.Shad.

172.21.0.0/24 ça entre en conflit avec la plage utilisée par Docker. Utilise plutôt une plage dans 10.0.0.0/8 pour ton réseau VPN, car on ne sait pas changer facilement le réseau utilisé par défaut par Docker sur DSM. Sinon en théorie, si pas de conflit induit par ma remarque ci-avant, ça devrait pourtant fonctionner, quel message d'erreur obtiens-tu ?

Pour les notifications, vu que Discord ne te convient pas, tu as aussi Gotify, partie 8-d du tutoriel de EVOTk : https://www.forum-nas.fr/threads/tuto-installer-swag-en-docker-reverse-proxy.15057/ Pour le SMTP d'OVH c'est simple : port 587 -> STARTTLS / port 465 -> SSL Sachant qu'on utilise maintenant plutôt STARTTLS que SSL. Et le SMTP de Google c'est bien STARTTLS qu'ils utilisent. De là à dire que c'est illisible dans un seul fichier de jail : ## Version 2020/05/10 - Changelog: https://github.com/linuxserver/docker-swag/commits/master/root/defaults/jail.local # This is the custom version of the jail.conf for fail2ban # Feel free to modify this and add additional filters # Then you can drop the new filter conf files into the fail2ban-filters # folder and restart the container [DEFAULT] # Changes the default ban action from "iptables-multiport", which causes issues on some platforms, to "iptables-allports". banaction = iptables-allports # "bantime" is the number of seconds that a host is banned. bantime = 24h # A host is banned if it has generated "maxretry" during the last "findtime" # seconds. findtime = 30m # "maxretry" is the number of failures before a host get banned. maxretry = 5 # Ignore local IPs ignoreip = 10.0.0.0/8 192.168.0.0/16 172.16.0.0/12 2a02:xxxx:xxxx:da01::/64 [ssh] enabled = true filter = sshd port = ssh logpath = /log/host_auth.log action = discordEmbed[bantime=24] iptables-allports [nginx-http-auth] enabled = true filter = nginx-http-auth port = http,https logpath = /config/log/nginx/error.log [nginx-badbots] enabled = true port = http,https filter = nginx-badbots logpath = /config/log/nginx/access.log maxretry = 2 [nginx-botsearch] enabled = true port = http,https filter = nginx-botsearch logpath = /config/log/nginx/access.log [nginx-deny] enabled = true port = http,https filter = nginx-deny logpath = /config/log/nginx/error.log [bitwarden] enabled = true port = http,https filter = bitwarden logpath = /log/host_bitwarden.txt action = discordEmbed[bantime=24] iptables-allports [calibre-web] enabled = true port = http,https filter = calibre-web logpath = /log/calibre-web/calibre-web.log action = discordEmbed[bantime=24] iptables-allports [embyserver] enabled = true port = http,https filter = embyserver logpath = /log/host_embyserver.txt action = discordEmbed[bantime=24] iptables-allports

Pour de la sauvegarde pas besoin d'avoir des disques de première jeunesse. Tant qu'ils sont reconnus et utilisables par DSM. Prévoir quand même du coup une deuxième sauvegarde des données importantes, dans le cloud par exemple ou sur un disque externe.

@_DR64_ Ok avec ce qu'a dit @MilesTEG1, et quand tu as des erreurs comme ça, au lieu de lancer les 5 commandes d'un coup, déjà tu les lances une par une pour voir laquelle plante. 😉 Si ton proxy inversé est celui du NAS, alors tu dois pointer vers http://IP_VIRTUELLE_DU_NAS:32400 et pas l'IP du NAS. Un conteneur en macvlan ne peut pas communiquer avec son hôte via son interface physique (et vice-versa).

Autant prendre une Shield Pro en serveur dans ce cas-là, et monter les fichiers du NAS via Samba.

Tu as l'air d'avoir un avis bien arrêté sur ce que tu veux. Pas sûr que nos réponses apportent vraiment une quelconque plus-value. Pour conclure mes interventions ici, je dirai que je trouve dommage de n'avoir que 5 baies en SHR-2, tu condamnes 40% de ta capacité de stockage. Autant partir sur du 6 ou 8 baies alors dans ce cas-là. Et peut-être être acheter des disques moins gros, en cas de perte ils seront moins coûteux à remplacer. Avec 6 baies en SHR-2, 6 disques de 8 To donnent 32 To de stockage.

@nunuA partir du moment où on veut un débit conséquent à travers un tunnel OpenVPN, c'est le processeur de la machine qui va entrer en jeu, et s'il dispose du jeu d'instructions AES-NI, qui permet de décharger grandement le processeur. Je ne suis pas sûr que le processeur du RT2600AC soit équipé d'un processeur disposant de cette fonctionnalité (je n'ai pas trouvé l'info), ça reste un routeur grand public et dont les points forts sont la gestion par bureau façon DSM et des débits wifi corrects. EDIT : Apparemment le RT6600AX n'a pas non plus un processeur AES-NI : Synology RT6600ax - Modems/Routers (whirlpool.net.au) (contrairement à des routeurs Asus visiblement). Donc si le 6600 ne l'a pas, j'en doute fort pour le 2600. 🙂

Les Red Plus Pro tournent plus vite également, et sont donc plus bruyants. C'est un critère à prendre en compte en plus du nombre de disques. Gné ? Qu'est-ce que "lent" pour toi ? Pour quelle utilisation ? Sans plus d'information sur le besoin cette question n'a pas de sens. Si tu es dans un environnement multi-utilisateurs type bureau et que le transfert de fichiers est légion, l'agrégation de liens peut être une piste. Le 10Gb exige un réseau adapté, outre les points A et B de terminaison (NAS et client). Un routeur, un switch, les câbles cat 6 et plus, et niveau budget ce n'est plus la même histoire. Sans parler de la consommation énergétique qui augmente grandement. Si tu as un vrai besoin de vitesse (hors environnement multi-utilisateurs), tu peux toujours envisager une clé USB3 -> RJ45 2.5 ou 5Gb/s, mais il faut vérifier ce qu'accepte DSM depuis la version 7. @maxou56 est plus versé que moi dans ce domaine, il pourra sûrement te conseiller le cas échéant.

Ce n'est pas sensé fonctionner ça, voici les valeurs acceptées pour network_mode : Compose file version 3 reference | Docker Documentation Pour la modification dans le service, oui c'est bon ainsi, par contre tu n'as pas la même indentation entre "plex:" et "image:..." et entre "networks:" et "macvlan:". 2 espaces dans le premier cas, 3 dans le suivant. Ca ne pose pas de problème ici, seulement si "macvlan:" est aligné avec tes éventuelles variables d'environnement, par exemple "- PUID=..." De manière générale définis un nombre d'espaces à utiliser et respecte le dans tous tes fichiers yaml (compose ou autres). Par contre, quand tu utilises "networks:" et pas "network_mode:" tu dois déclarer ton réseau par après. Ici le réseau est créé en dehors du fichier docker-compose, donc il te faut quelque chose comme ça : version: "2.4" services: plex: #image: linuxserver/plex:latest # https://github.com/linuxserver/docker-plex image: ghcr.io/linuxserver/plex container_name: plex networks: macvlan: ipv4_address: 192.168.64.254 networks: macvlan: external: true

Tu peux regarder ce que je dis dans mon tutoriel aux points 11-A-1 et 11-A-2 Via docker compose dans un service : networks: reseau-toto: ipv4_address: 192.168.1.xxx Pas besoin d'ajouter la MAC, même si tu peux le faire si tu as envie, vu que ça ne passe pas par le serveur DHCP ce n'est pas forcément utile.

En même temps dans leur jail.local je ne vois pas d'include, essaie d'ajouter : include jail.d/*.conf et de redémarrer le conteneur. Si ça fonctionne tu peux toujours créer une demande d'amélioration sur leur GitHub. 😉

@Einsteinium Ca fait longtemps que je n'ai pas testé sur le NAS, mais de mémoire ça marchait bien. @MilesTEG1 Mais de quelle application tu aurais encore besoin sur le 443 sur le NAS directement ? Tout passe par SWAG comme l'a dit @Einsteinium, ce qui ne passe pas par SWAG (Drive, HBK, etc...) passe par un port dédié (6690, 6281, etc...) et là il te faut un certificat pour ces applis là sur le NAS, méthode acme par Docker ou ndd Synology, peu importe.

Ca ne change pas le fond de mon message, pour moi les dossiers partagés sont plus aptes à être gérés par le gestionnaire de permissions de DSM. On est d'accord que tu utilises la fonction de partage c'est ça ? et pas le panneau de configuration -> dossiers partagés ?

A vérifier je n'ai jamais fait le test, mais pour moi les fonctions de partage sont destinées à l'espace personnel de préférence. Pour ce qui sort des dossiers personnels, donc par un exemple un dossier partagé lambda, il est préférable que l'utilisateur administrateur gère les permissions de chacun pour chaque dossier. Je regarderai ce soir ce que j'arrive à faire éventuellement, je ne suis pas chez moi.

Tu n'as pas compris comment fonctionne la synchronisation de Drive. Et pareil pour l'histoire des certificats sur le NAS, le port 443 n'a plus rien à faire ici dans ton cadre d'utilisation. Ce serait trop long de tout reprendre, on peut en parler en vocal si tu veux, je t'envoie mes dispos en MP.

Non pas du tout, c'est un webhook, Discord crée un token d'accès pour une application donnée avec des droits définis, comme tu trouves sur Spotify, Google, Youtube, etc... Ben la réponse est dans ce que tu viens d'écrire, normalement dans la fenêtre en question ce que tu dois mettre c'est l'IP ou un ndd menant à l'IP du NAS. Pourquoi avoir mis drive.ndd.tld ? c'est pas une entrée de ton proxy inversé ça ? SI c'est le cas il y a grosse confusion. Si tu veux avoir une certificat pour le même nom de domaine pour SWAG et le NAS, c'est simple, tu laisses ton setup acme.sh qui exposera un certificat pour les applications type Drive sur le NAS (bien vérifier les associations certificat - application dans DSM). Et parallèlement tu auras un certificat pour le même nom de domaine avec SWAG. Rien n'empêche d'avoir plusieurs certificats wildcard pour un même nom de domaine. Ainsi c'est transparent pour toi. Moi j'utilise le ndd Synology uniquement pour joindre localement et à distance (via le DDNS gratuit) mon NAS principal pour ses services intrinsèques, ca marche très bien. Oui, en bridge ou en host, car tu es lié à l'hôte. Pas en macvlan. Oui donc tu as ce qu'il faut en amont, donc c'est ok pour la sécurité par rapport à l'extérieur. A toi l'honneur. 😄 Je fais pas de tutoriel de toute façon sur quelque chose dont je ne maîtrise pas tous les aspects, c'est au moins parti pour quelques semaines d'observation.

Ah ok ! Je n'avais remarqué sa présence que lors de DSM 7, du coup je croyais que c'était un des changements induits par la version 7. Merci de la correction. 😉

@Jeff777 Cool de voir que ça fonctionne encore !

Parce que tu as plus tendance à avoir plusieurs noms de domaine sur le NAS que dans SWAG, donc il est utile de préciser le domaine en question. Et pourquoi pas ? C'est hyper personnalisable, gratuit, tous les soft récents intègrent de plus en plus des webhooks vers Discord et délaissent de plus en plus l'email. Faut vivre avec son temps. 🙂 Oui, mais ça n'a pas un gros intérêt, une raison particulière ? Tout ce qui est proxiable doit passer de préférence par un unique proxy inversé. Donc port 443 -> SWAG et plus DSM. Pour les autres applis : Hyper Backup, Drive, etc... tu utilises simplement un autre certificat pour ces applis non proxiables. Que ce soit le nom de domaine de Synology, ton OVH ou ce que tu veux. Géré indépendamment de SWAG, par DSM, Acme, ou autre. Moi j'utilise le ndd Synology pour ces applis. Les ACL c'est une bonne idée, ça fait office de pare-feu pour le proxy inversé, car l'IP étant indépendante du NAS, son pare-feu ne s'applique pas. Tu peux également faire du blocage GeoIP comme DSM au niveau de SWAG, c'est prévu, c'est le mod Maxmind : https://github.com/linuxserver/docker-mods/tree/swag-maxmind Si ton routeur/pare-feu en amont ne permet pas de faire du géoblocage, c'est une bonne alternative. Typiquement aussi dans le cas d'un VPS, où tu disposes uniquement d'une machine à protéger. Sans parler des couches supplémentaires prises en charge : Authelia, f2b/Crowdsec (au passage ce dernier fonctionne super bien), etc...

Merci pour ton retour, synopkg est la commande remplaçant synoservice dans DSM 7.

Ben comme je t'ai dit, le seul intérêt c'est si tu as plusieurs sous-domaines identiques pour des domaines différents. Essaie de te connecter au conteneur Adguard. Et tu fais un ping sur l'IP réelle du NAS. Ça ne fonctionnera pas. Adguard c'est un serveur DNS. C'est un plan d'orientation. À aucun moment il n'a besoin de se déplacer. On est sur deux sujets différents. En revanche le NAS quand il communique avec Adguard, il utilise son interface virtuelle. Je suis sûr que dans les logs tu verras apparaître l'IP virtuelle du NAS et pas la réelle.

Les fichiers que SWAG embarquent sont présents sur GitHub, mettre un wildcard permet d'éviter de prévoir une variable qui mette bien le nom de ton domaine. L'avantage de SWAG c'est que c'est prévu pour fonctionner quasi automatiquement avec leurs images, et demande très peu d'adaptation pour le reste.

Parce que si ton domaine doit apparaître, ils doivent passer par une variable qui doit être importée depuis ailleurs, suite à ce que tu as déclaré dans le fichier docker-compose. C'est plus compliqué, et inutilement compliqué la plupart du temps.

Ça faut que tu regardes la doc de sendmail. Sinon par Discord c'est très bien aussi. Pour le reste normalement tout fonctionne out of the box, tu prends par exemple un fichier de configuration standard dans la liste de leurs fichiers. Et tu adaptes pour DSM. Tu te tortures un peu trop. 😛 Ça a un intérêt de remplacer le wildcard si et seulement si tu as d'autres sous-domaines identiques pour des noms de domaines racine différents. Je doute que ce soit le cas ?

@MilesTEG1 Il y a sendmail dans le conteneur. Moi j'utilise les notifications discord avec le module qui va bien : https://github.com/linuxserver/docker-mods/tree/swag-f2bdiscord Tu peux faire toutes les modifs que tu veux elles persistent, et au lancement il te dira quand une config diffère de celle de base dans les logs, ça permet aussi de voir s'il y a eu des majs sur les fichiers embarqués.