oracle7

@pascalg57 Bonjour, Donc si ton DDNS est "nas.ndd.tld" alors n'oublies pas que pour le reverse proxy, tu atteindras par ex FileStation en mettant en place une redirection du type : https://fichier.nas.ndd.tld:443 --> http://localhost:7000. Bien évidemment Tu taperas donc comme URL "fichier.nas.ndd.tld" en local, et/ou pour DSFile : "fichier.nas.ndd.tld:443". Cordialement oracle7😉

@.Shad. Bonjour, Ton lien est très explicite, cela marche parce que l'on passe tout simplement par un serveur SMTP authentifié sur les ports sécurisés 465 ou 587, c'est tout. Maintenant je ne suis pas le seul, au vu des retours de ceux qui ont mis en œuvre avec succès le présent TUTO. Cordialement oracle7😉

@.Shad. Bonjour, Oui j'ai un enregistrement du type : mondomaine.tld. 3600 MX 10 mondomaine.tld. A l'émission, le serveur MPS au lieu d'être un émetteur SMTP "pur", MPS s'adresse directement (comme on le fait avec un client mail ordinaire) au SMTP du FAI (qui va faire le boulot à sa place de contrôle/diffusion et de discussion avec les autres relais SMTP). C'est ce que j'ai compris du moins au travers de mes lectures sur la toile, qu'on me reprenne bien volontiers si je suis en erreur. Ensuite au retour en réception donc, le mail prend exactement le chemin inverse à celui utilisé lorsque on envoie un mail. Ni plus ni moins. (quelque part tel que comme sur le schéma du §4.2.5 dans le tuto qui résume le processus de contrôle DMARC). Cela dit, je pense que @PiwiLAbruti serait plus à même que moi pour te détailler le processus exact des échanges entre relais SMTP et le cheminement d'un mail. Je n'ai pas compris que le pseudo blocage d'Orange se fasse dans le sens réception mais qu'il n'intervient uniquement dans le sens émission d'un mail puisqu'il ignore les connexion sur le port 25 qui ne viennent pas de son réseau. Cordialement oracle7😉

@pascalg57 Bonjour, Excuse moi mai j'ai du mal avec ta notation "DDNS". Appelons STP un chat un chat et que recouvre "DDNS" dans ton texte : comme dans le tuto "ddns.ndd.tld" ou autre chose ? Dans le tuto pour la partie reverse proxy, quand je dis "https://aliasApplication.ddns.ndd.tld:443 " pour "aliasApplication" je ne parle pas de l'alias défini dans l'onglet "Application" pour l'application mais simplement d'un nom "facile" à retenir du style pour FileStation : "fichier", "mesfiles", "toto" ou "tartempion", etc ... Donc le nom que tu veux et qui te permette de savoir que c'est FileStation que tu veux atteindre en saisissant par ex "tartempion.ndd.tld" comme URL dans ton navigateur. Donc si le point 5.4 de "NAS partie DSM" est OK tu peux supprimer la redirection NAT du port 5000 dans la box. Pour l'accès avec le phone dans l'URL de connexion pour toutes les applications DSxxxx il faut impérativement préciser le port 443 sinon cela ne marche pas effectivement. Cordialement oracle7😉

@Mic13710 Bonjour, Oups !!! tu fais bien, désolé, dans le feu de l'action j'ai continuer à lui répondre ici. J'aurais dû l'inviter à créer un post spécifique. Cordialement oracle7😉

@.Shad. Bonjour, Bah, à un moment donné dans le parcours du mail, le mail de carrefour va bien passé par le SMTP de mon FAI pour m'atteindre si j'en suis destinataire. Mais le problème n'est pas là. Le pseudo blocage du port 25 fait que normalement cela nous empêche d'envoyer directement un mail via ce port lorsque par exemple Orange détecte une connexion qui ne vient pas de son réseau. C'est pour cela que l'on contourne la chose en s'adressant directement au serveur SMTP où l'on a déjà un compte et pas à un serveur SMTP tiers. Cordialement oracle7😉

@.Shad. Bonjour, Mon explication du point 4 du préambule du TUTO, rejoint ton explication, non ? @Jeff777 Je suis @oracle7 et pas @Oracle10 mais pas grave 😜🤣 Cela dit, regardes peux-être aussi à diminuer le niveau TLS de compatibilité "moderne" à "intermédiaire" (« Panneau de configuration DSM / Sécurité / Avancé ») pour le « Niveau de profil TLS / SSL »), cela peut avoir un impact sur l'émission/réception des eMails avec certains fournisseurs. Cordialement oracle7😉

Bonjour, ET avec cela, cela ne le fait pas ? Cordialement oracle7😉

@Icethii Bonjour, Dans ce cas, essaies d'importer ton certificat LE sur le client à partir du quel tu établis ta connexion VPN. Nota : sur un client Android, il te faudra au préalable convertir ton certificat LE ".pem" en ".pfx" ou ".p12". PS Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@maestro72 Bonjour, Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Tu n'es pas le premier à soulever ce problème. Très franchement je n'ai pas vraiment d'explication sinon de dire que C'EST UN FAIT : si le cookie est périmé alors la tentative de connexion du script acme.sh au NAS échouera. Comme la valeur du DID est réinitialisée naturellement tous les mois et à chaque mise à jour de FF (ce qui arrive très souvent !) repousser sa date de péremption est la seule astuce trouvée à ce jour qui marche. Certes le script comme tu le dis n'est pas en lien direct avec le cookie mais au travers de la variable SYNO_DID que l'on renseigne en début de processus de déploiement et qu'il sauvegarde ensuite pour réutilisation lors des renouvellement, le script a bien connaissance de la valeur du cookie DID. Delà à penser, mais cela reste qu'une supposition, que cette valeur contienne l'information de durée de validité et que le script l'exploite lors de la connexion au NAS, pourquoi pas, mais une chose est sûre la valeur DID intervient d'une façon ou d'une autre dans le processus d'authentification et l'explication donnée par @Diplo95 est une tout à fait recevable si c'est cela effectivement. Voilà ce n'est que mon appréciation mais, et je peux me tromper, alors je reste vivement preneur de l'explication exacte que personne jusqu'à présent, n'a pu nous fournir (pas trouvée non plus malgré moult recherches ...). Cordialement oracle7😉

@pascalg57 Bonjour, Si tu le veux bien on va être pragmatique et je te propose de suivre la procédure suivante (c'est toi qui voit) car à force d'empiler toute sortes de choses cela finalemennt devient inextricable donc on va posément reposer les choses et faire cela dans l'ordre : Dans cette procédure sous l'appellation "ddns.ndd.tld" il te faudra comprendre (et donc la remplacer par) "nas.ndd.tld" puisque si j'ai bien compris c'est ce que tu as définis. Certaines actions ont déjà été vues dans les échanges précédents, mais pour "enfoncer le clou" je t'invites à ne pas les "sauter" et à les exécuter tout de même afin de ne rien rater (c'est juste pour être "carré"). Cordialement oracle7😉

@.Shad. Bonjour, Désolé mais où vas-tu chercher cela ? : @pascalg57 ne parle à aucun moment (dans tout le post) de sa zone DNS et tu dis toi même plus loin qu'il na pas de zone DNS locale aussi je ne comprends pas ... En plus, en réponse à ma question sur son @IP dynamique il dit en substance : Donc j'en déduit que son ddns est bien du type : ndd.tld et pas nas.ndd.tld comme tu l'avances dans ta réponse précédente. Donc désolé je n'ai pas tort et je ne peux te laisser dire cela ! Maintenant, qu'il ait créé un certificat sur le domaine nas.ndd.tld est autre chose (une erreur à mon humble avis car il aurait du le faire sur ndd.tld mais bon ... c'est fait et il faut alors maintenant faire avec comme tu le dis justement). Voilà au delà de toute polémique, je tenais simplement à cette précision. Cordialement oracle7😉

@pascalg57 Bonjour, Tu as parfaitement compris. Ton paramétrage est bon. Maintenant si tu veux bien on va être "carré" dans les appellations afin d'éviter toutes confusions ultérieures. Ne le prends pas mal mais je trouve que ton appellation "mon.ndd" pour nommer un domaine n'est pas claire et elle ne correspond pas à la "norme". Pour faire court, il est plutôt d'usage de nommer un domaine tel que : "NomDeDomaine.TopLevelDomaine" ou de façon raccourcie : "ndd.tld" soit par exemple en pratique "google.fr" ou "ovh.com". Ce qui donne pour l'application "fichier" du NAS par exemple "fichier.ndd.tld" ou le NAS lui même "nas.ndd.tld" (mais ce ne sont que des exemples). Cordialement oracle7😉

@Jeff777 Bonjour, Merci pour ton appréciation. Attention, comme tu as une @IP fixe pour la configuration c'est plutôt le TUTO Serveur MailPlus DSM6 qui serait applicable à ton cas bien qu'il se ressemblent tout les deux. J'utilise juste une "astuce" pour contourner la fermeture du port 25 en passant par mon serveur SMTP pour l'envoi des mails. Cordialement oracle7😉

@pascalg57 Bonjour, C'est juste que certains ont un ddns de la forme ddns.ndd.tld et d'autre comme toi en ont un du type ndd.tld. Du coup selon la forme de ce ddns, il arrive souvent dans le reverse proxy que certains "batissent" mal leurs domaines spécifiques aux applications/machines en faisant par ex nas.ndd.tld ou fichier.ndd.tld ou photos.ndd.tld alors qu'ils ont un ddns de la forme dddns.ndd.tld et qu'en conséquence ils auraient dû avoir des domaines du type nas.ddns.ndd.tld ou fichier.ddns.ndd.tld ou photos.ddns.ndd.tld. voilà c'est tout. SInon dans ton cas, hors mis le reverse proxy à dédouaner, tout est correct en "amont" comme te l'as parfaitement expliqué @.Shad.. Donc pour le reverse proxy : Définir les redirections à l'image de celle-ci : https://aliasApplication.ndd.tld:443 --> localhost:portStandardHttpApplication (ne pas oublier de cocher HTTP/2). Soit par exemple dans ton cas : https://nas.ndd.tld + HTTP/2 coché --> http://localhost:5000 pour le NAS et par exemple https://file.ndd.tld + HTTP/2 coché --> http://localhost:7000 pour FileStation (attention, c'est trompeur dans le reverse proxy certains champs sont apparemment déjà renseignés, mais il n'en est rien, il faut quand même les renseigner sinon rien n'est pris en compte !). EDIT PS : dans un premier temps ne cherches pas à modifier les ports standards des applications. Tu le feras seulement quand tout fonctionnera. Cordialement oracle7😉

@pascalg57 Bonjour, Rassures-toi, je voulais juste m'assurer de l'ouverture des ports 80 et 443. Tout est presque OK par ailleurs. En effet, par sécurité je t'invite à mettre le masque 255.255.255.0 au lieu de 255.255.0.0 pour ton sous-réseau local 192.168.0.0 car cela m'étonnerait beaucoup (mais je peux me tromper) que tu gères plus de 65534 machines sur ton sous-réseau, donc en réduisant à 254 machines cela n'est-il pas suffisant ? Juste pour vérifier ce qui se passe en "amont" est bien conforme : Que donne un nslookup ndd.tld 8.8.8.8 ? est-ce que tu obtiens bien ton @IPexterne (ie celle de ta box) ? Idem quand tu fais http://@IPExterne:5000 tu atteins bien ton NAS ? As-tu une @IP externe fixe ou dynamique ? Si dynamique ton DDNS pointe-t-il bien sur ton @IPexterne ? d'ailleurs ton DDNS est de quelle forme : ddns.ndd.tld ou ndd.tld ? Cordialement oracle7😉

@pascalg57 Bonjour, Juste pour mieux comprendre, tu peux STP nous mettre une copie d'écran de ton pare-feu du NAS ? Cordialement oracle7😉

@pascalg57 Bonjour, Dans Réseau/Paramètres de DSM : Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy et cela va à l'encontre du fichier .htaccess qui est là justement pour faire la redirection. Cordialement oracle7😉

@Icethii Bonjour, Si tu as généré ton fichier de ovpn.conf avec une version récente d'OpenVPN, le certificat est automatiquement inclus dedans. Cordialement oracle7😉

@Jeff777 Bonjour, Y-a un truc qui m'échappe : quel est le rapport entre le mode bridge et le loopback ? Pour moi le mode bridge ne fait que désactiver la fonction de routeur du modem / routeur, non ? Cordialement oracle7😉

@guitouuuBienvenue à toi sur ce forum Cordialement oracle7😥

@Jeff777 Bonjour, La solution avec la Livebox (quelle soit en DMZ ou pas) est de tout simplement configurer une zone locale DNS avec le package DNS Serveur (voir le TUTO : DNS Server ). Cordialement oracle7😉😉

@Fikou Bonjour, OUI bien sûr : voir ici --> https://www.synology.com/fr-fr/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS Mais sachant que : Actions du Reset mode 1 (qui permet de reprendre la main quand on a fait des bêtises lors de la configuration) : La valeur par défaut du compte admin sera restaurée. Le port de gestion de l'IU sera réinitialisé sur 5000/5001. L'IP, le DNS, la passerelle et les autres interfaces réseau seront réinitialisées sur DHCP. PPPoE sera désactivé. Le blocage automatique sera désactivé. Les règles du pare-feu seront désactivées. Les dossiers chiffrés seront démontés et la fonctionnalité Monter automatiquement au démarrage sera désactivée. Le cluster high-avalability sera supprimé. Le cluster Virtual Machine Manager sera supprimé. Sinon il y a le reset mode 2, je te laisse voir la doc avec le même lien sus-cité, mais cela reste un dernier recours. Sinon dans l'esprit d' @Antimousse tu peux faire ceci : Cordialement oracle7😉

@Jeff777, @Mic13710 Bonjour, Il doit exister sûrement un problème de tempo car selon la vitesse de réponse des serveurs d'Ovh le renouvellement passe ou casse. Cordialement oracle7😉

@Fikou Bonjour, OK tu as fait les point 1 et 2 et alors ? Quel résultat ? PS : Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉