter les IP des attaques et de voir d'où elles proviennent (sur internet il y a des sites qui te permettent de localiser une IP. Par exemple :http://www.localiser-ip.com/) Tu peux alors interdire les IP provenant de cette région en règle N°4.

Oui "aléatoire" (ou pseudo aléatoire comme écrit wikipédia) n'est pas le contraire de "fixe" 😊 et tu as raison elle doivent être inscrites quelque part dans le système. D'ailleurs les modif que j'avais vues sur mon PC et qui dataient de plus de 4 mois devaient correspondre à une réinstallation de Win10.

ça prouve que le forum est très réactif 😉

Bonjour, Il me semble qu'au contraire c'est très précis mais il faut arriver jusque là : Après les autres règles entre la troisième et la quatrième ligne ça dépend de ta config. De mon côté je n'ai autorisé que les IP venant de France ou de GB mais cela ça dépend de chacun. En tout cas, avant jamais de nombreuses attaques (surtout en présence du SSH mais pas que) venant majoritairement d'Asie et maintenant quasiment plus une seule.

Depuis que j'ai désactivé l'attribution aléatoire des adresses par Windows 10 et que j'ai décoché le DHCPv6 de la freebox mes adresses externes et locales sont fixes et basées sur l'adresse MAC. Par contre mon adresse IPV6 sur internet que voit https://test-ipv6.com/ par exemple est l'adresse temporaire qui elle change assez souvent. Extrait de Wikipédia Adresse IPV6 Assignation des adresses IPv6 dans un réseau local La taille du sous-réseau étant fixée à 64 bits, les hôtes disposent des 64 bits restants pour la numérotation à l'intérieur du sous-réseau. Plusieurs techniques existent pour assigner les adresses dans le sous-réseau : Configuration manuelle l'administrateur fixe l'adresse. Les adresses constituées entièrement de 0 ou de 1 ne jouent pas de rôle particulier en IPv6. Configuration automatique RFC 486220 : autoconfiguration sans état basée sur l'adresse MAC qui utilise le Neighbor Discovery Protocol (NDP). RFC 494121 : tirage pseudo aléatoire (actif par défaut sur les versions client des systèmes Microsoft Windows) RFC 331522 : DHCPv6 Il existe au moins une adresse locale de lien (fe80::/64) pour chaque interface IPv6. Le RFC 486123 permet de construire le ou les adresses globales unicast avec chacun des préfixes /64 annoncés par le routeur. En général, les 64 bits d'interfaces sont construits à partir de l'adresse MAC dans un format nommé EUI-64 modifié. Ce système a soulevé des inquiétudes vis-à-vis de la protection de la vie privée, dans la mesure où les adresses MAC sont alors visibles dans l'adresse IPv6 et peuvent permettre d'identifier l'équipement. Que le test IPV6 détecte mon adresse temporaire est plutôt rassurant !

Comment c'est possible ???

!!!! En re-vérifiant ce que j'avais dit je m'aperçois que je me suis planté dans la retranscription de ma solution.!!!!!.Mais tu as corrigé toi même 😊 On reprend : Ce qui marche chez moi c'est : Sur syno1 Zone privée : deux enregistrements A : syno1.ndd1==>192.168.0.X1 et syno2.ndd2==>192.168.0.X2 les deux noms renvoient vers les IP locales des syno Zone publique deux CNAME vers le dns serveur : ns.ndd Reverse proxy : syno1.ndd1==>192.168.0.X1:5000 et syno2.ndd2==>192.168.0.X2:5100 (maintenant je viens d'essayer avec le même port 5000 sur les deux syno, bien sûr ça marche aussi en interne et externe) J'imaginais faire la même chose avec le syno2 en symétrique (utiliser le deuxième domaine faire un dns reprendre les zones et le reverse proxy) et mettre les deux DNS (du syno1 et du syno2) dans le DHCP de la box. Ce qui est idiot puisqu'ils ont la même IP , d'ailleurs c'est certainement pas possible d'avoir deux DNS avec la même IP . Alors oui les IPV6 peuvent être la solution....j'ai bien envie d'essayer 😁

Effectivement un peu riche @dd5992. Que penses-tu de ma proposition ? je ne suis pas très certain que cela marcherai mais peut-être qu"avec les deux domaines et les deux synos de @Dimebag Darrell ça vaut le coup d'essayer.

Voilà comment je fais avec mes deux syno : Deux enregistrements Cname dans le syno1 qui héberge le DNS : syno1 et syno2, dans la zone privée (avec leur IP locales) et dans la zone publique vers ns.ndd deux enregistrements dans le reverse proxy : syno1.ndd ==> localhost:5000 syno2.ndd==>localhost:5100 Correction pour syno2 c'est l'IP locale du syno2 au lieu du localhost que j'ai mis ! les ports sont déclarés dans leur syno respectifs (réseau / paramètres DSM avec syno1.ndd et syno2.ndd j'arrive respectivement sur chaque interface DSM des syno. Bien sûr il faut que le syno1 fonctionne pour que son reverse proxy redirige vers le bon syno. Sinon avec un deuxième domaine et un deuxième DNS pour le syno2 on peut peut-être faire le symétrique et dans ce cas ça marcherait toujours pour joindre le syno encore debout ! Mais là je te laisse le soin d'essayer 😁

Le vidage des caches permet juste de vérifier la résolution de l'adresse sans pollution d'une réponse précédente qui aurait été faite avec un autre paramétrage. Une fois que tu as vidé les caches si tu ne touches pas au paramétrage tu devrais avoir toujours la même réponse, sans avoir besoin de vider les caches. Sauf si comme je le disais le SYNO est saturé par une tâche annexe.

Bonjour, Pour être certain que ça fonctionne correctement il faut vider le cache du navigateur et celui du dns avant l'essai. Si le NAS ne répond pas correctement systématiquement il est possible qu'il soit occupé à une autre tâche. Consulte le moniteur de ressources. Peut-être une indexation ou conversion en cours ou une application qui met la pagaille.

Salut Le port pour la gestion des NAS est par défaut 5000(http) et 5001(https). A définir dans réseau/paramètres du DSM. donc ndd:5000 ou https://ndd:5001 doivent y mener. ndd étant soit ton nom de domaine soit ton sous-domaine si tu as défini un CNAME pour le NAS (ce que tu as du faire puisque tu as plusieurs NAS). Je ne sais pas si tu as suivi le tuto de Fenrir jusqu'au bout y compris celui de Mic13710 mais tu peux utiliser le reverse proxy pour éviter d'avoir à saisir le port. Pour éviter les problème de cache tu fais un flushdns en ligne de commande et tu vide le cache du navigateur (avec Ccleaner par exemple)