oracle7

@DocRunner Bonjour, Tu peux STP préciser ton besoin : Caméras Dôme, Bullet, Filaires, Wifi, POE, Budget ? Tu te doutes bien que le choix est grand et à tous les prix ? Cordialement oracle7😉

@jeff59000 Bienvenue à toi sur ce forum, tu verras c'est une mine d'informations. J'invite à regarder et suivre ces deux TUTOs pour bien démarrer. TUTO : Débuter avec un NAS Synology TUTO : Sécuriser les accès à son NAS Cordialement oracle7😉

@jeff59000 Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Pour ton problème, déroules cette trame de contrôles : Cordialement oracle7😉

@Dark-Spirit Bonjour, Tu peux préciser ta pensée car là j'ai un peu de mal à voir ce que tu veux faire ? Pour mémoire, SFTP et OpenVPN sont des protocoles réseau et pas des applications, alors ???? Cordialement oracle7😉

@Regy Bonjour, Il y a vraiment un truc bizarre ... J'ai l'impression que l'on a empilé les problèmes, je te propose donc d'essayer de tout reprendre pas à pas et dans l'ordre : Livebox : DHCP actif : Attribuer un bail statique au NAS. NAT/PAT : Rediriger les ports 80, 443 et 5000 vers les respectivement les mêmes ports sur le NAS. Supprimer tout dans la DMZ. Rebooter la Livebox. Sur le PC : Dans une fenêtre de CMB en mode admin taper "ipconfig /flushdns" pour vider le cache. Dans l'adaptateur réseau (propriétés protocole IPv4) : en DNS préféré --> forcer le DNS Serveur sur l'@IP du NAS, dans DNS auxiliaire --> mettre 80.67.169.12 ou 1.1.1.1, créer un 3 ème DNS avec 192.168.1.1 (Livebox) pour le cas où aucun des deus serveurs DNS précédents ne répondraient. NOTA : cette configuration est à faire sur tous tes périphériques de ton réseau local (càd forcer le serveur DNS à utiliser sur l'@IP du NAS). NAS partie DSM : Désactiver le serveur DHCP du NAS. Désactiver provisoirement le pare-feu du NAS. Depuis l'extérieur, dans un navigateur Web avec cache vidé : taper l'URL http://<@IP Externe>:5000 --> tu dois atteindre le NAS. Accès externe : On est bien d'accord que ton DDNS est défini sur ce domaine : "synok.noel.io" et qu'il pointe bien vers ton @IP Externe (i.e. @IP Livebox). Je part sur cette hypothèse pour la suite. On vérifie que ton DDNS pointe bien chez toi, en passant la commande "ping synok.noel.io" depuis ton PC . La réponse doit être ton @IP Externe. Depuis l'extérieur, dans un navigateur Web : taper l'URL http://synok.noel.io:5000 --> tu dois atteindre le NAS. Si tout est OK alors tu peux réactiver le pare-feu du NAS et au passage ouvrir/autoriser les ports 80, 443, 5000 et 5001 dans le pare-feu du NAS. Pour les ports 5000 et 5001 je suppose qu'ils n'ont pas été modifiés dans Accès externe/Avancé et ton nom d'hôte est bien "synok.noel.io". Tu peux aussi supprimer la redirection du port 5000 dans le NAT/PAT de la Livebox (ce n'est plus utile !). Réseau/général : Vérifier que la passerelle par défaut est bien la Livebox 192.168.1.1 (LAN1) Cocher configurer manuellement le serveur DNS préféré et saisir l'@IP du NAS, pour le serveur DNS de remplacement tu peux mettre 80.67.169.12 ou 1.1.1.1. Dans "Paramètres avancés" tu coches les 3 cases. Réseau/Interface réseau : pour LAN1 configurer avec DHCP automatique. Mais si tu mets en configuration manuelle, alors : @IPlocaleNAS, passerelle=@IPLivebox, Serveur DNS= @IPlocaleNAS, cocher Définir comme valeur par défaut. Réseau/Paramètres de DSM : Décocher "Rediriger automatiquement les connexions HTTP vers HTTPS sur le bureau DSM" sinon cela casse le processus de reverse proxy. Portails des applications/Applications : Pour les applications, je te conseille de renseigner les ports HTTP standards. Portails des applications/Reverse proxy : Définir les redirections à l'image de celle-ci : https://audio.synok.noel.io:443 --> localhost:portStandardHttpApplication NAS Partie DNS Serveur : Définir les ressources telles que : ns.synok.noel.io A 86400 @IPduNAS synok.noel.io NS 86400 ns.synok.noel.io nas.synok.noel.io A 86400 @IPduNAS ---> pour accèder directement au NAS (DSM) *.synok.noel.io CNAME 86400 nas.synok.noel.io ---> pour accèder directement aux applications du NAS Définir les Redirecteurs 1 et 2 sur 80.67.169.12 et 1.1.1.1 Pour la zone master et la vue associée limiter les IP sources tel que : Ajouter éventuellement le sous-réseau 10.0.0.0/255.0.0.0 si tu comptes faire du VPN. Enfin Zone DNS chez OVH : tu devrais avoir une ligne du type : *.synok.noel.io CNAME 86400 synok.noel.io. Voilà, sauf erreur de ma part et/ou omission, en suivant cette trame, cela devrait le faire. Surtout ne passe pas à un point suivant si un point pose problème, car là cela deviendrait indém....able ! Cordialement oracle7😉

@MilesTEG1 Bonjour, A titre d'exemple mon fichier .ovpn (pour mémoire sur VPNPlusServeur, j'ai un objet OpenVPN sur le sous-réseau 10.8.0.0) : dev tun tls-client remote srm.ndd.tld 1194 redirect-gateway def1 #dhcp-option DNS DNS_IP_ADDRESS dhcp-option DNS 10.8.0.1 pull proto udp script-security 2 reneg-sec 0 auth SHA512 cipher AES-256-CBC auth-user-pass remote-cert-tls server auth-nocache key-direction 1 comp-lzo explicit-exit-notify <ca> -----BEGIN CERTIFICATE----- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- xxxxxxxxxxxxxxxxxx -----END CERTIFICATE----- </ca> En fait je n'utilise OpenVPN qu'en "secours". Pour le VPN principal, j'utilise Synology VPN et SSL VPN. C'est à mon sens le plus simple à configurer et à utiliser. En plus il y a une application DS pour les clients sur téléphones et tablettes. Cordialement oracle7😉

@Regy Bonjour, La configuration du DHCP semble bonne a priori. Par ailleurs, quand tu fais un nslookup pour vérifier la réponse du DNS serveur, il faut faire : nslookup domaineAtester.tld @IPduServeurDNS. Soit par exemple : nslookup audio.noel.io 192.168.1.2 . Avec une requête de type SOA (comme tu faisais précédemment), nslookup t'indique si le serveur qui est interrogé a bel et bien la charge de la zone indiquée ou pas. C'est tout. Donc ce n'est pas suffisant pour notre affaire. Ce qui nous importe ici c'est de savoir quelle est l'@IP du domaine indiqué (celle de ta box ou bien celle de ton serveur DNS i.e. ton NAS), le but c'est connaître cette @IP qui doit renvoyée par le Serveur DNS indiqué (en second paramètre) pour être sûr que tout la résolution DNS fonctionne correctement. C'est notamment ce que j'aurais voulu voir avec les tests précédents sur "audio.synok.noel.io". Tu me suis ? Donc, peux donner le retour de : nslookup audio.noel.io 192.168.1.2 d'une part et d'autre part pour nslookup audio.synok noel.io 192.168.1.2 (avec les paramétrages précédants de la zone DNS) Merci. Désolé, cela te fait faire pas mal de manipulation, mais je ne vois que cela pour lever tout doute. PS : Astuce pour que les modifications de la zone DNS que tu fais, soient bien prises en compte à chaque modif, tu désactives la zone master puis tu la réactives. Cordialement oracle7😉

@McBernic Bonjour, Tu peux préciser STP, cela intéressera sûrement les autres membres clients de la Bbox. Cordialement oracle7😉

@MacArthur Bonjour, La solution à ton problème d’accès avec un nom de domaine est sans doute là avec ce TUTO : PS : Par sécurité, quand tu donnes des copies d'écran, penses à effacer ton @IP externe publique ainsi que ton nom de domaine (tu le remplaces par exemple par "ndd.tld"). Par contre pas de soucis avec le @IP locales puisqu'elles ne sont pas accessibles de l'extérieur. Cordialement oracle7😉

@Philippe D Bonjour, Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@YanHulbert Bienvenue à toi sur ce forum.

@maygouate Bonjour, Comme sur tout forum, il est d'usage que les nouveaux membres passent par la rubrique [PRESENTATION] pour faire la leur. Certains ici, y sont sensibles et de plus cela facilite les réponses en fonction du niveau de compétences du membre et de ses équipements. Cela dit rassures-toi il n'est pas trop tard pour bien faire ... Juste une remarque : j'espère pour toi que tu disposes de suffisamment de mémoire sur ton NAS car saches que le package Antivirus essential est très gourmand en ressources. A mon humble avis il est bien plus judicieux de contrôler sur un PC/Mac les fichiers AVANT de les transférer sur le NAS. Mais c'est toi qui vois ... Cordialement oracle7😉

@MilesTEG1 Bonjour, Bon en fouillant un peu diverses bashbord, j'ai trouvé comment alimenter une variable "Host" avec la liste des @IP des agents déclarés dans le fichier "telegraf.conf" : Tu va dans "dashbord settings" ensuite tu sélectionnes "variable" puis tu cliques sur le bouton "new" là tu renseignes le nom de ta variable (par ex "Host"), son label ("@IP agent") qui sera affiché et le type "query" pour l'alimenter. dans la zone "query option" tu renseignes la source de données "xxxx_influxdb" et le mode de rafraichissement dans la zone "query" tu saisis la requête suivante : " SHOW TAG VALUES FROM "snmp.SYNO" WITH KEY = "agent_host" " (cela t'affichera en bas de l'écran un exemple des données récupérées). Dans '"Selection Options" tu peux cocher "Multivalues" si tu souhaites que le popup final de sélection d'une valeur dans le dashbord te présente la liste des valeurs avec en regard une boite à cocher, ceci pour en sélectionner plusieurs à la fois si besoin en était. Sinon c'est un simple popup avec la liste des valeurs qui s'affichera. tu enregistres le dashbord. De retour dans le dashbord, dans sa partie haute tu auras le fameux popup de sélection de l'@IP des agents déclarés. Enfin dans tes requêtes spécifiques tu n'a plus qu'à remplacer l'@IP de l'agent par la variable Host notée ainsi : " /^$host$/ ". Par ex : Cordialement oracle7😉

@MilesTEG1 Bonjour, Plusieurs questions : Le port 1194 pour OpenVPN est-il bien ouvert /autorisé dans le pare-feu du routeur ? Dans la configuration d'OpenVPN (copie d'écran) ton DNS serveur est sur la LiveBox (192.168.1.1) pourquoi c'est pas le routeur (192.168.2.1) ? Je ne comprends pas trop les règles de pare-feu que tu as mises dans le pare-feu sur le routeur et le NAS. Dans le routeur je comprends que tu n'autorises en source que les @IP issues du sous-réseau local 192.168.10.0 (alors que ce sous-réseau est celui du VPN (donc la destination) lorsque la connexion VPN est établie depuis l'extérieur ? Chez moi mon objet OpenVPN est sur le sous-réseau 10.8.0.0 (mais peu importe l'@), je n'ai jamais eut besoin de mettre de règles dans le pare-feu du routeur sur ce sous-réseau pour atteindre mon réseau local. D'où mon incompréhension sur ton action. Sur le NAS pour moi c'est inutile, il n'y a rien à mettre, c'est un périphérique comme un autre vis à vis du VPN. Cordialement oracle7😉

@Regy Bonsoir, Désolé je viens de m'apercevoir que je me suis trompé 🥴 : où je t'ai indiqué les ports 8801 et 8800 pour L'URL audio, il faut en fait respectivement lire/comprendre 5001 et 5000. Peux-tu STP reprendre les tests précédents avec ces ports 5001 et 5000. EDIT: désactives aussi le DHCP de la Livebox et actives celui du NAS à la place. Si tu conserves le DHCP de la Livebox ce sera toujours le DNS Server de celle-ci qui sera actif et non pas celui du NAS. C'est le DHCP actif qui fourni aux périphériques qui se connectent leur @IP MAIS Aussi l'@IP du serveur DNS à utiliser. Reboot ensuite dans l'ordre la Livebox puis le NAS. Cordialement oracle7 😉

@Dark-Spirit Bonjour, C'est super !😀 Il n'y a pas de honte à avoir, on ne peux pas toujours penser à tout, on reste des humains quelque part ... 🤪 Cordialement oracle7😉

@Philippe D Bonjour, Si tu veux être sûr d'être bien sécuriser alors je ne peux que te suggérer fortement de lire et d'appliquer ce TUTO : Sécuriser les accès à son NAS. Cordialement oracle7😉

@MilesTEG1, @.Shad. Bonjour, Je rebondis sur ton interrogation. Pour ajouter une variable, je sais que : on va dans "dashbord settings" ensuite on sélectionne "variable" puis on clique sur le bouton "new" Après autant je sais faire pour alimenter la variable avec le résultat d'une "query" que l'on a saisi, autant je ne sais pas pour y mettre une @IP. @.Shad. comment fait-on, on indique l'@IP sous forme de "Constant" ou de "Custom" ? Cordialement oracle7😉

@Regy Bonjour, Ce sont tes redirecteurs dans la zone DNS qui ne vont pas, du moins le premier. Il faut mettre en : redirecteur 1 : 80.67.169.12 (serveurs FND) redirecteur 2 : tu pourrais mettre 80.67.169.40 (2ème FND) mais pour ne pas "mettre tous tes oeufs dans le même panier", je te suggère de mettre 1.1.1.1 (Cloudfare). Dans tous les cas ce sont des serveurs DNS respectueux de la vie privée. En redirecteur 1 tu avais l'@IP de ta box du coup quelque soit la requête, c'était toujours elle qui répondait avec ses serveurs DNS "menteurs" !!! 😩 Juste pour voir, peux-tu aussi STP faire un essai en ajoutant en ressource à ta zone DNS, une ligne du type "audio.synok.noel.io CNAME 86400 synok.noel.io" et ensuite tester une connexion locale et une externe avec l'URL https://audio.synok.noel.io:8801 . Si cela marche, modifies alors dans le reverse proxy la redirection audio telle que : "https://audio.synok.noel.io:443 --> localhost:8800" et tu testes une connexion locale et une externe avec l'URL https://audio.synok.noel.io . A mon avis cela devrait le faire ... Si cela marche pas tu reviens simplement en arrière. Cordialement oracle7😉

@Diama Donc c'est parfait. Content pour toi. Accessoirement, tu peux éditer ton premier post et insérer [RESOLU] dans le titre. PS Astuce : Pour avertir un membre de ta réponse, tu tapes dans ton message "@" + les premiers caractères de son pseudo. Dans le popup qui apparaît tu cliques alors sur le pseudo recherché et il s'affiche sur fond bleu dans ton texte. Ainsi ton interlocuteur est informé/notifié de ta réponse sinon il ne voit rien sauf à rebalayer en arrière tous les messages (ce que peu de monde fait). Cordialement oracle7😉

@Regy Bonjour, Si tu ne "limites pas par IP", n'importe qui peut alors utiliser ton serveur DNS pour faire de la résolution. Il n'est pas non plus nécessaire de rebooter à chaque fois. Oui, de façon très simpliste, il faut bien que ton NAS sache par où passer pour accéder à l'extérieur. Tu peux tout cocher sans problème même si la seconde option est plutôt utile lorsque l'on utilise un VPN. Je commence à m'y perdre un peu avec ton affaire, peux-tu STP faire un point et indiquer ce qui ne marche pas finalement. Cordialement oracle7😉

@.Shad. Bonjour, Merci pour cette excellente suggestion. Cordialement oracle7😉

@Regy Bonjour, Si dans "serveur DNS préféré" sur le NAS tu as bien 192.168.1.2 alors un petit reboot du NAS sera peut-être salutaire. SI cela ne marche pas alors il y a un problème de configuration quelque part ... On va trouver 🙂 Cordialement oracle7😉

@MilesTEG1 Bonjour, Pour OpenVPN, as-tu activé "Autorisé aux clients l'accès au serveur LAN" ? Cordialement oracle7😉

@Regy Bonjour, Je crains que tu m'ais lu en diagonale et pas à l'horizontale : sur le PC, il faut faire un "ipconfig /flushdns" et pas "ipconfig /all" qui lui te donne le descriptif de ta configuration réseau par adaptateur réseau. Ce dernier, tu peux le faire APRES que le cache ai été vidé ! Pour le Mac, je ne saurais te répondre, désolé. Cordialement oracle7😉