.Shad.

Pardon j'ai utilisé le mauvais terme, maladroit de ma part, je voulais dire fonctionnalité en lieu et place de qualité. Je vois que tu as ajouté les fonctions de retrait (tabulation) et je t'en remercie. Si tu arrivais à ajouter le bouton Source ce serait parfait. 🙂 Merci pour ton suivi.

Bienvenue parmi nous !

Mon serveur DHCP pousse les DNS de deux instances pihole (sur le NAS et sur une Debian, pour la redondance), et pihole renvoie vers mon serveur DNS avec zone locale. Tous les périphériques sont visibles. Par contre il faut penser à l'interface virtuelle en macvlan, sinon l'hôte n'aura pas de résolution DNS opérationnelle s'il doit contacter Pi-hole.

@oracle7 Tu peux très bien utiliser ce nom de domaine en local, rien n'est interdit en local, seuls certains domaines sont déconseillés (je sais que Apple force certains domaines sur ces périphériques, il vaut mieux en éviter certains). @Babou57 Il faudrait tout un tas de captures d'écran pour le coup pour te dépanner. NAT de la box, pare-feu du Syno, zone DNS, etc...

Chez moi ça marche bien avec cette variable. Si ça peut aider, mon docker-compose : version: '2.1' services: pihole: image: pihole/pihole container_name: pihole-srv hostname: pihole-srv networks: macvlan: ipv4_address: 192.168.100.161 environment: - ADMIN_EMAIL=mail@xxx.ovh - TZ=Europe/Brussels - DNS1=192.168.100.254 - DNS2=no - DNSSEC=false - DNS_BOGUS_PRIV=true - DNS_FQDN_REQUIRED=true - DNSMASQ_LISTENING=local - INTERFACE=eno1 - CONDITIONAL_FORWARDING=true - CONDITIONAL_FORWARDING_IP=192.168.100.254 - CONDITIONAL_FORWARDING_DOMAIN=xxx.ovh - VIRTUAL_HOST=pihole-srv.xxx.ovh - TEMPERATUREUNIT=C - WEBPASSWORD=123456 - WEBUIBOXEDLAYOUT=boxed - ServerIP=192.168.100.161 volumes: - etc:/etc/pihole/ - dnsmasq.d:/etc/dnsmasq.d/ - logs:/var/log/ dns: - 127.0.0.1 - 80.67.169.12 labels: - "com.centurylinklabs.watchtower.enable=true" restart: unless-stopped volumes: etc: dnsmasq.d: logs: networks: macvlan: external: true

L'installation de Pi-hole en natif se résume à : curl -sSL https://install.pi-hole.net | bash C'est pour ça que je conseille toujours si on a un raspberry qui traine ou un hyperviseur de privilégier cette solution. Pi-hole sur un Synology ça marche très bien mais c'est autrement plus chiant à mettre en place quand on ne sait pas comment faire. 😉

Bienvenue parmi nous !

Bienvenue parmi nous 🙂

J'y remets le nez toutes les deux semaines perso, c'est une mine d'or je trouve. ^^

Pour mettre les choses à plat, je recommande ce livre : https://www.amazon.fr/Réseaux-informatiques-fondamentales-Architectures-Virtualisation/dp/2409021395/ Ca consolide les bases et pousse sur quelques sujets plus techniques (IPv6, Couches OSI, etc...). C'est accessible à quelqu'un qui ne bosse pas du tout dans l'informatique (comme moi) mais ça demande un peu de prise de note et de temps, au ton de ton message ça a l'air de faire défaut. 😅

Je ne sais pas ce qui te fait penser que l'utilisateur a trouvé la solution à son problème, il n'a jamais pris la peine de répondre aux questions qui lui étaient posées. La plupart du temps, les solutions ne sont pas apportées par le demandeur mais par ceux qui tentent de l'aider. Et généralement, si l'utilisateur trouve par lui-même, il indique soit la source de ce qui lui a permis de résoudre son problème, soit donne la solution directement.

Tu auras sûrement plus de succès ici si tu as un QNAP : https://www.forum-nas.fr Notre forum est très largement dédié à Synology.

Oui mais pour ceux qui n'ont pas de routeur dédié et une box qui ne gère pas le loopback ? Des box de geek comme les Freebox ce n'est pas la norme, la plupart ne tolèrent que très peu de personnalisation. Quand tu peux personnaliser ton serveur DHCP tu es déjà content. Et sauf erreur de ma part, ceux qui utilisent un serveur DNS avec une zone locale ne vont pas faire appel au loopback, la box/routeur ne sera même pas sollicitée. De toute façon je t'ai dit j'ajouterai l'alternative que tu proposes quand j'ai un créneau pour m'y atteler, au moins ça couvrira l'ensemble des infrastructures possibles. 👌 Et pour fail2ban, j'ai bien dit que je l'intègrerai à ce tutoriel, c'est assez basique, et je mettrai le lien vers le guide de Linuxserver qui est bien foutu pour ceux que la langue de Shakespeare ne rebute pas. C'est Authelia pour lequel je compte faire un tutoriel dédié, c'est autrement plus touffu que fail2ban.

Je crois avoir vu sur mes NAS un slot 2x3 pin sous le châssis. Pour moi ça doit être un port série réservé au fabricant, mais il y a peut-être moyen de s'y connecter via putty par ce biais.

Si je mets un port plus exotique, ça casse la possibilité d'utiliser le même FQDN en local qu'à distance. A distance ça marchera car j'aurai la chaine 443 (routeur) -> x443 (NAS) -> 443 (conteneur). En local ce sera directement x443 (NAS) -> 443 (conteneur). Il me faudrait donc une adresse toto.ndd.tld:x443 en local et toto.ndd.tld:443 à distance. Je trouve ça beaucoup moins pratique. Ok pour Webstation, je suis toujours frileux pour arrêter des processus du NAS, je ne sais pas à quel point Nginx sur DSM ne s'imbrique pas dans d'autres process. Reste qu'ici on a l'avantage du macvlan sans en avoir les inconvénients (pas besoin de créer d'interface virtuelle). Mais je vais l'ajouter comme possibilité effectivement, pour ceux qui veulent aller au plus rapide et qui n'utilisent pas Webstation par ailleurs. Oui c'est prévu comme je disais dans le post juste avant, ajouter fail2ban et authelia, ça fait quelques temps que je m'en sers mais je n'ai pas encore eu le temps de rentrer plus dans le détail. Juste l'activation d'authelia dans nginx, sa configuration fera l'objet d'un tutoriel à part entière, si je l'ajoute ici ça va faire trop. 😉

Bienvenue, si tu pouvais nous dire quel est ton matériel et ton niveau en réseau, ça permettra d'adapter nos réponses à tes questions. 🙂

CX explorateur de fichiers est un super utilitaire et permet le montage via Samba : https://play.google.com/store/apps/details?id=com.cxinventor.file.explorer

Non juste le premier post, normalement ça suffit. 😉

Autre manque, la possibilité d'ajouter une tabulation à la mise en forme, fonction qui était disponible dans l'ancien éditeur de texte. Je trouve que l'éditeur de texte a beaucoup perdu en qualité, contrairement à d'autres fonctions qui ont facilité l'utilisation du forum.

Les autres solutions sont la haute disponibilité, mais seulement pour certains NAS et ceux-ci doivent être identiques (modèle + version de DSM). Ou alors en passant par Docker Swarm, qui permet la haute disponibilité, il faut la même version de Docker sur les deux NAS. Mais si ton site Wordpress est accessible via proxy inversé, comment gères-tu le changement de redirection quand tu bascules sur le NAS2 si le NAS1 est inaccessible ?

Les MIB ne sont pas forcément nécessaires, ils permettent d'organiser les OID. Si la Livebox est "pollable" via SNMP, les informations sont tout aussi accessibles, mais c'est bien plus fastidieux d'identifier chaque valeur. 😉

Cette image couvre surtout un ensemble d'applications, pas seulement le proxy inversé : renouvellement automatique des certificats, hébergement de sites web, fail2ban, authentification deux facteurs, etc... Et surtout étendre ces fonctionnalités à toutes tes applications, pas seulement Synology. Maintenant la prise en main est plus complexe surtout pour la partie fail2ban et authentification deux facteurs. Deux aspects que je n'aborde pas dans le tutoriel. J'essaierai d'ici peu de décrire leur mise en place. Au départ je ne m'en servais que pour la partie création et renouvellement de certificats et proxy inversé, après avoir testé HAProxy sur pfSense, très bon logiciel mais surdimensionné par rapport à mon besoin. Depuis j'ai testé authelia (2FA) et je trouve cette image vraiment très bien pensée et réalisée, tout s'imbrique parfaitement. Je devrais pouvoir écrire un petit guide maintenant que j'ai un peu pratiqué ces aspects-là.

Oui enfin cette fois il y a quand même quelque chose à se mettre sous la dent contrairement aux dernières fois. 😄

👌 Je profite pour dire que j'ai corrigé une erreur signalée par @Jeff777 dans le script, vous pouvez soit re-télécharger le script soit modifier la ligne 207 : sed 's/${SERIAL}/\t${INCR_SERIAL}/' ${ZONE} > ${ZONE_TEMP} devient : sed "s/${SERIAL}/\t${INCR_SERIAL}/" ${ZONE} > ${ZONE_TEMP} (on remplace les quotes simples ' par des guillemets ")

La règle TOUS TOUS REFUSER du pare-feu doit arriver à la toute fin, car la résolution se fait séquentiellement. Dès que ça arrive à cette règle, ce qui suit ne compte plus. Et le port 1194 c'est pour OpenVPN, or tu ne t'en sers pas si j'ai bien compris.