.Shad.

Voir mon impression d'écran et mes explications dans mon message de 21h21 hier. Ce serait bien de créer un autre sujet non ?

@ewfzapp J'ai rien pigé rien ne fonctionne c'est un peu vague. Ca coince où ? Qu'est-ce que tu ne comprends pas ?

Hello, bienvenue parmi nous. Mince @oracle7 tu as été devancé ! 😄

Oui il y a moyen, mais ça ne devrait pas être nécessaire dans ton cas. Car tout l'intérêt est d'utiliser la résolution DNS interne de Docker pour éviter d'avoir à jouer avec les IP. C'est ce qui se passe quand tu renseignes comme nom d'hôte pour la base mysql "mediawiki-db" comme nom d'hôte pour ta base mysql. S'il n'y avait pas cette résolution interne tu devrais renseigner l'IP bridge correspondante. Pour le reste, je n'avais pas répondu, mais ok 👍 Pour l'erreur, il y a vraissemblablement un problème de connectivité avec le container MariaDB. Là je cale, à part faire un partage d'écran (idéalement pendant le week-end en soirée pour moi), je ne vois pas trop comment te dépanner plus avant.

C'est normal car ton NAS n'étant pas joignable depuis l'extérieur, les serveurs de Synology font office de relais entre ton NAS et le client qui tente d'y accéder. Pour du travail bureautique ça fait l'affaire, pour du stream c'est un peu plus compliqué. 😉

Alors je ne m'explique pas pourquoi ça ne fonctionne pas sans ta règle 7, ou je loupe quelque chose de gros comme une maison. Si tu veux on peut faire un Teamspeak à l'occasion pour voir pourquoi ça ne fonctionne pas sans cette règle.

Hello, Mon NAS étant à la cave, et mon PC de bureau 2 switchs plus loin, je n'ai pas prévu actuellement prévu d'investir dans du 2.5 Gbps. Donc je ne le testerai sûrement pas avant quelques temps. Si j'ai bien compris le fonctionnement, le but est justement de répartir un même transfert sur plusieurs interfaces, donc exploiter les multiples interfaces 1 Gbps de ton NAS. Le PC lui doit être connecté à un port 2.5 Gbps. Donc le minimum est d'avoir un switch avec 1 port 2.5 Gbps et plusieurs ports 1 Gbps pour le NAS. Je ne sais pas si ce genre de produit existe. De ce que j'ai vu, un switch 2.5G n'a a minima que des ports 2.5G, voire du 10 Gbe ou du SFP+. Pour exploiter SMB Multichannel, de ce que disait @maxou56, il ne faut pas utiliser de bond, mais chaque interface doit avoir sa propre IP. Pour les règles de pare-feu, je pense qu'elles seront transférées sur une des voir chacune des interfaces.

Bon je viens de tester vite fait ça fonctionne très bien sans port supplémentaire que le port choisi sur mon NAS (45080 dans mon cas) pour atteindre le port 80 du conteneur. C'est dans la règle 2 que tu autorises "théoriquement" l'accès à Mediawiki, je dis théoriquement car il faut s'assurer que c'est bien le bon port qui est associé. Quel est le port repris pour l'application "Docker Mediawiki" dans le pare-feu Synology ? Ca devrait être le 8795. Pour revenir à la règle 7, elle dit que 172.20.0.3 peut accéder à tous les ports du NAS. Or, tu ne fixes nulle part l'IP du conteneur Mediawiki dans ton fichier compose, donc lors d'une re-création du conteneur l'IP pourrait changer. Mais surtout, Mediawiki n'a besoin d'accéder à rien du tout sur le NAS, car il communique directement avec MariaDB via le réseau bridge, c'est pour cette raison qu'on ne translate pas le port de MariaDB du conteneur sur le NAS, on n'en a pas besoin. Sauf bug du pare-feu (voir ma question au premier paragraphe), ta règle 2 est suffisante pour garantir l'accès à Mediawiki. Je confirme, le raisonnement est cohérent, à condition que tu évites d'accéder aux applications en HTTP. Je ne suis pas partisan du VPN à tout prix, donc ce n'est pas moi qui te le conseillerai. En revanche, tu pourrais tout autant bloquer la Chine, la Russie, la Corée du Nord, le Pakistan, etc... dans ta première règle. Et ca commence à être peu commode à gérer. Au passage, tu gagnerais sûrement beaucoup à utiliser le proxy inversé de DSM, il vaut mieux avoir une seule porte très solide qu'une multitude de portes qui le sont moins.

Sur lafibre.info ils évoquent le fait que Free utilise eu CGNAT pour son offre 4G, mais je ne trouve rien de plus récent que 2020, est-ce d'actualité ? A priori la pénurie d'IPv4 ne s'améliore pas donc j'imagine que oui. Tes options sont limitées en ce cas. Vérifier peut-être avec Free déjà.

Hello, ok j'avais peur que ce soit moins réfléchi que ça. Je vais essayer d'installer Mediawiki et voir pourquoi tu aurais besoin de cette règle.

Tu es derrière du CGNAT, d'où l'IP privée. Voo en Belgique ?

Ca confirme ce que je pensais 😛 ton pare-feu est sens dessus dessous. La logique d'un pare-feu c'est d'autoriser tout ce qu'on veut autoriser, et d'avoir une règle de refus général à la fin, c'est une architecture saine et lisible. Concernant ta règle concernant l'Iran, elle est là j'imagine pour empêcher d'accéder aux applications listées dans la règle 2, qui elles, sont ouvertes au monde entier. Ne serait-il pas plus judicieux de supprimer la règle 1, et de limiter les applications de la règle 2 aux pays dont tu souhaites autoriser l'accès à ton NAS ? Ok pour la règle 3, si le NAS est la cible d'une sauvegarde d'un périphérique ayant pour IP 192.168.0.11 Intérêt des règles 4 et 5 ? Est-ce que le but est d'autoriser l'accès à Portainer uniquement depuis 2 IP locales sur 2 réseaux différents ? La règle 6 dit qu'elle autorise Mediawiki à communiquer avec Mediawiki uniquement s'il passe par son IP bridge Docker. Moi quand je dois monter à l'étage de ma maison, je ne sors pas pour sonner et re-rentrer, je monte directement, ça revient à utiliser localhost 127.0.0.1 pour le conteneur. Et cette règle n'a pas d'intérêt car tu as déjà autorisé l'accès à Mediawiki à toutes les sources dans ta règle 2. La règle 7 ne sert à rien. Ok pour la règle 8. Si tu détailles ce qui doit avoir accès à quoi, je peux t'aider à reconstruire tes règles, en l'état tu es à deux doigts de te bloquer en dehors du NAS, et ton NAS est ouvert à quasiment tous les horizons.

Tu utilises un nom de domaine en .org et tu n'as aucun certificat correspondant dans ton NAS. Donc normal que tu aies un avertissement. Plusieurs solutions : - La plus simple : Utiliser le NDD Synology, demander un wildcard plutôt qu'un certificat avec domaines nominatifs, tu seras moins embêté par la suite si tu ajoutes une nouvelle application dans ton proxy inversé. Voir mon message plus haut pour la procédure à suivre. - Garder ton nom de domaine, il te faut dans ce cas-là t'assurer que le port 80 est ouvert sur ton NAS et redirigé depuis ta box, et tu suis la même procédure que pour le certificat LE pour ton domaine Synology, sauf que c'est pour ton ndd.org. Dans ce cas-ci, pas de wildcard, tu dois spécifier les sous-domaines pour lesquels tu souhaites que ton certificat soit valide. Si tu as besoin d'un autre sous-domaine, tu devras renouveler ton certificat en ajoutant à la liste des alias existants le sous-domaine désiré. - La plus complète : Mettre en place ACME via le tutoriel proposé plus haut pour obtenir un certificat wildcard pour ton ndd.org Dernière chose, quand tu auras un certificat qui couvre le nom d'hôte que tu vas utiliser pour ton instance de Vaultwarden via proxy inversé, il faudra associer cette entrée de proxy inversé au certificat, via le bouton Paramètres dans l'écran de gestion des certificats :

Il n'y a aucun autre port à ouvrir si on suit la doc que le port 8795 vers les IP de ton réseau local (sauf si tu tentes d'y accéder à distance), tu peux mettre une impression d'écran de ton pare-feu.

Pas eu le temps de te répondre, mais effectivement : - Supprimer le réseau macvlan, donc avant ça stopper les conteneurs - Supprimer l'interface virtuelle - Recréer le réseau macvlan - Recréer l'interface virtuelle - Relancer les conteneurs A priori rien d'autre. Il y a l'air d'y avoir ce qu'il faut pour ici : Guide ASUSTOR NAS MIB - ASUSTOR NAS

Cet article est encore un ramassis d'idioties. Désolé je n'aime pas être à ce point péremptoire mais là il n'y a pas d'autre mot. Il ouvre littéralement tout son NAS à toutes les IP roumaines. Même en hébergeant un site, on n'ouvre que les ports utiles à la navigation : 443 et éventuellement 80. Je te conseille de suivre ce tutoriel pour la configuration du pare-feu (entre autres), qui est une référence maintes fois éprouvée : ___________ Je me rends compte que j'ai lu de travers, il a effectivement bien nommé son conteneur mediawiki-db pour la base de données. Donc c'est ok de ce côté-là. 👌 Faute de frappe, je parlais du port 80 du conteneur, c'est ce que ton guide dit de faire, de mapper le port 8795 du NAS sur le port 80 du conteneur, c'est ta porte d'entrée vers Mediawiki. Toi, ce qui t'importe c'est à qui est accessible le port 8795 du NAS. Peut-être qu'il tente de bien faire, je n'en sais rien, en tout cas rares sont ses tutoriels sans erreur. Et ça n'incite pas du tout à essayer de comprendre ce qu'on fait. Le but c'est que tu y reviennes, encore et encore. Après c'est mon avis, d'autres sont sûrement plus indulgents, mais je trouve son travail souvent bâclé.

Si tu arrives à faire des sauvegardes à distance via partage de connexion 4G, sans te connecter au serveur VPN, c'est que tu as autorisé toutes les sources à accéder à ABB. Pourquoi ne pas limiter aux IP locales ? Comme ça c'est ok pour les périphériques en filaire, en wifi sur le local, et en wifi à distance avec le VPN activé. Et ce sera NOK pour les IP publiques distantes.

Bienvenue parmi nous !

Le nom QuickConnect n'est valable qu'avec les applications Synology. Le client WebDAV n'en est pas une. Il faut effectivement juste utiliser l'IP si celle-ci est fixe ou le DDNS si l'IP est dynamique (ou fixe, ça marche aussi). Un petit tour sur ce tutoriel pourrait t'aider : https://www.nas-forum.com/forum/topic/75952-tout-ce-que-vous-avez-toujours-voulu-savoir-sur-les-réseaux-sans-jamais-oser-le-demander/

@j0ffr37 Désolé j'avais mal compris, je croyais que tu parlais de route statique. C'est bizarre en effet. Tu dis que tu as bien tes 30Mo/s en upload (ce qui est un peu faible pour du 700 Mbps je trouve si tu es en filaire) vers C2, mais est-ce bien le cas depuis les deux NAS ? Il doit sûrement y avoir un goulot d'étranglement quelque part sur un des deux réseaux. Certains protocoles sont moins optimisés pour du transfert distant, mais pas de là à diviser le débit par trois.

Si les périphériques se joignent par IP publique, quel besoin d'avoir des règles de routage ?

@sebdepringy Tu peux vérifier que ça correspond à ce que tu veux dans un fichier de configuration Nginx, ça se trouve dans : /etc/nginx/sites-enabled/server.ReverseProxy.conf Par exemple j'ai créé une entrée bidon dans mon proxy inversé en ajoutant dans l'interface où tu as mis tes entêtes : X-Content-Type-Options nosnif Ca donne : server { listen 80; listen [::]:80; server_name toto.xxx.ovh ; if ( $host !~ "(^toto.xxx.ovh$)" ) { return 404; } proxy_ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; location / { proxy_connect_timeout 60; proxy_read_timeout 60; proxy_send_timeout 60; proxy_intercept_errors off; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection $connection_upgrade; proxy_set_header X-Content-Type-Options nosnif; proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_pass http://localhost:5124; } location ^~ /.well-known/acme-challenge { root /var/lib/letsencrypt; default_type text/plain; } error_page 403 404 500 502 503 504 /dsm_error_page; location /dsm_error_page { internal; root /usr/syno/share/nginx; rewrite (.*) /error.html break; allow all; } } Il apparaît bien dans la liste des entêtes.

Comment sont reliés les NAS ? VPN site-à-site ? Ou ils se contactent via leur IP publique ?

Bienvenue !

La question est de savoir s'il utilise les fonctionnalités du dossier home à savoir être la cible de sauvegarde des photos via Synology Photos par exemple. Si pas, alors comme @Mic13710 l'a suggéré, il peut avoir un dossier partagé chiffré qui lui est attribué. Si seul l'utilisateur connaît le mot de passe, l'administrateur ne pourra rien faire d'autre que supprimer les données, mais jamais les consulter. Après pour des questions de praticité, s'il n'a pas confiance alors oui, un cloud externe serait plus adéquat.