.Shad.

Si le DHCP de ta box ne le permet pas, ce qui a l'air d'être le cas, il faudra utiliser le serveur DHCP du NAS et désactiver celui de la box. Il faut juste vérifier que ça n'a pas de répercussion sur la TV, si tu as un pack. Suivant l'opérateur ça peut être plus ou moins possible. Quel est ton FAI ? Le réglage serveur DNS que tu as trouvé correspond à celui de la box, je te conseille de laisser le réglage par défaut. C'est le DNS qu'utilise la box, je ne vois aucun intérêt de la faire passer par ton DNS local.

Le serveur DHCP c'est celui de ta box ou de ton routeur, il faut vérifier que tu peux le changer, toutes les box ne le permettent pas (tous les routeurs dédiés le font normalement par contre). Dans l'onglet DHCP, tu dois avoir un paramètre "Serveur DNS" ou "Serveur DNS primaire", il te faut y entrer l'IP du NAS. Tous les clients utilisant le DHCP pour obtenir une IP interrogeront le NAS, qui traitera la requête, s'il y a un enregistrement qui correspond, il l'utilisera, sinon il renverra vers les redirecteurs (les serveurs FDN dans ton cas) et la résolution deviendra publique, ça reviendra donc vers ton IP publique, comme ça le ferait en 4G. Si tu as fixé des IP en statique directement sur des appareils, il faut penser à ajouter manuellement l'IP du NAS comme serveur DNS.

Je pense que Raspberry Pi a son propre résolveur, et qu'il est actif, donc le port 53 est déjà occupé. Tu peux vérifier en tapant en SSH : sudo systemctl status systemd-resolved S'il est bien présent et actif, tu peux l'arrêter : sudo systemctl stop systemd-resolved Puis le désactiver au boot : sudo systemctl disable systemd-resolved Ensuite tu peux relancer Pi-hole : pihole restartdns

Ok compris. Mais tu sais, il y a le profil de contrôle d'accès disponible dans le proxy inversé de DSM, qui permet de faire en sorte que DSM ne soit accessible qu'en local ou via VPN, sur le port 443. Ce qui casse le proxy inversé c'est la redirection qu'on peut cocher dans DSM, je parlais du script oui. Je ne m'en sers pas non plus, je précisais juste. 🙂 Je pense simplement que tu n'as pas configuré ton serveur DHCP pour qu'il dise à ses clients d'utiliser l'IP du NAS comme serveur DNS. Ca expliquerait que ton proxy inversé marche (sauf que tu passes en externe, même en local) et ça expliquerait aussi que tu n'arrives pas à accéder à DSM. Pour vérifier dans Windows, tu vérifies les détails de ta connexion IPv4 : Si tu as la même IP dans passerelle et serveur DNS ça confirme ce que je dis. Tu peux aussi te connecter en SSH sur le NAS et taper : nslookup xxx.synology.me tu vas tomber sur l'IP privée du NAS, et taper : nslookup music.xxx.synology.me Tu tomberas sûrement sur ton IP externe (si ta box ne fait pas de loopback).

Bienvenue parmi nous 🙂 au plaisir de te lire.

Alors je comprends pas pourquoi tu ne l'utilises pas aussi pour DSM, quel est l'intérêt de passer par le port 5001 si tu peux utiliser le port 443 ? Attention que si tu fais une redirection HTTP -> HTTPS du port 80 vers le port 443 pour ton proxy inversé, il faut le garder ouvert. En VPN ou directement sur ton réseau local, tu as déjà autorisé tous ses ports dans tes premières règles. EDIT : Est-ce que tu utilises bien l'IP du NAS comme serveur DNS sur tes périphériques ?

Il te manque un enregistrement A pour xxx.synology.me, tu en as seulement un pour ns.xxx.synology.me Hors sujet, mais je ne vois pas pourquoi tu NAT le port 443 si tu n'utilises pas le proxy inversé du NAS. Le port 80 utile seulement si tu héberges un site web, que tu cherches à avoir une redirection HTTP (80) -> HTTPS (443) avec un proxy inversé, ou que tu génères un certificat Lets Encrypt par HTTP-01 (pas de wildcard). La règle autorisant le port 53 n'a pas d'intérêt ici, tu n'héberges pas de zone publique, et si c'était le cas il faudrait aussi un NAT sur ta box. Pareil pour le port 53535, qui est utile si tu héberges une zone publique esclave sur ton NAS d'une zone maître hébergée sur Internet, et qui peut notifier ton serveur DNS. Et là aussi il faut un NAT. Pour une utilisation locale, tu autorises déjà tous ces ports avec les règles liées aux IP privées.

Je pense que c'est lié à ce qu'on utilise pour prévenir les spoilers. Exemple :

Dans le tutoriel dont le lien figure dans ma signature à la fin tu as le descriptif de la mise en place d'un réseau macvlan avec interface virtuelle.

Pardon j'ai utilisé le mauvais terme, maladroit de ma part, je voulais dire fonctionnalité en lieu et place de qualité. Je vois que tu as ajouté les fonctions de retrait (tabulation) et je t'en remercie. Si tu arrivais à ajouter le bouton Source ce serait parfait. 🙂 Merci pour ton suivi.

Bienvenue parmi nous !

Mon serveur DHCP pousse les DNS de deux instances pihole (sur le NAS et sur une Debian, pour la redondance), et pihole renvoie vers mon serveur DNS avec zone locale. Tous les périphériques sont visibles. Par contre il faut penser à l'interface virtuelle en macvlan, sinon l'hôte n'aura pas de résolution DNS opérationnelle s'il doit contacter Pi-hole.

@oracle7 Tu peux très bien utiliser ce nom de domaine en local, rien n'est interdit en local, seuls certains domaines sont déconseillés (je sais que Apple force certains domaines sur ces périphériques, il vaut mieux en éviter certains). @Babou57 Il faudrait tout un tas de captures d'écran pour le coup pour te dépanner. NAT de la box, pare-feu du Syno, zone DNS, etc...

Chez moi ça marche bien avec cette variable. Si ça peut aider, mon docker-compose : version: '2.1' services: pihole: image: pihole/pihole container_name: pihole-srv hostname: pihole-srv networks: macvlan: ipv4_address: 192.168.100.161 environment: - ADMIN_EMAIL=mail@xxx.ovh - TZ=Europe/Brussels - DNS1=192.168.100.254 - DNS2=no - DNSSEC=false - DNS_BOGUS_PRIV=true - DNS_FQDN_REQUIRED=true - DNSMASQ_LISTENING=local - INTERFACE=eno1 - CONDITIONAL_FORWARDING=true - CONDITIONAL_FORWARDING_IP=192.168.100.254 - CONDITIONAL_FORWARDING_DOMAIN=xxx.ovh - VIRTUAL_HOST=pihole-srv.xxx.ovh - TEMPERATUREUNIT=C - WEBPASSWORD=123456 - WEBUIBOXEDLAYOUT=boxed - ServerIP=192.168.100.161 volumes: - etc:/etc/pihole/ - dnsmasq.d:/etc/dnsmasq.d/ - logs:/var/log/ dns: - 127.0.0.1 - 80.67.169.12 labels: - "com.centurylinklabs.watchtower.enable=true" restart: unless-stopped volumes: etc: dnsmasq.d: logs: networks: macvlan: external: true

L'installation de Pi-hole en natif se résume à : curl -sSL https://install.pi-hole.net | bash C'est pour ça que je conseille toujours si on a un raspberry qui traine ou un hyperviseur de privilégier cette solution. Pi-hole sur un Synology ça marche très bien mais c'est autrement plus chiant à mettre en place quand on ne sait pas comment faire. 😉

Bienvenue parmi nous !

Bienvenue parmi nous 🙂

J'y remets le nez toutes les deux semaines perso, c'est une mine d'or je trouve. ^^

Pour mettre les choses à plat, je recommande ce livre : https://www.amazon.fr/Réseaux-informatiques-fondamentales-Architectures-Virtualisation/dp/2409021395/ Ca consolide les bases et pousse sur quelques sujets plus techniques (IPv6, Couches OSI, etc...). C'est accessible à quelqu'un qui ne bosse pas du tout dans l'informatique (comme moi) mais ça demande un peu de prise de note et de temps, au ton de ton message ça a l'air de faire défaut. 😅

Je ne sais pas ce qui te fait penser que l'utilisateur a trouvé la solution à son problème, il n'a jamais pris la peine de répondre aux questions qui lui étaient posées. La plupart du temps, les solutions ne sont pas apportées par le demandeur mais par ceux qui tentent de l'aider. Et généralement, si l'utilisateur trouve par lui-même, il indique soit la source de ce qui lui a permis de résoudre son problème, soit donne la solution directement.

Tu auras sûrement plus de succès ici si tu as un QNAP : https://www.forum-nas.fr Notre forum est très largement dédié à Synology.

Oui mais pour ceux qui n'ont pas de routeur dédié et une box qui ne gère pas le loopback ? Des box de geek comme les Freebox ce n'est pas la norme, la plupart ne tolèrent que très peu de personnalisation. Quand tu peux personnaliser ton serveur DHCP tu es déjà content. Et sauf erreur de ma part, ceux qui utilisent un serveur DNS avec une zone locale ne vont pas faire appel au loopback, la box/routeur ne sera même pas sollicitée. De toute façon je t'ai dit j'ajouterai l'alternative que tu proposes quand j'ai un créneau pour m'y atteler, au moins ça couvrira l'ensemble des infrastructures possibles. 👌 Et pour fail2ban, j'ai bien dit que je l'intègrerai à ce tutoriel, c'est assez basique, et je mettrai le lien vers le guide de Linuxserver qui est bien foutu pour ceux que la langue de Shakespeare ne rebute pas. C'est Authelia pour lequel je compte faire un tutoriel dédié, c'est autrement plus touffu que fail2ban.

Je crois avoir vu sur mes NAS un slot 2x3 pin sous le châssis. Pour moi ça doit être un port série réservé au fabricant, mais il y a peut-être moyen de s'y connecter via putty par ce biais.

Si je mets un port plus exotique, ça casse la possibilité d'utiliser le même FQDN en local qu'à distance. A distance ça marchera car j'aurai la chaine 443 (routeur) -> x443 (NAS) -> 443 (conteneur). En local ce sera directement x443 (NAS) -> 443 (conteneur). Il me faudrait donc une adresse toto.ndd.tld:x443 en local et toto.ndd.tld:443 à distance. Je trouve ça beaucoup moins pratique. Ok pour Webstation, je suis toujours frileux pour arrêter des processus du NAS, je ne sais pas à quel point Nginx sur DSM ne s'imbrique pas dans d'autres process. Reste qu'ici on a l'avantage du macvlan sans en avoir les inconvénients (pas besoin de créer d'interface virtuelle). Mais je vais l'ajouter comme possibilité effectivement, pour ceux qui veulent aller au plus rapide et qui n'utilisent pas Webstation par ailleurs. Oui c'est prévu comme je disais dans le post juste avant, ajouter fail2ban et authelia, ça fait quelques temps que je m'en sers mais je n'ai pas encore eu le temps de rentrer plus dans le détail. Juste l'activation d'authelia dans nginx, sa configuration fera l'objet d'un tutoriel à part entière, si je l'ajoute ici ça va faire trop. 😉

Bienvenue, si tu pouvais nous dire quel est ton matériel et ton niveau en réseau, ça permettra d'adapter nos réponses à tes questions. 🙂