oracle7

@Vista1967 Bonjour, Je crains qu'il ne te faille faire un reset logiciel de ton RT = redémarrage à chaud : voir ici https://kb.synology.com/fr-fr/SRM/tutorial/What_s_the_difference_between_Soft_Reset_and_Hard_Reset Ensuite assures-toi que tu as bien déclaré un serveur de temps NTP afin que ton RT soit bien à l'heure (c'est primordial pour que la 2FA fonctionne correctement) : fr.pool.ntp.org, regardes aussi ceci : https://www.ntppool.org/fr/use.html Cordialement oracle7😉

@Fidjial Bonjour, OUI IP externe fixe : c'est encore plus simple ! Donc chez Ionos dans ta zone DNS, si tu peux, fais un enregisrement toto.fr. A 86400 @IP_puplique et rajoute un enregistrement wilcard tel que : *.toto.fr. CNAME 86400 toto.fr. Ensuite tu mets à jour en conséquences : ton NAS, le Reverse proxy et DNS Serveur pour prendre en compte toto.fr comme "racine" de ton domaine au lieu de home.toto.fr. Cordialement oracle7😉

Bonjour, A titre de comparaison, j'ai VPN Plus Server d'installé sur mon routeur (mode serveur IPv6 non activé), quand je regarde en SSH le fichier de conf .ovpn dans /usr/syno/etc/packages/VPNPlusServer/openvpn, comme @Spudboy j'ai l'instruction "proto udp6" dans ce fichier. Par contre quand j'exporte la configuration openvpn, le fichier de conf .ovpn généré comporte lui l'instruction "proto udp". Enfin dans le log d'une connexion openvpn depuis l'extérieur avec un tél 4G je vois que la connexion openvpn est en IPv6. Précision : avant la connexion VPN, mon tél 4G était connecté au réseau en IPv6. Y-a-t-il un lien de cause à effet, je ne saurais dire. Mais effectivement on croit se connecter en IPv4 et c'est en fait en IPv6 ce qui a de quoi interpeler aussi. Au final est-ce vraiment génant car une fois connecté, je navique sans problème sur mon réseau local avec des @IPv4s pour atteindre mes périphérique. @Jeff777 ton avis STP ? Cordialement oracle7😉

@kevfou Bonjour, Voilà une suggession qui vaut ce qu'elle vaut et qui est parfaitement discutable sachant que dans tous les cas seul toi sait à qui donner des droits sur quoi et combien de temps et à qui ne pas en donner. A minima : 1 Guest : Désactivé 2 John_admin : Tous les droits d'administration 3 John : Droits pour gérer l'administration courante des applications HORS DSM qui est réservé à John_admin Selon toi : 4 autres USERS : droits selon le degré de confiance que tu accordes à chacun. Pas de changement de MdP pour ne pas emm... ceux de réelle confiance. Chargement de Mdp voire durée limitée d'accès et/ou seulement accès à certains dossiers paratagés avec en plus LE et/ou LS selon le besoin d'en avoir pour d'autres. Toutes les combinaisons sont possibles. Mais là encore une fois, c'est toi seul qui voit ... De toutes façons, c'est un sujet qui mérite une grande attention/réflexion si tu ne veux pas avoir de mauvaises surprises ... Cordialement oracle7😉

@.Shad. Bonjour, Ma logique ne concerne que DSM et je n'ai pas dit mettre en place un accès complétement verrouillé à DSM qu'il MAIS DOIT ETRE plus que limité et a minima sécurisé avec une connexion VPN en plus des dispositions minimales que j'ai évoquées (Id, Mdp, ...). C'est ma vision des choses aussi BV STP ne pas me faire pas dire ce que je n'ai pas dit ! Cordialement oracle7😉

@Spudboy Bonjour, Si je peux me permettre, as-tu refais ton profil de connexion OpenVPN sur ton Tél/laptop avec le nouveau fichier ce configuration .ovpn corrigé ? Cordialement oracle7😉

@Fidjial Bonjour, Sauf erreur de ma part, je pense que ton erreur est de ne pas avoir d'enregistrement CNAME pour un wilcard sur ton domaine qui recouvrirait ainsi tous tes domaines existants (et ceux à venir) dans ta zone locale DNS. C'est pour cela que les domaines que tu utilises ne fonctionnement pas car en plus je soupçonne que ta box ne doit pas accepter le loopback. Donc, dans tes enregistrements de ressources dans DNS Server, corriges la 5ème ligne : www.home.toto.fr. CNAME 864000 ns.home.toto.fr. par celle-ci : *.home.toto.fr. CNAME 864000 home.toto.fr. Remarque : Si j'étais toi et afin de simplifier la gestion courante, j'essaierai de remplacer le domaine que tu utilises pour ton actuel DDNS (bien évidemment je suppose que tu as une @IP externe dynamique) qui doit être en home.toto.fr par toto.fr tout court. C'est à faire chez ton fournisseur de domaine et à reporter ensuite sur ton NAS et mettre à jour en conséquence DNS Server et le Reverse proxy. Autres remarques : Il me paraît inutile de transférer le port 53 (TCP et UDP) dans ta box vers le NAS. Idem pour les port 445 SMB, 25 SMTP. Sinon ton routeur est en DMZ dans ta box ? SInon je t'invite à suivre (en l(adaptant à ton cas bien sûr) ce TUTO : RT2600ac en DMZ derrière Livebox4, Cela permet de reporter la gestion de la sécurité et du réseau local sur le routeur et non sur la box. Mais c'est toi qui voit ... Cordialement oracle7😉

@Thierry94 Bonjour, Pour moi il n'y a pas besoin de configurer la MTU sur le NAS. Je n'ai pas trouver d'infos (peut-être mal cherché !) qui indique qu'il faille qu'elle soit identique à celle du VPN surtout que l'essentiel du flux Internet en HTTP et HTTPS utilise le protocole TCP. Sauf erreur de ma part, le paramètre mssfix ne concerne QUE la connexion en UDP du VPN. Cordialement oracle7😉

@Fidjial Bonjour, Non tu ne t'incruste pas 😁 mais peux-tu en dire plus sur ta configuration ? Tu es du type : box --- réseau local avec NAS ? ou as-tu un routeur spécifique et tu serais alors du type box --- Routeur --- Réseau local avec NAS ? As-tu suivi a minima ces deux tutos : TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Tu es propriétaire de ton domaine (ndd.tld) ou bien tu as pris un domaine en xxxx.synlogy.me ? As-tu suivi ce TUTO : Reverse Proxy ? Ton @IP externe est-elle fixe ou dynamique ? dans le second cas as-tu défini un DDNS (avec ton domaine ndd.tld) sur ton NAS ? Cordialement oracle7😉

@Biskot Bonjour, Bien vu, tu as raison pour data-ciphers-fallback AES-256-CBC mais on peut aussi mettre simplement data-cipher AES-256-CBC. Finalement les deux sont valables. En fait, j'ai les deux. c'est peut-être redondant mais je préfère assurer le coup directement dans la config .ovpn car dans VPN Plus Server sur mon routeur RT2600ac l'intitulé n'est pas aussi explicite : Cordialement oracle7😉

@bliz Bonjour, Cela va de soit ... 😁 Mais je crains que ce ne soit pas gagné d'avance sur ce point 😪 Cordialement oracle7😉

@Biskot Bonjour, Pour ma part j'ai toujours eut dans mon fichier de configuration .ovpn, l'instruction cipher AES-256-CBC, du coup je n'ai jamais remarqué le warning que tu cites. Pour info, j'ai aussi ces instructions qui évitents d'autres warning : remote-cert-tls server auth-nocache Pour optmiser la vitesse de transfert des données je de conseillerai de fixer aussi l'intruction mssfix à ton environnement. Voici en exemple la procédure pour le FAI orange.fr, à toi d'adapter si besoin. # ping www.orange.fr -f -l 1500 => Par dichotomie on retrouve la MTU maximun pour la quelle le ping renvoie une réponse OK. # Si on a une réponse paquet FRAGMENTED on réduit de 10 jusqu'à avoir une réponse OK. On rajoute alors 1/2 du Delta (MTU NOK-MTU OK). # Si NOK on réduit encore de 1/2 du Delta (MTU NOK-MTU OK) # Si OK on augmente encore de 1/2 du Delta (MTU NOK-MTU OK) # Jusqu'à obtenir la valeur maximum de MTU OK. Alors on affecte cette valeur à la commande mssfix mssfix 1472 Cordialement oracle7😉

Avec une telle politique un changement de crémerie s'impose ...🤪

@MilesTEG1 Bonjour, Pour ton info ce que dit la doc synology me paraît clair : Sinon tu as ceci en vulgarisation. Cordialement oracle7😉

@AlainMd Bonjour, J'utilise les deux types de connexions VPN SSL VPN et OpenVPN et dans les deux cas j'accède à ma box sans problème via la passerelle du routeur. Normalement une fois connecté en VPN tu te retrouves comme si tu étais en local, donc tu devrais pouvoir ateindre ta box. Sinon je le répette, c'est ta configuration du routeur qui n'est pas bonne. Je rejoins aussi @MilesTEG1 dans son propos : c'est la meilleure solution. En plus, un autre intervenant, de mémoire, qui était aussi chez Coriolis a eut des soucis car ils l'avaient passé sans rien dire en IPv6 + IPv4 CGNAT du coup il n'avait plus qu'1/4 des ports disponibles. Donc des NAT qui ne fonctionnaient plus. Vérifies que tu n'est pas dans ce cas à tout hasard et si oui il te faut leur demander une IPv4 full stack. Maintenant c'est toi qui voit ... Cordialement oracle7😉

@Thomas06 Bonjour, Regardes ceci pour remplacer tes disques et ceci. Il est fortement recommandé dans ce cas précis de contrôler tes disques d'occasion car tu pourrais bien avoir des surprises ! Pour ce faire regardes ce TUTO : Préparation des disques avec Badblocks. Cordialement oracle7😉

@AlainMd Bonjour, Tu dois avoir un problème de configuration de ton routeur RT2600, car chez moi avec une connexion OpenVPN depuis l'extérieur (Tél 4G par ex) et une configuration similaire (Box -- RT2600 -- Réseau local avec NAS) mon RT2600 fait bien la passerelle vers la box et j'atteins bien ma box ainsi que n'importe quel périphérique situé sur le réseau local de celle-ci. Il n'y a donc pas besoin de créer une route spécifique pour y arriver. A tout hasard, je t'invite à lire ce TUTO : RT2600ac en DMZ derrière Livebox4, tu adapteras si besoin si tu as un autre type de box. Rien de bien compliqué. Sinon, essaies de configurer une connexion SSL VPN mais avec un port différent de 443. C'est plus simple que d'utiliser OpenVPN. Pour ton information SSL (Secure Sockets Layer) est un protocole de sécurité Internet basé sur le chiffrement. Je pense que tu voulais parler d'une connexion en SSH à la place. Pour mémoire SSH (Secure Socket Shell) est un protocole réseau qui permet aux administrateurs d'accéder à distance à un ordinateur, en toute sécurité. Donc attention à ne pas confondre les deux. Cordialement oracle7😉

@Vista1967 Bonjour, Content pour toi que ton projet ai abouti. Au plaisir de t'aider encore si besoin. Cordialement oracle7😉

@Biskot Bonjour, Justement c'est peut-être là le problème, initialement j'avais fais comme toi et je n'ai jamais pu me connecter avec cette version 3. C'est pourquoi je suis passé à la version "standard" (OpenVPN-2.5.8-I604-amd64.msi) et pas "Connect v3". C'est juste un constat de fait et je ne saurais t'en dire plus car je ne connais pas la différence entre les deux versions. Sinon dans ton fichier de config .ovpn, pour la commande "remote" tu as bien quelque chose du style "remmote monnas.ndd.tld 1194" avec le domaine monnas.ndd.tld qui pointe bien sur ton @IP externe (à vérifier avec un nslookup monnas.ndd.tld 1.1.1.1 exécuté dans un terminal sous SSH connecté à ton NAS en root) ? Cordialement oracle7😉

@Vista1967 Bonjour, Désolé, j'ai zappé cette question. Donc oui c'est étonnant car sauf erreur de ma part pour toutes les applications DSxxx il faut préciser le port 443. Du coup, je ne sais te répondre et de tdire mieux. Cordialement oracle7😉

@Vista1967 Bonjour, Effectivement elles ne servent à rien tu peux les supprimer car tu as déjà au moins une règle active pour le port 443 (qui te donne entre autres accès au revers proxy) dans le pare-feu. Normalement tu devrais en avoir une seconde pour le port 80. Aurais-tu par hazard supprimé entre temps la règle de transfert du port 80 vers ton NAS, dans ton routeur ? Si oui, cela expliquerait alors son absence maintenant dans le pare-feu du routeur. Comme je te l'ai exliqué précédemment : Pour résumer : la création d'une règle de transfert de port X sur le routeur = aussi création d'une règle d'ouverture du port X dans le pare-feu du routeur. Cordialement oracle7😉

@Biskot Bonjour, Pour comprendre, ton serveur VPN est installé sur quoi ? un routeur ? ton NAS ? Vu que tu utilises OpenVPN, as-tu bien ouvert/autorisé le port 1194 en UDP dans le pare-feu du NAS ? Comment est l'instruction redirect-gateway def1 dans ton fichier de config .ovpn, commentée ou décommentée ? Quand tu est connecté à ton serveur VPN, est-ce que tu accèdes aussi à ton réseau local ? Est-ce que tu as bien un message comme quoi une @IP en 10.8.0.x t'a été attribuée (juste après la connexion) ? Sinon sauf erreur de ma part, sur le PC il te faut avoir installé le client OpenVPN-2.5.8-I604-amd64.msi disponible ici et par contre quand tu te connectes depuis simplement ton Tél android il faut avoir installé OpenVPN Connect dispoble ici. Cordialement oracle7😉

@Biskot Bonjour, Oui au même titre que tu l'as fais avec ton portable Android. Il faut bien sûr que ton PC soit sur un réseau externe au tien et tu établis une connexion VPN avec un client VPN vers ton serveur VPN sur ton NAS et ou Routeur. A mon humble avis, comment veux-tu qu'ils le fassent ? ils ne voient passer qu'un flux crypté sur leur réseau à destination de ton @IP externe. Désolé, mais je crains que tu ne fasse des noeuds au cerveau sur ce point 🤪 Cordialement oracle7😉

@Biskot Bonjour, Tout simplement parce que DSM n'est pas une application comme les autres ! C'est qu'en même l'OS de ton NAS !!! Aussi, l'accès à DSM depuis l'extérieur DOIT ETRE plus que limité par soucis de sécurité. De plus, normalement une fois DSM configuré correctement tu n'as besoin que d'y accèder que très ponctuellement pour l'administrer. Dehors de cela, on ne "joue" pas avec. Au final, un seul utilisateur avec mot de passe renforcé (i.e. très très long !) et connexion VPN obligatoire pour ce type d'accès. C'est un minimum à mon humble avis ... Cordialement oracle7😉

@devilhacker Bonjour, Je ne suis pas sûr qu'un tel programme existe. Pour moi, ta demande/ ton besoin ressemble beaucoup à la création d'un site Web auquel se connecteraient tes clients. A toi de voir ensuite pour que chacun, selon son origine, soit orienté vers la bonne procédure d'aide. Cela ne doit pas être très compliqué à ou faire réaliser. Tes différentes procédures pourraient être effectivement stockées dans une BD SQL. C'est juste une piste à creuser ... Cordialement oracle7😉