.Shad.

Perso malgré plusieurs tentatives je n'ai pas réussi à tromper Netflix via l'utilisation d'un vpn personnel. 😶

@PiwiLAbruti Ah et bien... ils ne sont pas à la bourre que sur le hardware alors maintenant 😞

Merci pour le site, ça va me donner l'occasion de faire quelque chose de plus propre pour ma propre installation. 🙂 Moi j'utilise des switch D-link, ils ne sont pas très chers, très fiables, et possèdent la plupart des fonctions qu'on est en droit d'attendre d'un switch administrable. L'interface est un peu datée mais pour un switch perso ça m'est égal. Notamment regarder la série des DGS-1210-... Je suis pas sûr de comprendre exactement ton besoin, pourquoi vouloir by-passer le pare-feu ? Quel est son intérêt alors ? Je pensais que ton souci était la redondance au niveau des switch ? Ce que je peux comprendre, même si c'est totalement increvable ces trucs-là, et ça plante jamais, je suis à 650j d'uptime sur mon switch principal...

@cadkey Et pourquoi ça ne change l'interface de sortie que pour Download Station ? Pourquoi pas le reste ? Je veux dire, rien n'est documenté. Toi-même tu dis que ça pose problème pour Plex, donc j'imagine que ça ne touche pas seulement Download Station.

Il s'agit de juste faire passer Download Station par le client VPN ou tout le NAS ? Parce que juste Download Station je ne pense pas que ce soit possible. D'ailleurs je trouve que DSM manque cruellement d'une option permettant de dire quels paquets de quelle application par telle ou telle interface.

Quel protocole utilises-tu pour te connecter au NAS via VLC ? DLNA ? SMB ? NFS ? AFP ?

Tu n'as pas besoin d'avoir deux réseaux différents pour tes NAS, les switch administrables incluent généralement le protocole STP (Spanning Tree). Ce qu'il te faut dans ce cas-là ce sont deux prises Ethernet sur tes NAS (ce que tu prévoyais déjà visiblement) qu'ils puissent être raccordés chacun aux deux switchs. Le protocole STP assure la tolérance de panne d'un des deux périphériques, et empêche la création de boucle entre les périphériques. Un pfSense/OPNSense ou autre permet d'à peu près tout faire, tu n'auras mal à créer des règles de pare-feu autorisant la communication d'un réseau à l'autre. Attention par contre à régler également le pare-feu de tes NAS pour autoriser les connexions qui doivent l'être. PS : Quel logiciel utilises-tu pour dessiner ton schéma réseau ? Ca m'intéresse fortement ^^

Drive ne peut passer par un proxy inversé HTTP, le NAS doit être atteint directement. Ou alors il faut un proxy TCP, comme HAProxy, mais on est sur un cran au-dessus en terme d'apprentissage. Si tu ne veux pas que le NAS soit connecté à ton serveur VPN, la solution c'est de mettre en place un VPN site-à-site, mais c'est autrement plus compliqué. Pour ton problème d'IP inatteignable, pourquoi avoir mis SWAG en macvlan sur un Rpi ? tu utilises déjà les ports 80/443 dessus ? Macvlan c'est bien quand les ports de l'hôte sont déjà occupés et pas transférables, mais c'est se compliquer inutilement la tâche si les ports sont disponibles, un simple bridge est alors bien plus facile à gérer.

Tant que tu peux le faire, oui, il ne faut pas se priver de la demander. Après, pour le cas particulier du renouvellement de certificat, tu as possibilité de demander un certificat wildcard (comprend tous les sous-domaines possibles pour ton domaine), et ça ne se fait plus au niveau local mais au niveau de ta zone DNS publique. Et donc, à moins de l'héberger toi même, tu n'as plus besoin d'ouvrir de ports.

On ne doit pas être nombreux à utiliser notre NAS en tant que serveur AD par ici, je ne sais pas si ça pourrait t'aider : https://www.synoforum.com/threads/gpo-admx-templates.1883/ PS : Si le dossier n'est pas visible dans File Station, il l'est sûrement via SSH.

@Ricola62 On parle toujours bien d'un proxy inversé intégré à ton image ? Tu pourrais, il faudrait monter le dossier où est stocké le certificat Synology sur le NAS dans ton conteneur, mais je pense que c'est se prendre la tête pour pas grand chose. Alors que tu pourrais simplement créer un conteneur dans la même stack : certbot ou acme.sh par exemple, qui gère automatiquement le renouvellement d'un certificat pour un domaine quelconque (au prix d'un domaine...). Ou intégrer la gestion du certificat dans le conteneur, ça marche aussi (c'est l'histoire de quelques paquets).

Moi j'ai ça : Est-ce que tu as jeté un oeil à ce tutoriel ? Tu as un NAS compatible, et tu pourrais exploiter les capacités de transcodage matériel de ton iGPU :

Tu as installé le paquet Advanced Media Extensions (disponible dans le centre de paquets) ?

Chez Proximus par défaut ces ports sont bloqués en entrant ( @oracle7 ce n'est bloqué que unilatéralement si c'est effectivement bloqué), on a une option pour désactiver le blocage, mais oui ça se fait moins rarement qu'on ne le pense. Aux Etats-Unis le CGNAT est légion chez certains opérateurs, beaucoup de homelabers sont obligés de recourir à un service VPN ou louer un VPS. Ou encore passent par les proxy de Cloudflare, c'est très répandu là-bas.

Donc plusieurs possibilités : Les règles dans ta box ne sont pas fonctionnelles Ton FAI fait du CGNAT, en gros il a basculé ton IP publique en IP privée dans son propre réseau de blocs IP à sa disposition, ton IP publique commence peut-être par 10 ? (c'est ce que fait Voo en Belgique par exemple). Pour une même IP publique, la plage des ports disponibles est restreinte par ton FAI (ce que fait Free si tu n'as pas une configuration full stack). Facile à vérifier, tu changes la règle de NAT dans ta box, au lieu de faire 80 de la box vers 80 du NAS tu fais 55080 de ta box vers 80 de ton NAS. Et tu revérifies via le site que je t'ai donné si le port 55080 est accessible.

Installation native ou Docker pour tes applications ?

Je pense tout le contraire 🙂 DS Audio, DS Video, etc... il existe des alternatives bien plus au point sur le marché, et installables sur nos NAS. Qu'ils concentrent leurs ressources sur ce qui fait le cœur d'un NAS : son OS, sa stabilité et sa fiabilité. Et son évolutivité, accessoirement. Dans le cas de Photos, c'est un peu différent, car je dirais que c'est leur seule application qui se démarque par rapport à la concurrence (hormis Google Photos), il faut qu'ils poussent leur avantage comparatif sur ce point. Mais s'ils avaient des ressources illimitées je penserais comme toi.

Bienvenue parmi nous ! 🙂

Si tu y accèdes depuis DSM il te suffit d'ouvrir le port 5001 et associer un certificat valide à DSM. Mais je te conseille plutôt d'utiliser un proxy inversé si tu exposes ton NAS publiquement, voir le tutoriel : Oui c'est bien ça. Toutes les autorisations doivent être placées avant cette règle qui met fin à toute possibilité d'intrusion.

Non, je te conseille de poser sur le papier dans un premier temps ce que tu veux faire. Un pare-feu travaille de façon séquentielle, l'ordre a une importance ; supposons que tu essaies d'accéder à Plex depuis la France, la connexion va être autorisée par la règle n°1, mais supposons que cette règle n'existe pas, l'accès sera quand même autorisé par la règle que tu as encadrée. Or, un pare-feu ne doit idéalement pouvoir répondre positif à plusieurs lignes, mais à une seule. Est-ce que Plex et SSH sont les seuls services que tu exposes publiquement ? Si oui, tu peux supprimer cette règle, et interdire tous les pays en dernière règle à la place des pays dits "dangereux". Ainsi, si un accès doit se faire, il doit être autorisé avant cette dernière règle, qui s'assurera que tout ce qui n'a pas été autorisé auparavant sera interdit. Mais si tu utilises un VPN, ou un proxy inversé, il te faudra intercaler des règles supplémentaires.

Quelques questions à se poser avant : Est-ce que le port SSH de votre NAS est exposé publiquement ? Si oui, est-ce que le combo login/password est assez robuste ? Un paramétrage comme celui de @El_Murphy est ce qu'on attend classiquement sur un NAS, modulo les éventuels services que vous exposeriez publiquement, et dans quelle limite géographique. Pour mon VPS, le port 22 est exposé publiquement, mais ce n'est pas forcément un problème, il leur faut obligatoirement une clé privée dont la clé publique est enregistrée dans le trousseau SSH du VPS. Si on ajoute encore fail2ban à cela, sauf faille béante du paquet SSH, mon serveur ne court strictement aucun risque de ce côté-là. Et votre NAS dispose des mêmes mécanismes de sécurité, si vous les avez configurés, je ne vois pas de raison de s'inquiéter.

Essaie déjà de désactiver SSH pour voir si SFTP fonctionne toujours. Et de deux, le compte admin doit impérativement être désactivé, c'est l'étape n°1 maintenant quand tu réinstalles DSM. Car forcément tu auras des bots qui testeront de se logger sur un compte "admin" ou "root". Et ce qui pose problème dans ton pare-feu c'est surtout l'ouverture de ton NAS à la France entière, faut pas croire que des bots il n'y en a pas en France, et qu'il n'y en a que dans les pays dont tu as refusé les connexions. 🙂

C'est ton IP publique, tu la trouves en allant sur tout un tas de sites comme https://ip.lafibre.info. Et sur le site que je t'ai donné il suffit d'y coller cette IP et le port que tu souhaites scanner. Les autres champs sont là par défaut, ils ne gênent normalement pas.

Et tes autres redirections de port fonctionnent ? En l'état, si tout ce que tu dis est vrai, je sèche. Seule hypothèse restante pour moi, ton FAI t'a attribué une IP partagée et le port 4826 ne fait pas partie de ceux disponibles. Essaie peut-être la même chose avec le port disons 54826.

Donc tu confirmes que : sur la box : 4826 redirigé vers le 4826 du NAS sur le NAS, le service SSH est activé sur le port 4826 sur le NAS, le SFTP est activé sur le port 4826 Est-ce que tu utilises une connectivité IPv6 par hasard ? Tu peux vérifier ton IP via https://ip.lafibre.info