.Shad.

@axb J'ai l'impression que dans ton impression d'écran suivante : Tu as mis dans source le domaine xxx.synology.me, et ça ne peut pas marcher ainsi. Quand tu crées une entrée de proxy inversé, il faut que ce soit de la forme yyy.xxx.synology.me, par exemple pour accéder à dsm tu peux utiliser l'adresse dsm.xxx.synology.me. Car pour que le proxy inversé sache où rediriger la bonne requête, il lui faut une indication, et celle-ci sera justement le sous-domaine "dsm" que tu vas indiquer dans ton adresse. Quand il voit dsm.xxx.synology.me sur le port 443 (HTTPS), il va remarquer que ça correspond à un de ces enregistrements et rediriger comme il se doit. C'est là que survient le second problème, qui n'empêche pas le fonctionnement, mais qui est inutile, ta source est en HTTPS. Entre le proxy inversé et le service vers lequel tu rediriges tu restes dans le même réseau local généralement, ici tu restes même sur la même machine, tu n'as donc aucune raison de chiffrer en boucle locale. Donc dans destination, n'utilise pas le protocole et le port HTTPS, mais HTTP. Disons au hasard que tu as choisi 64080 pour DSM HTTP et 64443 pour DSM HTTPS, tu redirigeras vers http://localhost:64080 (Il n'y a au passage aucun intérêt à masquer ces ports...). l'adresse xxx.synology.me servira simplement à faire pointer vers ton IP publique en extérieur, et vers ton NAS localement par le serveur DNS. Il faudra ajouter dans ta zone DNS locale un enregistrement de type : dsm.xxx.synology.me CNAME xxx.synology.me Pour la zone publique, elle est gérée par Synology, qui y ajoute automatiquement les domaines demandés lors de l'obtention d'un certificat Let's Encrypt depuis ton NAS. Si tu demandes un certificat wildcard, ce sera plus simple, et tous les domaines *.xxx.synology.me pointeront vers ton IP publique, en plus que cette opération ne demande aucune ouverture de port sur ton NAS. Ainsi si tu crées des services à la volée que tu souhaites placer derrière ton proxy, tu n'as pas besoin de redemander un certificat.

On ne met pas de port dans une requête nslookup, juste un domaine. Donc tu enlèves les : et le port.

Le support Synology t'a juste donné une réponse bateau pour le coup. Si ta zone est bien définie telle que ton impression d'écran le montrait, et qu'un nslookup www.google.fr (ou n'importe quel autre domaine) renvoie comme serveur DNS résolveur ton NAS (UnKnown / 192.168.50.92) alors je ne comprends pas que ton IP publique soit renvoyée. Est-ce qu'on est bien d'accord que le domaine xxx.synology.me renseigné dans Panneau de configuration -> Accès externe, correspond bien au domaine renseigné sur le premier champ de ta zone : La première étape c'est d'arrive à obtenir un renvoi d'IP privée sur ce domaine-là via un nslookup. Pour t'assurer que la réponse ne vient pas d'un cache résiduel du DNS, tu peux te connecter en invite de commande Windows et taper : ipconfig/flushdns Tant que http://xxx.synology.me:64yyy ne t'envoie pas vers DSM, il ne faut pas essayer d'aller plus loin. Pour la partie proxy inversé, il y a plein de choses qui ne vont pas, je te conseille de supprimer l'entrée que tu as créée dans Panneau de configuration -> Portail des applications -> Proxy inversé. Et décoche la case "Rediriger ... HTTP vers HTTPS ..." dans :

Je me rends compte que c'est fouillis et il y a des erreurs de logique, je vais corriger ça. Pour résumer ici, même avec un docker-compose unique, rien ne t'empêche d'avoir des répertoires séparés (docker/grafana, docker/influxdb et docker/telegraf) mais à partir du moment où les trois services fonctionnent ensemble, autant effectivement tous les mettre dans un même dossier docker/monitoring. Et oui on peut mettre aussi un dossier pour docker/monitoring/telegraf-data. Donc en somme, si fichier unique, tu fais : - /volume1/docker/monitoring/grafana-data - /volume1/docker/monitoring/influxdb-data - /volume1/docker/monitoring/telegraf-data et le fichier docker-compose tel que /volume1/docker/monitoring/docker-compose.yml Si pas, tu peux dissocier chaque dossier avec son propre compose : - /volume1/docker/grafana/data avec /volume1/docker/grafana/docker-compose.yml - /volume1/docker/influxdb/data avec /volume1/docker/influxdb/docker-compose.yml - /volume1/docker/telegraf/data avec /volume1/docker/telegraf/docker-compose.yml Tu y perds beaucoup à passer en host : - Tu exposes inutilement des services qui n'ont pas besoin de l'être sur ton NAS - Tu perds une grande partie de l'intérêt de l'isolation que procure Docker (Tu ne NAT que ce dont tu as besoin, voir les remarques après chaque docker-compose). - La philosophie de Docker réside dans les bridge, passer en host n'est à faire que dans des cas bien spécifiques où le mode bridge n'est pas pratique, conseillé ou même possible.

Normalement tu ne peux pas faire disparaitre totalement la trace d'un root, t'as un compteur au niveau du noyau qui ne se reset pas juste en jouant avec ADB. Pour les Pixel je ne sais pas, pour les OnePlus tu as sur XDA le logiciel de reset usine réel du constructeur qui remet vraiment ta machine en stock, mais c'est un peu l'exception. En tout cas je peux te dire que j'en suis content, tant au niveau de l'autonomie que de la photo. Je pense que pour l'aspect rooté tu comptes partir sur Magisk ?

@PiwiLAbruti Ok j'ai ma réponse, en fait j'ai rapidement testé à mon arrivée sur le forum de mettre en place un serveur mail. Et je n'arrivais rien à recevoir. C'est possible que Proximus bloque le port dans les deux sens. Mais avec mes connaissances actuelles et le tutoriel de @oracle7 je devrais être maintenant capable de diagnostiquer le problème, si problème je rencontre encore.

Bienvenue parmi nous !

Ca c'est pour le sens sortant, tu envoies un mail à quelqu'un (tu parles de bien de MPS émetteur). Donc oui le SMTP joue son rôle. Quand je lis ce sujet pour moi on parle des deux sens, c'est pour ça que je suis surpris que tu arrives à recevoir des mails comme n'importe quelle boîte mail avec ton serveur hébergé chez toi : https://lafibre.info/orange-les-news/neutralite-du-net-orange-bloque-le-port-25/ Enfin content pour toi que ça marche, mais ça m'énerve car je n'arrive pas à comprendre comment alors.

Pour les deux premières fonctionnalités, je ne pourrai pas t'aider plus que ça, c'est un réglage par défaut que je trouve sur d'autres périphériques de mon réseau. Pour DNSSEC, mon pfSense l'utilise, sur Pi-hole je n'ai pas trouvé de documentation exhaustive à ce sujet, ça a l'air de fonctionner out-of-the-box. C'est un outil pour se prémunir contre le cache poisoning. En revanche le dernier point je l'explicite dans le tutoriel :

Plutôt que "Rien n'est ouvert" j'aurais plutôt dû dire "Tout est contrôlé", ce qui est sûrement gage de qualité mais qui me gêne tout autant dans mon système de valeurs. 😛

@oracle7 Je me place du point de vue de MailPlus Server. Je considère que j'ai une adresse mail chez OVH mutualisé. Donc disons mail@ndd.ovh. Par entrant, j'entends recevoir un mail d'une source quelconque. Par sortant, j'entends envoyer un mail vers une source quelconque. Pour le côté sortant je n'ai aucun souci, le port 25 étant filtré en sortant par notre FAI, on utilise un serveur SMTP tiers avec authentification, TLS de préf en 587 ou SSL (déprécié) en 465. Que ce soit celui de notre FAI, OVH, ou celui qu'on veut. Tous les réglages type DKIM, DMARC, SPF, etc... sont là pour s'assurer que le mail arrive dans la boîte de réception de notre destinataire, si possible pas dans les spams. Et il y a une notion de "réputation" de notre IP qui rentre en jeu. Je pense avoir saisi les principes de ce côté. Pour le côté entrant, je ne comprends décidément pas comment ça peut fonctionner. Lorsque Carrefour m'envoie un mail, ils le font avec leur serveur mail, a priori en utilisant le port 25, et si je suis bien ce que @PiwiLAbruti m'a dit, pour contacter via ce même port 25 le SMTP présent à l'adresse IP renvoyée par le champ MX de mon domaine. Dans ton tutoriel, en tout cas pour le champ MX prioritaire (les backups étant situés chez OVH, ce que je conçois très justement), tu renseignes l'IP publique du réseau où se trouve MailPlus Server, j'ai bon ? A priori donc une IP résidentielle dont le FAI bloque a priori le port 25 dans les deux sens. Si utiliser le SMTP du FAI résout le problème, où intervient-il dans ce cheminement ? De ce que je comprends, à moins de rediriger le trafic du port 25 vers le port 587 par exemple (ou autre au final j'imagine) via un service dédié ou bêtement une règle iptables sur un VPS, on ne peut pas recevoir de mail.

@oracle7 Je parle d'un expéditeur quelconque, genre Carrefour, pourquoi il utiliserait le SMTP de mon FAI ?

Alors je pense que tu fais référence à Davx5, il est gratuit par Fdroid, store alternatif à Play Store (Et ça fonctionne aussi bien pour Davx5). Je trouve que le niveau d'intégration des applis Google par exemple rend la concurrence difficile. Amazon, quand on commence à rechercher quelque chose de spécifique, qui n'est pas mainstream, c'est compliqué de s'en passer. Ou alors Ali Express, mais c'est du coup du pareil au même. Pour Apple j'avoue que j'ai un point de vue assez tranché. Je vais regarder ton lien. J'ai remarqué il y a quelques jours au passage que l'application Agenda de Google permettait l'affichage de mon calendrier CalDAV. Il me semble que c'était pas le cas il y a encore quelques mois.

Ah bah je sais pas ce qu'il te faut quand même... Que ce soit au niveau des accessoires, des logiciels, des composants, de l'évolutivité... Rien n'est ouvert chez Apple, ça apporte certes une optimisation du produit (on n'a jamais dit que leurs produits n'étaient pas bons, au contraire) mais au prix de la diversité. Quand je vois certaines applications disponibles sur Mac je les trouve super bien foutues, on ne trouve d'équivalent sur Android ou Windows. Mais point de vue liberté et contrôle de ton produit, on ne peut pas dire en toute bonne foi que ce n'est pas fermé. Et j'ai toujours détesté cette image de "luxe" dont se pare Apple et sur laquelle ils jouent (je leur jette pas la pierre, ils ont tout à fait raison, ils sont rois sur ce segment publicitaire).

Ce n'est pas du tout ce que fait JRE à ce que je lis, JRE ne fonctionne pas différemment de File Station : Charger des fichiers et dossiers locaux avec JRE Certains navigateurs Web peuvent avoir des capacités de transfert limitées. Toutefois, en utilisant Java Runtime Environment (JRE, un applet Java) sur ces navigateurs, vous pouvez transférer des fichiers et des dossiers locaux de manière fluide sur File Station. C'est File Station, pour des navigateurs non conventionnels éventuellement non compatibles. Toi tu veux visiblement parcourir les fichiers locaux de ton PC depuis File Station, c'est faisable mais je ne vois pas l'intérêt personnellement.

Salut @oracle7 Suite à la réponse de @PiwiLAbruti dans ce sujet, j'ai des doutes sur la compréhension que j'ai du fonctionnement d'un serveur de messagerie. En considérant un port 25 bloqué, c'est facilement contournable car on peut passer par un serveur SMTP externe (OVH, FAI, etc...) en utilisant le port 587 ou 465. Donc même si notre destinataire a aussi un port 25 bloqué, on s'en fout car on a utilisé un autre port. De même on peut recevoir nos propres mails, pour les raisons évoquées ci-avant. En revanche, pour le reste, la plupart des mails sont envoyés par le port 25, et visent donc ce port-là chez leur destinataire. Pour moi en l'état sur une connexion domestique au port 25 bridé, si on n'apporte aucune modification à ce que tu proposes dans ce tutoriel, on ne les recevra pas. Pour moi, les cas qui permettraient que ça fonctionne : - l'expéditeur utilise le serveur SMTP de ton FAI, du coup le FAI verrait une requête interne et celle-ci serait dans la zone de confiance du FAI donc transmise. - on utilise un service redirecteur ou "réflecteur" qui va recevoir le mail qui t'est destiné sur son port 25 non bloqué (cela implique selon ma compréhension un enregistrement MX principal pas sur notre IP publique, mais sur celle de ce service) et te le rediriger sur le port 587 ou 465. Donc, en ayant parcouru ton tutoriel (en diagonale je l'avoue, car c'est juste pour ma curiosité), j'ai l'impression que tu ne couvres pas ce point, mais ça n'a pas l'air d'être ce que tu dis. Si tu peux m'éclairer sur ce point, il y a sûrement quelque chose de gros comme une maison que j'ai loupé. Merci !

Je vais corriger ça, c'est ma faute, il manque un sudo.

Tant que tu ne le root pas, c'est encore pire avec n'importe quel autre téléphone, car Google ET le constructeur récolte des informations sur toi. Paradoxalement le Pixel est sûrement celui qui les éparpille le moins. 😛 Le 4G, la 5G est loin de faire son apparition en Belgique. L'application GCam de Google est porté sur plusieurs autres périphériques, mais jamais avec le succès de l'original sur un Pixel. Peut-être qu'une ROM custom sur un Pixel produit le résultat attendu, il faut un peu fouiller xda-developers pour ça. Le seul vrai problème des ROM custom c'est souvent la durée de vie la batterie, la plupart bouffent beaucoup plus. J'évite généralement LineageOS maintenant, pour ces problèmes. Je privilégie les ROM stock avec script de suppression des bloatware, ou ROM dans laquelle les bloatware sont directement supprimés à la base. Par exemple pour ma Galaxy Tab S2 de 2016 j'utilise Stock Lite v8 : https://forum.xda-developers.com/t/rom-7-0-nougat-stock-lite-v8-t713-t813.3746583/ Concernant la taille du téléphone, c'était aussi un de mes critères, après un OP6T très bien mais très encombrant, le Pixel 4a est très agréable car de taille raisonnable, c'est un des points forts d'Apple d'ailleurs, dont je suis moi aussi opposé à la stratégie marketing et propriétaire.

Je ne pense pas que tu puisses le savoir facilement. Car comme je te disais, le fait que ce soit une IPv6 routable qui apparaissent dans les logs quand ta zone n'est pas active, ne signifie pas que tu n'es pas resté en locale, du fait de la portée locale et publique d'une IPv6 globale (même temporaire). J'imagine que si tu n'avais pas de loopback, tu verrais non pas l'IPv6 de ton PC, mais l'IPv6 WAN de ton routeur ou ta box, si c'est comme avec IPv4, mais je me garderais bien de croire que le fonctionnement serait similaire. La seule chose qui te permettrait de t'en assurer peut-être, c'est d'utiliser tcpdump en lignes de commande sur ta box, encore faut-il que tu puisses, et je ne suis même pas sûr de ce que tu devrais exactement chercher. A ta place, je ferais confiance à @Mic13710 ou à la documentation de la Freebox. 😛

Tant mieux, car je n'avais pas compris la question ! 😄

Non soit tu as mal compris soit je le suis mal exprimé, ce que je disais c'est qu'une IPv6 a une portée, une IP globale (temporaire ou pas) peut aussi bien être utilisée en local qu'en publique. Une adresse IPv6 de lien locale limite sa portée à du réseau local. Donc voir une adresse IPv6 globale commençant par 2a0... par exemple, dans les logs de connexion ne veut pas dire que c'est un périphérique extérieur à ton réseau, tout peut très bien se passer en local.

Je n'ai aucun problème avec Docker ni BTRFS sur un DS918+ à la dernière version.

Une IPv6 temporaire est une IPv6 globale comme toutes les autres, sauf qu'elle change tous les X. Pas bien compris, tu veux savoir comment tu pourrais le faire ou comment tu arrives à le faire ?

Salut, On aime bien que les nouveaux membres se présentent avant de poser leur question, c'est faisable dans la section dédiée du forum. Ca permet de connaître le matériel, le niveau de l'utilisateur, et donc d'adapter nos réponses en conséquences. Pour ton problème, as-tu vérifié que l'utilisateur en question a l'autorisation d'utiliser Synology Drive et a-t-il les droits sur les dossiers partagés en question ? Vérifier aussi au niveau du groupe "users" si il n'y a pas d'interdiction, car une interdiction prend le pas sur tout le reste.

Pour avoir un serveur mail fonctionnel en envoi ET réception, il faut que le port 25 ne soit pas bloqué par ton FAI, Free permet de le débloquer mais je crois que c'est le seul en France. Ou alors payer un service redirecteur. Il vaut mieux avoir une IP fixe aussi. Le plus simple étant peut-être de l'installer sur un VPS. Attention que maintenir un serveur mail n'est pas de tout repos.