Tex5

Bonjour, Avec le blocage à venir Netflix pour bloquer le partage de compte, je crains de me retrouver bloqué quand j'utilise mon compte dans ma résidence secondaire. Du coup, étant donné que chaque site dispose d'une Freebox, avec RT2600 et VPN site entre les deux, je me demande s'il ne serait pas possible que router le trafic de ma fireTV du site 2 sur la sortie internet du site 1 via le VPN site. En théorie cela devrait fonctionner mais je ne sais pas trop comment faire. Une route statique (IP de la fixeTV) ? Je suis preneur de vos conseils.

Merci pour le Tuto

les 2 sont désormais en 1.3.1 et cela fonctionne toujours 😉

Encore un excellent Tuto 😉 merci

Grace à l'aide du forum j'ai avancé. Merci Mon certificat OVH est installé avec renouvellement auto sur le NAS du site 1 puis importé manuellement sur les RT2600 des sites 1 et 2 avec 2 sous domaines : site1.xxx.ovh A IP1 site2.xxx.ovh A IP2 Je me demande si le script ACME pourrait être installé sur mes RT2600 pour qu'ils puissent aussi le mettre à jour automatiquement ? Ou est ce nécessaire de le mettre à jour manuellement sur les RT2600 ? Le VPN indiv (Synology SSL VPN) est configuré sur les 2 sites (RT2600) ==> Je peux donc accéder à SRM des 2 sites de n'importe où 😉 Le VPN site à site entre les 2 sites est aussi fonctionnel. ==> Je peux donc accéder aux machines des 2 sites sans distinction (ce qui permettra la sauvegarde NAS à NAS). par contre sur un site je n'arrive pas à accèder au SRM de l'autre site. Est ce normal ? J'ai une zone local DNS configurée sur le serveur DNS du RT2600 du site 1 et un ADguard en docker sur le NAS du site 1. Je ne vois pas trop l'intérêt de dupliquer sauf en cas de perte du site 1, donc mon serveur DSN principal sur le site 2 est configuré avec l'IP LAN du RT2600 site 1. Est ce une bonne/mauvaise idée ? Le reverse proxy DSM fonctionne. Il faut que je prenne désormais du temps pour mettre en place : - le reverse proxy NGIX via docker si cela apporte un plus - le NAS 2 sur le site 2 - la sauvegarde entre les 2 NAS (hyper Backup) - Configurer l'instance Vaultwarden (Docker) - voir comment mettre en place mon cloud privé sur mon NAS 1 - penser à ma future installation de caméras avec Surveillance Station sur NAS Site 2 avec synchronisation des vidéos sur le NAS site 1. - accessoirement voir comment donner une adresse IPv6 en SLAAC, sans activer DHCPv6, sur le RT2600 pour pouvoir mettre les players Freebox POP derrières les RT2600 et pas sur les Freebox serveurs directement. Cela semble possible théoriquement (source) mais je ne sais pas comment faire sur SRM.

Pour l'instant un en 1.2.5 et l'autre en 1.3.1. Je passerai le second en 1.31 de retour sur site.

Bon ba comme disait Jean-Claude Dusse : "c'est mes yeux ou quoi ?" Et bien oui, à force de lire ce que j'avais en tête je n'avais pas vu une coquille dans une IP. Une fois corrigée, le Sesame arrive avec un status "connecté" 😍 Quel boulet !!! 😱

Je suis passé en 1.3.1 Update 1 sur le site 2. Depuis j'arrive à accèder en SSH au routeur. je vois bien des trames mais toujours aucune connexion établie entre mes 2 sites. Je ne suis pas très chaud pour faire la montée 1.3.1 sur le routeur 1 à distance depuis le VPN, cela attendra donc que je sois sur place.

Ah ba je pensais comme DizHell et qu'avec la gestion des VLAN il serait possible de connecter la box TV sur le RT2600 et plus en direct sur la box afin d'y accéder via le Wifi. du RT26 La solution actuelle empêche de faire du chromecast sauf à laisser le wifi de la box opérateur en plus de celui du RT2600

J'ai activé SSH sur mes RT mais impossible de se connecter. j'essaye de le logguer avec mon compte admin et une fois le mot de passe renseigné il me dit access denied. Il y a une astuce ? Je suis en SRM 1.2.5-8227 Update 5. Est ce que passer en 1.3.1 RC pourrait résoudre mes soucis ?

Ne t'excuse pas. Tu prends du temps pour m'aider 😉 J'avoue que je ne sais plus quoi vérifier sur le site 2 1er bleu : IP2 2nd et 3ème bleu : IP1

Désolé je n'avais pas compris A ce stade je n'ai rien de configuré de spécifique J'ai ça sur le RT du Site 1 Et ça sur le RT du site 2 : Je viens aussi de découvrir Il faut configurer qqch sur ces paramètres VPN ? Le VPN que j'utilise pour me connecter à distance sur mon RT du site 1 c'est ça :

Pour le DNS et le NTP j'avoue que je ne sais pas trop. Je vais surement les supprimer du coup Comment vérifie-t-on l'ordre des règles ? Je pensais que c'était la première ligne en premier Edit Je viens de voir que dans internet/connexion on peut mettre des paramètres VPN. Il faut y toucher ?

sur le RT du site 1 j'ai : En bleu c'est l'IP publique du site 2 Sur le RT du site 2 j'ai ça En bleu c'est l'IP publique du site 1

Non, j'utilise la connexion VPN pour faire les contrôles et les modifs sur le RT distant du site 1 Je viens de mettre en premier sur les 2 routeurs la règle UDP 500,4500 mais sans plus de résultat

Non le VPN site à site ne fonctionne toujours pas (connexion en cours) J'arrive par contre depuis le site 2 à me connecter au VPN plus (SSL) configuré sur le routeur du site 1. Le ping c'est juste que j'essayais de faire des contrôles. avec un tracert pour essayer de voir d'où vient le soucis J'ai bien mis la réponse au ping sur les 2 Freebox. Ce qui m'étonne c'est qu'en toute logique, depuis le routeur du site 2 je devrait pouvoir avoir une réponse au ping de l'adresse publique 1

Merci pour tes efforts. J'ai corrigé les fautes de frappes. Mes 2 IP sont fixes full stack J'ai changé les règles Firewall comme tu l'indiques! Cela ne change malheureusement pas le résultat. Ce que je ne comprends pas c'est pourquoi via les outils réseaux SRM, je n'arrive pas à pinger l'IP publique de l'autre site. Pourtant je suis sur le site 2 et j'arrive à me connecter en VPN sur le site 1. Donc la route réseau existe. Je n'ai pas d'accès SSH sur le PC de pret que j'utilise, je vais regarder pour installer un client.

Merci, je viens de modifier l'adressage LAN de la Freebox 2 mais cela en change rien Ma configuration : Site 1 : Freebox POP adresse IP WAN: IP1 fixe full stack configurée en mode DMZ vers le RT2600 avec UPnP désactivé Routeur RT2600 1 : IP WAN: 192.168.1.2 IP LAN: 192.168.5.1 Le VPN Syno SSL est configuré sur ce RT2600, ce qui me permet depuis le site 2 de faire des modifications sur les 2 RT2600 ---------- Site 2 : Freebox POP adresse IP WAN: IP2 fixe full stack configuré en mode DMZ vers le RT2600 avec UPnP désactivé Routeur RT2600 2 : IP WAN: 192.168.99.2 sans domaine IP LAN: 192.168.10.1 ------------------------------ Sur les 2 RT2600 j'ai les règles parefeu suivantes : TCP/UDP source toute IP et tout port ; cible SRM ports 500 et 4500 Sur le VPN site to site du RT1, j'ai : Nom de profil : profil Clé pré-partagée : clé identique sur les 2 RT Activer cette connexion : cochée Activer la validation DNSSEC : cochée Site local : IP sortante : 192.168.1.2 ID local : IP1 Sous-réseau privé : 192.168.5.10/24 Site distant : Adresse IP/FQDN : IP2 ID distant : IP2 Sous-réseau privé : 192.168.10.0/24 Dead Peer Detection : Activer : cochez cette case pour activer Dead Peer Detection (DPD). Délai DPD : 30 Expiration DPD : 120 ---------------------------- Sur le VPN site to site du RT2, j'ai : Nom de profil : profil Clé pré-partagée : clé identique sur les 2 RT Activer cette connexion : cochée Activer la validation DNSSEC : cochée Site local : IP sortante :192.168.99.2 ID local : IP2 Sous-réseau privé : 192.168.10.0/24 Site distant : Adresse IP/FQDN :IP1 ID distant : IP1 Sous-réseau privé : 192.168.5.0/24 Dead Peer Detection : Activer : cochez cette case pour activer Dead Peer Detection (DPD). Délai DPD : 30 Expiration DPD : 120

Je viens de prendre enfin le temps d'essayer de configurer mon VPN site mais impossible connecter les 2 routeurs Ma configuration : Site 1 : Freebox POP adresse IP WAN: IP1 fixe full stack configurée en mode DMZ vers le RT2600 avec UPnP désactivé Routeur RT2600 1 : IP WAN: 192.168.1.2 IP LAN: 192.168.5.1 Le VPN Syno SSL est configuré sur ce RT2600, ce qui me permet depuis le site 2 de faire des modifications sur les 2 RT2600 ---------- Site 2 : Freebox POP adresse IP WAN: IP2 fixe full stack configuré en mode DMZ vers le RT2600 avec UPNP désactivé Routeur RT2600 2 : IP WAN: 192.168.1.56 sans domaine (est ce un soucis d'avoir le même adressage LAN Freebox 192.168.1.0/24 sur les 2 sites ?) IP LAN: 192.168.10.1 ------------------------------ Sur les 2 RT2600 j'ai les règles parefeu suivantes : TCP/UDP source toute IP et tout port ; cible SRM ports 500 et 4500 Sur le VPN site to site du RT1, j'ai : Nom de profil : profil Clé pré-partagée : clé identique sur les 2 RT Activer cette connexion : cochée Activer la validation DNSSEC : cochée Site local : IP sortante : 192.168.1.2 ID local : IP1 Sous-réseau privé : 192.168.5.10:24 Site distant : Adresse IP/FQDN : IP2 ID distant : IP2 Sous-réseau privé : 192.168.10.0/24 Dead Peer Detection : Activer : cochez cette case pour activer Dead Peer Detection (DPD). Délai DPD : 30 Expiration DPD : 120 ---------------------------- Sur le VPN site to site du RT2, j'ai : Nom de profil : profil Clé pré-partagée : clé identique sur les 2 RT Activer cette connexion : cochée Activer la validation DNSSEC : cochée Site local : IP sortante :192.168.1.56 ID local : IP2 Sous-réseau privé : 192.168.10.0/24 Site distant : Adresse IP/FQDN :IP1 ID distant : IP1 Sous-réseau privé : 192.168.5.0/24 Dead Peer Detection : Activer : cochez cette case pour activer Dead Peer Detection (DPD). Délai DPD : 30 Expiration DPD : 120 J'ai eu beau refaire la configuration plusieurs fois, rein n'y fait je reste à connexion en cours avec 0 B / 0 B J'ai besoin d'un coup de main car hormis changer le sous réseau (19.2.168.1.X) des 2 freebox je ne vois pas ce qui peut bloquer Un autre truc qui m'étonne : impossible de pinger l'IP publique d'un site depuis l'autre site. Je ne comprends pas pourquoi (j'ai bien activé la réponse au ping sur les 2 freebox) Quand je fais un Trace route d'un site vers vers le site cela bloque après le routeur au niveau d'un nœud en 194.149.X.X, ce qui est étonnant car ce sont 2 IP publiques Free.

@.Shad. merci Le script a focntionné

@.shad Merci, j'ai supprimé --set-defaut-ca et laissé --server letsencryp Le script va plus loin mais me dit désormais : [Sat Aug 6 13:11:12 CEST 2022] You don't specify OVH application key and application secret yet. [Sat Aug 6 13:11:12 CEST 2022] Please create you key and try again. Alors que j'ai bien fait au préalable : $ export OVH_END_POINT=ovh-eu $ export OVH_AK="votre application key" $ export OVH_AS="votre application secret" $ export OVH_CK="votre consumer key" Avec mes valeurs de clé. On est d'accord qu'i ne faut pas mettre de " ?

@.Shad. J'ai essayé de dérouler le tuto (très bien expliqué) mais je dois louper un truc J'ai réussi a créer mon macvlan (déjà utilisé par mon docker Plex), ainsi que mon interface virtuelle Par contre quand j'essaie de créer le container j'obtiens cela : ERROR: In file './docker-compose.yml', network 'external' must be a mapping not a boolean. c'est surement une erreur stupide de débutant mais j'ai beau recommencer depuis le début, rien n'y fait.

@oracle7 Je viens d'y passer quelque heures et je suis perdu. J'ai suivi le tuto (enfin il me semble) et quand j'exécute : $ ./acme.sh --issue --keylength 4096 -d "$CERT_DOMAIN" -d "$CERT_WDOMAIN" --dns "$CERT_DNS" --set-default-ca --server letsencrypt J'obtiens juste : [Sat Aug 6 02:31:10 CEST 2022] Changed default CA to: https://acme-v02.api.letsencrypt.org/directory Mais pas la suite attendue si je mets sudo avant d'executer le script, j'obtiens cela touch: cannot touch '/root/.acme.sh/account.conf': No such file or directory grep: /root/.acme.sh/account.conf: No such file or directory grep: /root/.acme.sh/account.conf: No such file or directory ./acme.sh: line 2271: /root/.acme.sh/account.conf: No such file or directory grep: /root/.acme.sh/account.conf: No such file or directory Du coup j'ai ouvert le acme.sh et j'ai modifié comme suit: #DEFAULT_INSTALL_HOME="$HOME/.$PROJECT_NAME" DEFAULT_INSTALL_HOME=$ACME_HOME Je n'ai plus les erreurs de fichier non trouvé mais je reste avec le résultat précédent et pas de certificat Pour les actions à faire avant notamment : $ export CERT_DOMAIN="votre-domaine.tld" $ export CERT_WDOMAIN="*.votre-domaine.tld" On ne met pas de " autour du vrai nom de domaine ? $ export CERT_DNS="dns_ovh" Je met cette ligne exactement ou il faut mettre une valeur à la place de "dns_ovh" ? j'ai essayé en mettant dns17.ovh.net mais j'ai eu le même résultat Merci d'avance

@.Shad.Ok merci c'est très clair. Si tu as un lien pour l'automatisation de certificat sur le NAS (hors OVH) je suis quand même preneur.

Merci @.shad J'ai corrigé le lien vers le bon tuto (Certificat SSL & reverse proxy via Docker). 😉 Donc avec un domaine ovh, je peux avoir le même domaine et des sous domaines pour différents sites. Est ce que cette configuration (sous domaines dans zone DSN) peut être faite au niveau d'OVH ou est ce que c'est à faire sur le serveur DNS local de mon routeur (site principal) ? J'essaie de comprendre si en cas de plantage/reboot de mon RT2600 principal mon site secondaire resterait toujours accessible. Là je suis vraiment perdu. J'avais justement compris qu'avec DSM il fallait manuellement mettre à jour ce certificat tous les 2/3 mis et qu'on ne pouvait pas l'automatiser, à la différence des tuto qui justement semblent permettre cette automatisation via API OVH. Je vais relire tout ça car j'ai du aller trop vite.